8
Exchange Zertifikat
Hallo,
ich hatte hier schon ein Topic erstellt bzgl. Outlook Anywhere Zertifikate. (Outlook Anywhere Zertifikat) Mir ging es dort primär um die richtige Konfiguration für Exchange mit einem Zertifikat. Hier wollte ich nochmal verschiedene Möglichkeiten gegenüberstellen und Empfehlungen einholen von wem und wie die Zertifikate ausgestellt werden.
Szenario: Neuer Exchange Server 2010 in einem Domänennetz von 15 Usern, wobei 3-4 User auch mobil zugreifen wollen. Domaincontroller ist ein Srv 2008 Standard. Weitere Zertifikate werden bisher nicht benötigt, außer evtl. für SSTP aber da muss ich ncohmal überlegen.
Meiner Meinung nach habe ich vier Möglichkeiten:
a) Zertifikat für Exchange kaufen.
Pro: - ziemlich einfach, - direkt von einer vertrauenswüridge CA, - muss mir keine Gedanken machen um eigene CA, - kein Problem auf mobilen Geräten
Contra: - recht hohe Kosten wegen SAN, - keine weitere Möglichkeit selbst noch Zertifikate zu nutzen falls irgendwann benötigt
b) Exchange Self Signed Zertifikat erstellen mit "Get-ExchangeCertificate"
Pro: - ebenfalls einfach, - keine eigene CA notwendig, - Rollout des Zertifikat mit GPO kein Problem
Contra: - nur 5 Jahre gültig, - muss Zertifikat auf mobilen Geräten selbst verteilen
c) CA aufbauen und Zertifikate erstellen
Pro: - eigene CA, - Rollout kein Problem, - weitere Möglichkeit für Zertifikate
Contra: - eigene CA ;), - keine standardmäßige vertrauenswüridge CA für Non-Domänen User, - Verteilung auf mobilen Geräten problematisch, - Lizenzkosten, - nur Server 2008 STANDARD verfügbar und somit keine eigenen Zertifikate, - nur 2 Jahre gütlig (also Exchange Zertifikat, nicht CA)
d) kleine CA mit OpenSSL aufbauen
Pro: - kleine einfache CA, - lange selbstbestimmte Zertifikat Laufzeit - weitere Möglichkeiten für andere Zertifikate, - keine Kosten
Contra: - etwas unpraktisch, - kein standardmäßiges vertrauenswürdige CA Zertifikat, - Verteilung auf mobilen Geräten problematisch
Was würdet ihr bevorziehen? Die Sicherheit ist ja bei allen Möglichkeiten gleich: Es hängt von der Geheimhaltung des privaten Schlüssel ab bzw. Zugang zur CA.
Meiner Meinung nach würde ich am liebsten Option d) oder b) wählen da ich schon weis wie es geht und ich es mal getestet habe. Eine eigene Enterprise CA mit Srv 2008 R2 Enterprise ist nicht möglich, ich habe lediglich den DC zur Verfügung und dieser ist Standard. Außerdem sind die Kostengründen nicht im Leistungsverhältnis passend, da fange ich lieber erstmal klein an mit einer openSSL CA.
Danke!
Gruß,
Burak
ich hatte hier schon ein Topic erstellt bzgl. Outlook Anywhere Zertifikate. (Outlook Anywhere Zertifikat) Mir ging es dort primär um die richtige Konfiguration für Exchange mit einem Zertifikat. Hier wollte ich nochmal verschiedene Möglichkeiten gegenüberstellen und Empfehlungen einholen von wem und wie die Zertifikate ausgestellt werden.
Szenario: Neuer Exchange Server 2010 in einem Domänennetz von 15 Usern, wobei 3-4 User auch mobil zugreifen wollen. Domaincontroller ist ein Srv 2008 Standard. Weitere Zertifikate werden bisher nicht benötigt, außer evtl. für SSTP aber da muss ich ncohmal überlegen.
Meiner Meinung nach habe ich vier Möglichkeiten:
a) Zertifikat für Exchange kaufen.
