15
Exchange Zertifikat kaufen
Hallo Leute.
Ich habe mich entschlossen für meinen privaten Exchange Server ein Zertifikat zu kaufen!
Im Zertifikat soll sowohl der interne, als auch der externe Domain Name stehen!
Gibt es einen Anbieter der günstig ist und das anbietet?
Ich freue mich auf eure Vorschläge!
Ich habe mich entschlossen für meinen privaten Exchange Server ein Zertifikat zu kaufen!
Im Zertifikat soll sowohl der interne, als auch der externe Domain Name stehen!
Gibt es einen Anbieter der günstig ist und das anbietet?
Ich freue mich auf eure Vorschläge!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 268459
Url: https://administrator.de/contentid/268459
Printed on: April 24, 2024 at 20:04 o'clock
15 Comments
Latest comment
Hi
Ich hab keine Erfahrung damit, aber das ist nicht Billig...
https://icertificate.eu/de/ssl/anwendungsbereiche/ssl-fuer-exchange-serv ...
StartSSL (https://www.startssl.com/?app=0) bietet vielleicht das auch Gratis an.
LG PPR
Ich hab keine Erfahrung damit, aber das ist nicht Billig...
https://icertificate.eu/de/ssl/anwendungsbereiche/ssl-fuer-exchange-serv ...
StartSSL (https://www.startssl.com/?app=0) bietet vielleicht das auch Gratis an.
LG PPR
Moin,
haben wir hier auch schon schockweise besprochen --> nennt sich multidomain- oder wildcard-Zertifikat.
Preissuche gelingt jetzt mit der Suchmaschine Deiner Wahl,
LG, Thomas
haben wir hier auch schon schockweise besprochen --> nennt sich multidomain- oder wildcard-Zertifikat.
Preissuche gelingt jetzt mit der Suchmaschine Deiner Wahl,
LG, Thomas
Moin,
Klar kannst du jetzt noch welches kaufen, das 1-2 Jahre gültig ist. Aber die genannte Problematik holt sich früher oder später ein.
Gruß,
Dani
Im Zertifikat soll sowohl der interne, als auch der externe Domain Name stehen!
Kannst du ab dem 31.10.2015 vergessen. Ab da stellt kein Anbieter Zertifikate aus, welche .local, .lan o.ä. beinhalten sollen.Klar kannst du jetzt noch welches kaufen, das 1-2 Jahre gültig ist. Aber die genannte Problematik holt sich früher oder später ein.
Gruß,
Dani
Ja aber wie löst ihr so ein Problem dann?
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€
Ja aber wie löst ihr so ein Problem dann?
Wir haben unseren Forest komplett von Microsoft Engineers umbenennen lassen. Kostet aber viel Zeit, Nerven und Geld. War bei uns mit den gegebenen Eigenheiten die einzigste Lösung.In deinem Fall würde ich auf Split-DNS setzen. Leicht verständlich und einfach umzusetzen.
Gruß,
Dani
_Einen_ einzigen Namen verwenden,und zwar den externen Namen! Dein Server hat nach wie vor als Hostname deinen internen Namen, aber die ganzen Exchange Dienste laufen intern sowie extern über deinen externen Namen. So steht das meines Wissens auch in dem Bereitstellungs Guide von Exchange im TechNet.
Im lokalen DNS wird dann der externe Name auf die interne IP verwiesen.
https://technet.microsoft.com/de-de/exdeploy2013/Checklist?state=2419-W- ...
Für das SSL Zertifikat kann ich dir CertCenter AG (https://www.certcenter.de/) empfehlen. Nach meiner Sicht, reicht das "GeoTrust QuickSSL Premium" Zertifikat vollkommen aus.
Im lokalen DNS wird dann der externe Name auf die interne IP verwiesen.
https://technet.microsoft.com/de-de/exdeploy2013/Checklist?state=2419-W- ...
Split-DNS ist ein Konzept, das Ihnen das Konfigurieren unterschiedlicher IP-Adressen für denselben Hostnamen ermöglicht – abhängig davon, woher die ursprüngliche DNS-Anforderung stammt. Diese Technologie wird auch als Split-Horizon-DNS, Split-View-DNS oder Split-Brain-DNS bezeichnet. Mit Split-DNS können Sie die Anzahl von Hostnamen verringern, die für Exchange verwaltet werden. Dies wird erreicht, indem Sie Ihren Clients – unabhängig davon, ob sie sich über das Internet oder aus dem Intranet verbinden – ermöglichen, über denselben Hostnamen eine Verbindung mit Exchange herzustellen. Split-DNS macht es möglich, dass aus dem Intranet stammende Anforderungen eine andere IP-Adresse erhalten als Anforderungen, die aus dem Internet empfangen werden. Beispielsweise werden externe Internetbenutzer, die "www.contoso.com" besuchen, an die öffentliche Website des Unternehmens weitergeleitet, während Mitarbeiter im Intranet an die private Intranetsite des Unternehmens weitergeleitet werden.
