Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange Zertifikat

Frage Microsoft Exchange Server

Mitglied: vBurak

vBurak (Level 2) - Jetzt verbinden

11.03.2013 um 10:54 Uhr, 5121 Aufrufe, 8 Kommentare

Hallo,

ich hatte hier schon ein Topic erstellt bzgl. Outlook Anywhere Zertifikate. (http://www.administrator.de/content/detail.php?id=201876#comment-820151) Mir ging es dort primär um die richtige Konfiguration für Exchange mit einem Zertifikat. Hier wollte ich nochmal verschiedene Möglichkeiten gegenüberstellen und Empfehlungen einholen von wem und wie die Zertifikate ausgestellt werden.

Szenario: Neuer Exchange Server 2010 in einem Domänennetz von 15 Usern, wobei 3-4 User auch mobil zugreifen wollen. Domaincontroller ist ein Srv 2008 Standard. Weitere Zertifikate werden bisher nicht benötigt, außer evtl. für SSTP aber da muss ich ncohmal überlegen.

Meiner Meinung nach habe ich vier Möglichkeiten:

a) Zertifikat für Exchange kaufen.
Pro: - ziemlich einfach, - direkt von einer vertrauenswüridge CA, - muss mir keine Gedanken machen um eigene CA, - kein Problem auf mobilen Geräten
Contra: - recht hohe Kosten wegen SAN, - keine weitere Möglichkeit selbst noch Zertifikate zu nutzen falls irgendwann benötigt

b) Exchange Self Signed Zertifikat erstellen mit "Get-ExchangeCertificate"
Pro: - ebenfalls einfach, - keine eigene CA notwendig, - Rollout des Zertifikat mit GPO kein Problem
Contra: - nur 5 Jahre gültig, - muss Zertifikat auf mobilen Geräten selbst verteilen

c) CA aufbauen und Zertifikate erstellen
Pro: - eigene CA, - Rollout kein Problem, - weitere Möglichkeit für Zertifikate
Contra: - eigene CA ;), - keine standardmäßige vertrauenswüridge CA für Non-Domänen User, - Verteilung auf mobilen Geräten problematisch, - Lizenzkosten, - nur Server 2008 STANDARD verfügbar und somit keine eigenen Zertifikate, - nur 2 Jahre gütlig (also Exchange Zertifikat, nicht CA)

d) kleine CA mit OpenSSL aufbauen
Pro: - kleine einfache CA, - lange selbstbestimmte Zertifikat Laufzeit - weitere Möglichkeiten für andere Zertifikate, - keine Kosten
Contra: - etwas unpraktisch, - kein standardmäßiges vertrauenswürdige CA Zertifikat, - Verteilung auf mobilen Geräten problematisch


Was würdet ihr bevorziehen? Die Sicherheit ist ja bei allen Möglichkeiten gleich: Es hängt von der Geheimhaltung des privaten Schlüssel ab bzw. Zugang zur CA.

Meiner Meinung nach würde ich am liebsten Option d) oder b) wählen da ich schon weis wie es geht und ich es mal getestet habe. Eine eigene Enterprise CA mit Srv 2008 R2 Enterprise ist nicht möglich, ich habe lediglich den DC zur Verfügung und dieser ist Standard. Außerdem sind die Kostengründen nicht im Leistungsverhältnis passend, da fange ich lieber erstmal klein an mit einer openSSL CA.

Danke!

Gruß,
Burak
Mitglied: catachan
11.03.2013 um 15:27 Uhr
Hi

Günstige Zertifiakte gibts bei www.startssl.com
Ein valides Zertifikat von einer Public Ca würde ich schon nehmen

LG
Bitte warten ..
Mitglied: vBurak
11.03.2013 um 17:56 Uhr
Hallo,

ich habe mit dem Chef geredet und er meinte das ein Zertifikat Kauf vllt. doch in Frage komme.

Ich hätte da auch gerne einen deutschen Ansprechpartner bei Fragen und bei Verlängerung. Ich bin auf CertCenter gestoßen was mir sehr gut gefallen hat, die bieten verschiedene Zertifikate der CAs an.