Pro: - ziemlich einfach, - direkt von einer vertrauenswüridge CA, - muss mir keine Gedanken machen um eigene CA, - kein Problem auf mobilen Geräten
Contra: - recht hohe Kosten wegen SAN, - keine weitere Möglichkeit selbst noch Zertifikate zu nutzen falls irgendwann benötigt
b) Exchange Self Signed Zertifikat erstellen mit "Get-ExchangeCertificate"
Pro: - ebenfalls einfach, - keine eigene CA notwendig, - Rollout des Zertifikat mit GPO kein Problem
Contra: - nur 5 Jahre gültig, - muss Zertifikat auf mobilen Geräten selbst verteilen
c) CA aufbauen und Zertifikate erstellen
Pro: - eigene CA, - Rollout kein Problem, - weitere Möglichkeit für Zertifikate
Contra: - eigene CA ;), - keine standardmäßige vertrauenswüridge CA für Non-Domänen User, - Verteilung auf mobilen Geräten problematisch, - Lizenzkosten, - nur Server 2008 STANDARD verfügbar und somit keine eigenen Zertifikate, - nur 2 Jahre gütlig (also Exchange Zertifikat, nicht CA)
d) kleine CA mit OpenSSL aufbauen
Pro: - kleine einfache CA, - lange selbstbestimmte Zertifikat Laufzeit - weitere Möglichkeiten für andere Zertifikate, - keine Kosten
Contra: - etwas unpraktisch, - kein standardmäßiges vertrauenswürdige CA Zertifikat, - Verteilung auf mobilen Geräten problematisch
Was würdet ihr bevorziehen? Die Sicherheit ist ja bei allen Möglichkeiten gleich: Es hängt von der Geheimhaltung des privaten Schlüssel ab bzw. Zugang zur CA.
Meiner Meinung nach würde ich am liebsten Option d) oder b) wählen da ich schon weis wie es geht und ich es mal getestet habe. Eine eigene Enterprise CA mit Srv 2008 R2 Enterprise ist nicht möglich, ich habe lediglich den DC zur Verfügung und dieser ist Standard. Außerdem sind die Kostengründen nicht im Leistungsverhältnis passend, da fange ich lieber erstmal klein an mit einer openSSL CA.
Danke!
Gruß,
Burak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203100
Url: https://administrator.de/contentid/203100
Printed on: April 18, 2024 at 03:04 o'clock
8 Comments
Latest comment
Hi
Günstige Zertifiakte gibts bei www.startssl.com
Ein valides Zertifikat von einer Public Ca würde ich schon nehmen
LG
Günstige Zertifiakte gibts bei www.startssl.com
Ein valides Zertifikat von einer Public Ca würde ich schon nehmen
LG
Hallo,
ich habe mit dem Chef geredet und er meinte das ein Zertifikat Kauf vllt. doch in Frage komme.
Ich hätte da auch gerne einen deutschen Ansprechpartner bei Fragen und bei Verlängerung. Ich bin auf CertCenter gestoßen was mir sehr gut gefallen hat, die bieten verschiedene Zertifikate der CAs an.
Für ein UN/SAN Zertifikat mit 4 SAN Einträgen komme ich allerdings auf 763,75 € für VIER Jahre. Ist der Preis normal und hält sich im Rahmen? Ist halt schon ein Happen aber wenn man bedenkt wofür es ist und was dahinter steckt =/.
Denoch bin ich noch für weitere Anmerkungen / Ratschlägen zu den anderen Möglichkeiten wie eigene CA mit OpenSSL offen.
Danke
Gruß,
Burak
ich habe mit dem Chef geredet und er meinte das ein Zertifikat Kauf vllt. doch in Frage komme.
Ich hätte da auch gerne einen deutschen Ansprechpartner bei Fragen und bei Verlängerung. Ich bin auf CertCenter gestoßen was mir sehr gut gefallen hat, die bieten verschiedene Zertifikate der CAs an.
Für ein UN/SAN Zertifikat mit 4 SAN Einträgen komme ich allerdings auf 763,75 € für VIER Jahre. Ist der Preis normal und hält sich im Rahmen? Ist halt schon ein Happen aber wenn man bedenkt wofür es ist und was dahinter steckt =/.
Denoch bin ich noch für weitere Anmerkungen / Ratschlägen zu den anderen Möglichkeiten wie eigene CA mit OpenSSL offen.
Danke
Gruß,
Burak
Hi
bei Startssl kostet ein SAN Zertifikat 2x60$ für die Registrierung (Class 2 + Class 3)
https://www.startssl.com/?app=40
Dann kannst du dir so viele Zertifikate ausstellen wie du willst (sind für 2 Jahre gültig)
Die CA ist in allen gängigen Browsern hinterlegt
LG
bei Startssl kostet ein SAN Zertifikat 2x60$ für die Registrierung (Class 2 + Class 3)
https://www.startssl.com/?app=40
Dann kannst du dir so viele Zertifikate ausstellen wie du willst (sind für 2 Jahre gültig)
Die CA ist in allen gängigen Browsern hinterlegt
LG
Hi,
warum 2x 60$? Ist ja recht billig. Und brauche ich einmal Class 2 und einmal Class 3 Oo?