Es empfiehlt sich, Exchange 2013 in einer Split-DNS-Konfiguration bereitzustellen. Abgesehen von der Vereinfachung der Bereitstellung verringert Split-DNS auch die Anzahl von alternativen Antragstellernamen (SANs), die für die SSL-Zertifikate erforderlich sind, die Sie zum Schützen der Verbindungen mit Ihrem Clientzugriffsserver verwenden. Mithilfe der Schritte in dieser Prüfliste können Sie Ihre neue Exchange 2013-Organisation für die Verwendung von Split-DNS konfigurieren. Anschließend können Sie dieselbe URL verwenden, beispielsweise "owa.contoso.com", um über das Internet und Intranet auf Ihren Exchange 2013-Server zuzugreifen.
HinweisAnmerkung:Es empfiehlt sich, Exchange 2013 in einer Split-DNS-Konfiguration bereitzustellen. Abgesehen von der Vereinfachung der Bereitstellung verringert Split-DNS auch die Anzahl von alternativen Antragstellernamen (SANs), die für die SSL-Zertifikate erforderlich sind, die Sie zum Schützen der Verbindungen mit Ihrem Clientzugriffsserver verwenden. Mithilfe der Schritte in dieser Prüfliste können Sie Ihre neue Exchange 2013-Organisation für die Verwendung von Split-DNS konfigurieren. Anschließend können Sie dieselbe URL verwenden, beispielsweise "owa.contoso.com", um über das Internet und Intranet auf Ihren Exchange 2013-Server zuzugreifen.
Der Bereitstellungs-Assistent konfiguriert Ihre Exchange 2013-Bereitstellung so, dass interne und externe Benutzer für den Zugriff auf Ihren Exchange-Server dieselbe URL verwenden können. Falls Sie für Ihre Organisation über ein anderes Adressschema verfügen, können Sie die internen und externen URLs so anpassen, dass sie dem Schema entsprechen.
Für das SSL Zertifikat kann ich dir CertCenter AG (https://www.certcenter.de/) empfehlen. Nach meiner Sicht, reicht das "GeoTrust QuickSSL Premium" Zertifikat vollkommen aus.
Zitat von @geforce28:
Ja aber wie löst ihr so ein Problem dann?
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€
Ja aber wie löst ihr so ein Problem dann?
Nur ein Zertifikat für extern ausstellen und alles über den externen Weg laufen lassen?
(Auch das was eig intern gehen würde??€
Ein externes für den SMTP Verkehr nach aussen und mobilen Zugriff, einen Connector der diese FQDN bedient und ein internes selbstsigniertes von der Domain PKI für den ganzen internen Verkehr dort kann man dann mehrere alternative Names eintragen.
Exchange 2007 hat noch gemeckert wenn man den lokalen Connector auf die externe URL verbiegt, beim Einsatz von mehreren Exchange Servern kam es da zu Problemen der Kommunikation untereinander, ob das beim 2013er auch noch so ist weiß ich nicht.
Aber es schadet grundsätzlich nicht auch einen Connector mit internem FQDN zu haben, solange es dafür ein Zertifikat gibt.
So hallo nochmal.
Ich bin eurer Empfelung nachgegangen und habe mir ein Zertifikat bei "https://www.certcenter.de" gekauft.
Hat super geklappt.
Nun habe ich das Zertifikat aktiviert auf dem Exchange und der Browser (Firefox / IE) erkennt die Verbindung auch direkt als "sicher" und "verschlüsselt".
Wenn ich mich nun im OWA (Exchange 2013) einlogge verschwindet nach dem Login das "Schloss" und es steht dort:
"Die Webseite stellt keine Identitätsdaten zur Verfügung.
Die Verbindung zu dieser Webseite ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält (z.B. Grafiken) oder die Verschlüsselung ist nicht stark genug."
Ist das normal, dass "nur" der Login komplett verschlüsselt ist ?
Kann das mal jemand bei sich nachvollziehen, ob das dort auch so ist ?
Ich bin eurer Empfelung nachgegangen und habe mir ein Zertifikat bei "https://www.certcenter.de" gekauft.
Hat super geklappt.
Nun habe ich das Zertifikat aktiviert auf dem Exchange und der Browser (Firefox / IE) erkennt die Verbindung auch direkt als "sicher" und "verschlüsselt".
Wenn ich mich nun im OWA (Exchange 2013) einlogge verschwindet nach dem Login das "Schloss" und es steht dort:
"Die Webseite stellt keine Identitätsdaten zur Verfügung.
Die Verbindung zu dieser Webseite ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält (z.B. Grafiken) oder die Verschlüsselung ist nicht stark genug."
Ist das normal, dass "nur" der Login komplett verschlüsselt ist ?
Kann das mal jemand bei sich nachvollziehen, ob das dort auch so ist ?