Für ein UN/SAN Zertifikat mit 4 SAN Einträgen komme ich allerdings auf 763,75 € für VIER Jahre. Ist der Preis normal und hält sich im Rahmen? Ist halt schon ein Happen aber wenn man bedenkt wofür es ist und was dahinter steckt =/.

Denoch bin ich noch für weitere Anmerkungen / Ratschlägen zu den anderen Möglichkeiten wie eigene CA mit OpenSSL offen.

Danke

Gruß,
Burak
Bitte warten ..
Mitglied: catachan
11.03.2013, aktualisiert um 18:02 Uhr
Hi

bei Startssl kostet ein SAN Zertifikat 2x60$ für die Registrierung (Class 2 + Class 3)
https://www.startssl.com/?app=40
Dann kannst du dir so viele Zertifikate ausstellen wie du willst (sind für 2 Jahre gültig)
Die CA ist in allen gängigen Browsern hinterlegt

LG
Bitte warten ..
Mitglied: vBurak
11.03.2013 um 20:29 Uhr
Hi,

warum 2x 60$? Ist ja recht billig. Und brauche ich einmal Class 2 und einmal Class 3 Oo?

Gruß,
Burak
Bitte warten ..
Mitglied: catachan
12.03.2013 um 09:43 Uhr
Hi

1x60$ für die Class2 Registrierung
1x60$ für die Company Class3 Registrierung

Zertifikate kann man dann so viele ausstellen wie man möchte. Nur EV Zertifikate kosten extra.

LG
Bitte warten ..
Mitglied: vBurak
12.03.2013 um 10:45 Uhr
Hi,

nutzt du die auch selbst? Ich hab mich noch bisschen informiert über den Anbieter und hab eher schlechtes als gutes gelesen. Die wollen wohl für die Registrierung ziemlich viele persönliche Daten wie Personalausweis, Führerschein und sonst was und man darf die Dokumente auch nicht mit Wasserzeichen irgendwie markieren. Ist ja auch ne Firma aus Israel oder so, ehrlich gesagt ist mir das nicht so ganz geheuer!

Trotzdem vielen Dank!
Bitte warten ..
Mitglied: catachan
12.03.2013 um 10:46 Uhr
Hi

ja ich nutze es selber auch. Leider ist das Übermitteln von persönlichen Dokumenten auch bei anderen Anbietern notwendig. Die müssen ja wissen wer du bist. Darum gehts ja bei der Validierung

LG
Bitte warten ..
Mitglied: vBurak
15.03.2013 um 17:12 Uhr
Hallo,

ich hätte noch eine Frage, da wir jetzt doch anscheinend ein Zertifikat kaufen.

Wir kriegen bei diesem Zertifikat Paket folgende Adressen mit

meinefirma.de
owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de

Ich will aber als externe URL für den Exchange Server exchange.meinefirma.de. Ich habe mit den abgeklärt, das Zertifikat läuft Primär auf exchange.meinefirma.de und die SAN sind dann


owa.meinefirma.de
mail.meinefirma.de
autodiscover.meinefirma.de

Nun bin ich aber etwas vorsichtig, da ich nämlich letztens noch es so getestet habe und anscheinend hat es gestört das "exchange.meinefirma.de" nicht in den SAN Namen drin steht. Somit kam es zur Zertifikat Warnung.

Ist es normal das die Adresse für die es primär ausgestellt ist (also der Common Name oder?) nicht im SAN steht oder muss dies auch sein? Macht es Sinn, dann als externe Domäne für Exchange owa.meinefirma.de einzustellen?

Auf meine Frage ob exchange.meinefirma.de auch in den SAN drin steht meinte er nein, das wären nur die 3 anderen.

Bitte um Hilfe!

Danke

Gruß,
Burak
Bitte warten ..
Ähnliche Inhalte
Internet
gelöst Neues Zertifikat für Exchange (6)

Frage von BiGnoob zum Thema Internet ...

Exchange Server
gelöst Zertifikat Probleme Exchange (14)

Frage von meeeen zum Thema Exchange Server ...

Exchange Server
Exchange 2010 SSL Zertifikat einbinden (4)

Frage von kal10bach zum Thema Exchange Server ...

Microsoft
gelöst Exchange Server SAN Zertifikat Problem (2)

Frage von brooks zum Thema Microsoft ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...