Gruß,
Burak
warum 2x 60$? Ist ja recht billig. Und brauche ich einmal Class 2 und einmal Class 3 Oo?
Gruß,
Burak
Hi
1x60$ für die Class2 Registrierung
1x60$ für die Company Class3 Registrierung
Zertifikate kann man dann so viele ausstellen wie man möchte. Nur EV Zertifikate kosten extra.
LG
1x60$ für die Class2 Registrierung
1x60$ für die Company Class3 Registrierung
Zertifikate kann man dann so viele ausstellen wie man möchte. Nur EV Zertifikate kosten extra.
LG
Hi,
nutzt du die auch selbst? Ich hab mich noch bisschen informiert über den Anbieter und hab eher schlechtes als gutes gelesen. Die wollen wohl für die Registrierung ziemlich viele persönliche Daten wie Personalausweis, Führerschein und sonst was und man darf die Dokumente auch nicht mit Wasserzeichen irgendwie markieren. Ist ja auch ne Firma aus Israel oder so, ehrlich gesagt ist mir das nicht so ganz geheuer!
Trotzdem vielen Dank!
nutzt du die auch selbst? Ich hab mich noch bisschen informiert über den Anbieter und hab eher schlechtes als gutes gelesen. Die wollen wohl für die Registrierung ziemlich viele persönliche Daten wie Personalausweis, Führerschein und sonst was und man darf die Dokumente auch nicht mit Wasserzeichen irgendwie markieren. Ist ja auch ne Firma aus Israel oder so, ehrlich gesagt ist mir das nicht so ganz geheuer!
Trotzdem vielen Dank!
Hi
ja ich nutze es selber auch. Leider ist das Übermitteln von persönlichen Dokumenten auch bei anderen Anbietern notwendig. Die müssen ja wissen wer du bist. Darum gehts ja bei der Validierung
LG
ja ich nutze es selber auch. Leider ist das Übermitteln von persönlichen Dokumenten auch bei anderen Anbietern notwendig. Die müssen ja wissen wer du bist. Darum gehts ja bei der Validierung
LG
Hallo,
ich hätte noch eine Frage, da wir jetzt doch anscheinend ein Zertifikat kaufen.
Wir kriegen bei diesem Zertifikat Paket folgende Adressen mit
meinefirma.de
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de
Ich will aber als externe URL für den Exchange Server exchange.meinefirma.de. Ich habe mit den abgeklärt, das Zertifikat läuft Primär auf exchange.meinefirma.de und die SAN sind dann
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de
Nun bin ich aber etwas vorsichtig, da ich nämlich letztens noch es so getestet habe und anscheinend hat es gestört das "exchange.meinefirma.de" nicht in den SAN Namen drin steht. Somit kam es zur Zertifikat Warnung.
Ist es normal das die Adresse für die es primär ausgestellt ist (also der Common Name oder?) nicht im SAN steht oder muss dies auch sein? Macht es Sinn, dann als externe Domäne für Exchange owa.meinefirma.de einzustellen?
Auf meine Frage ob exchange.meinefirma.de auch in den SAN drin steht meinte er nein, das wären nur die 3 anderen.
Bitte um Hilfe!
Danke
Gruß,
Burak
ich hätte noch eine Frage, da wir jetzt doch anscheinend ein Zertifikat kaufen.
Wir kriegen bei diesem Zertifikat Paket folgende Adressen mit
meinefirma.de
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de
Ich will aber als externe URL für den Exchange Server exchange.meinefirma.de. Ich habe mit den abgeklärt, das Zertifikat läuft Primär auf exchange.meinefirma.de und die SAN sind dann
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de
Nun bin ich aber etwas vorsichtig, da ich nämlich letztens noch es so getestet habe und anscheinend hat es gestört das "exchange.meinefirma.de" nicht in den SAN Namen drin steht. Somit kam es zur Zertifikat Warnung.
Ist es normal das die Adresse für die es primär ausgestellt ist (also der Common Name oder?) nicht im SAN steht oder muss dies auch sein? Macht es Sinn, dann als externe Domäne für Exchange owa.meinefirma.de einzustellen?
Auf meine Frage ob exchange.meinefirma.de auch in den SAN drin steht meinte er nein, das wären nur die 3 anderen.
Bitte um Hilfe!
Danke
Gruß,
Burak