Hallo,
bei mir ist es nach dem Login immer noch verschlüsselt und so sollte es ja auch sein. Sind eventuell nicht alle notwendigen DNS Namen im Zertifikat drin? Sind die DNS Namen auch richtig konfiguriert und stehen die notwendigen auch im Zertifikat als SAN (Subject Alternate Name) drin?
Gruß,
Burak
bei mir ist es nach dem Login immer noch verschlüsselt und so sollte es ja auch sein. Sind eventuell nicht alle notwendigen DNS Namen im Zertifikat drin? Sind die DNS Namen auch richtig konfiguriert und stehen die notwendigen auch im Zertifikat als SAN (Subject Alternate Name) drin?
Gruß,
Burak
Welche DNS Namen sollten denn nicht drinstehen ?
Habe nur die Domaine drinstehen "xxx.de"
"xxx.local" geht ja nicht... oder was sollte noch drinstehen ?
Habe nur die Domaine drinstehen "xxx.de"
"xxx.local" geht ja nicht... oder was sollte noch drinstehen ?
Habe jetzt herausgefunden, dass dieser "Fehler" beim Firefox nur kommt, wenn ich eine e-Mail aufmache, welche auf externe html Inhalte verweist...
Ist dann wohl doch alles okay ?
Ist dann wohl doch alles okay ?
Zitat von @geforce28:
Habe jetzt herausgefunden, dass dieser "Fehler" beim Firefox nur kommt, wenn ich eine e-Mail aufmache, welche auf
externe html Inhalte verweist...
Ist dann wohl doch alles okay ?
Habe jetzt herausgefunden, dass dieser "Fehler" beim Firefox nur kommt, wenn ich eine e-Mail aufmache, welche auf
externe html Inhalte verweist...
Ist dann wohl doch alles okay ?
Prinzipiell sollte die Domain reichen, unter der dein Mailserver extern erreichbar ist.
Du kannst ja per powershell mal die OWA Seite entfernen und neu erstellen, bzw. dort prüfen ob die interne und externe URL richtig ist, also auf den FQDN des Mailservers zeigt. Normalerweise ist das sowas wie mail.firmenname.de. War jetzt aus deinem Post nicht klar ersichtlich ob du Wildcard nutzt oder den FQDN.
Ne, kein Wildcard, sondern nur die FQDN...
Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.
Owa ist per xxx.de/owa erreichbar.
intern, als auch extern!
OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?
Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.
Owa ist per xxx.de/owa erreichbar.
intern, als auch extern!
OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?
Zitat von @geforce28:
Ne, kein Wildcard, sondern nur die FQDN...
Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.
Ne, kein Wildcard, sondern nur die FQDN...
Also mit Subdomains arbeite ich auch garnicht. Gibt keine Subdomains.
Du sagst also der Mailserver ist unter deiner Hauptdomain erreichbar? Hostest du denn deine Firmenhomepage auch intern unter der selben IP?
Die Konstellation hatte ich leider noch nie, daher kann ich dir da keine qualifizierte Aussage treffen.
Owa ist per xxx.de/owa erreichbar.
intern, als auch extern!
OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?
intern, als auch extern!
OWA Seite entfernen und neu erstellen, hört sich für mich jetzt etwas "gefährlich" an...
Habe ich auch noch nie gemacht.. Wozu ist das konkret von nöten ? Und wie mache ich das ?
Dafür gibt es Powershell Commandlets, die findet man auf google etliche Anleitungen.
Such mal nach Remove-OwaVirtualDirectory und New-OwaVirtualDirectory.
Der Server macht das bei der Installation der CAS-Rolle automatisch, das ist hilfreich wenn man FQDNs ändert oder versehentlich die SSL-Settings im IIS verdreht hat.
Ja, sowohl die Firmenhomepage als auch der Exchange ist unter der selben public IP erreichbar ... !
Das mit dem Remove-OwaVirtualDirectory und New-OwaVirtualDirectory ist ja sehr simpel, will ich aber nicht machen, wenn es nicht unbedingt nötig ist.
CertCenter hat einen sehr guten und, wie ich finde kompetenten Support und die sagen, das wäre normal, dass wenn e-Mails gelanden werden, mit externem HTML Inhalt, dass dort dann so ein "Fehler" kommt...
Jetzt weiß ich nicht so recht, ob ich dem glauben schenken sollte oder nicht ?!
Das mit dem Remove-OwaVirtualDirectory und New-OwaVirtualDirectory ist ja sehr simpel, will ich aber nicht machen, wenn es nicht unbedingt nötig ist.
CertCenter hat einen sehr guten und, wie ich finde kompetenten Support und die sagen, das wäre normal, dass wenn e-Mails gelanden werden, mit externem HTML Inhalt, dass dort dann so ein "Fehler" kommt...
Jetzt weiß ich nicht so recht, ob ich dem glauben schenken sollte oder nicht ?!
