5
SSL-Zertifikat für Exchange, OWA, Remote etc.
Hallo zusammen,
kann man mit einem SSL-Zertifikat alle Dienste wie Mails, OWA, Remote auf dem Server abdecken? Hiermit meine, dass ich ein SSL-Zertifikat auf firma.de erstelle und damit mein Exchnage nicht mit mail.firma.de oder imap.firma.de konfiguriere sondern mit firma.de und die Ports 25, 80, 110, 143 etc. natürlich weiter zum LAN-Exchange-Server leite...
Dann ist der Server sowohl über https://www.firma.de als auch über https://firma.de zu erreichen ist und die Postverwaltung über SSL im Griff hat. Oder werden solche Server von den anderen nicht akzeptiert und damit landen sämtlichen E-Mails nicht bei Empfängern?
Danke für die Tipps!
kann man mit einem SSL-Zertifikat alle Dienste wie Mails, OWA, Remote auf dem Server abdecken? Hiermit meine, dass ich ein SSL-Zertifikat auf firma.de erstelle und damit mein Exchnage nicht mit mail.firma.de oder imap.firma.de konfiguriere sondern mit firma.de und die Ports 25, 80, 110, 143 etc. natürlich weiter zum LAN-Exchange-Server leite...
Dann ist der Server sowohl über https://www.firma.de als auch über https://firma.de zu erreichen ist und die Postverwaltung über SSL im Griff hat. Oder werden solche Server von den anderen nicht akzeptiert und damit landen sämtlichen E-Mails nicht bei Empfängern?
Danke für die Tipps!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204112
Url: https://administrator.de/contentid/204112
Printed on: April 26, 2024 at 00:04 o'clock
5 Comments
Latest comment
Moin,
was du meinst is eine Wilcard-Zertifikat. Haben wir bei uns auch im Einsatz. Kostet erstmal ein bisschen mehr aber bei uns lohnt es sich. Wichtig: Private Key, etc... sehr gut verstecken und ablegen. Denn wenn dieser in falsche Hände kommt kann man sich als deine Firma ausgeben ohne das es der Besucher merkt.
Grüße,
Dani
was du meinst is eine Wilcard-Zertifikat. Haben wir bei uns auch im Einsatz. Kostet erstmal ein bisschen mehr aber bei uns lohnt es sich. Wichtig: Private Key, etc... sehr gut verstecken und ablegen. Denn wenn dieser in falsche Hände kommt kann man sich als deine Firma ausgeben ohne das es der Besucher merkt.
Grüße,
Dani
Hi Dani,
Ja, mit dem Wildcard-Zertifikat verstehe ich. Das war aber nicht meine Absicht. Ich möchte nur über die Ports die Dienste unterscheiden und damit etwas Geld sparen.
D. h. "firma.de" im Exchnage als Empfang- und als Postausgang-Server eintragen. Darüberhiaus sind weitere Diesnte wie https://firma.de/OWA und Remote über https://firma.de/Remote zu erreichen und das alles mit einem einzige Zertifikat! Oder ist er auch an die Portnummer gebunden?!
Danke trotzdem für den Tipp!
Zitat von @Dani:
was du meinst is eine Wilcard-Zertifikat. Haben wir bei uns auch im Einsatz. Kostet erstmal ein bisschen mehr aber bei uns lohnt
es sich. Wichtig: Private Key, etc... sehr gut verstecken und ablegen. Denn wenn dieser in falsche Hände kommt kann man sich
als deine Firma ausgeben ohne das es der Besucher merkt.
was du meinst is eine Wilcard-Zertifikat. Haben wir bei uns auch im Einsatz. Kostet erstmal ein bisschen mehr aber bei uns lohnt
es sich. Wichtig: Private Key, etc... sehr gut verstecken und ablegen. Denn wenn dieser in falsche Hände kommt kann man sich
als deine Firma ausgeben ohne das es der Besucher merkt.
Ja, mit dem Wildcard-Zertifikat verstehe ich. Das war aber nicht meine Absicht. Ich möchte nur über die Ports die Dienste unterscheiden und damit etwas Geld sparen.
D. h. "firma.de" im Exchnage als Empfang- und als Postausgang-Server eintragen. Darüberhiaus sind weitere Diesnte wie https://firma.de/OWA und Remote über https://firma.de/Remote zu erreichen und das alles mit einem einzige Zertifikat! Oder ist er auch an die Portnummer gebunden?!Danke trotzdem für den Tipp!
Darüberhiaus sind weitere Diesnte wie https://firma.de/OWA und Remote über https://firma.de/Remote zu erreichen und das alles mit einem einzige Zertifikat! Oder ist er auch an die Portnummer gebunden?!
Läuft alles auf dem Port 443. Hört sich nach SBS Server an, richtig? Da kannst du im IIS sicherleich mit Rewrite und Ports was machen aber erstes ist das nicht Microsoft Support and 2) kann ich vorstellen, dass einige Assistenten darmit nicht klar kommen.Ansonsten würde es vllt mit einem Reverse Proxy unter Squid funktionieren... ist aber eine längere Geschichte.
Grüße,
Dani
Hi,
sofern es ein SBS ist, kann man durch den Assistenten in der SBS-Console den Zugriff auf den server aus der Ferne automatisiert regeln. Dort kann man auch einstellen, dass kein präfix genutzt werden soll.
z.B. https://domain.de/owa und https://domain.de/remote wären dann die Zugriffsarten.
Der Nachteil ist, dass domain.de als Host-Eintrag im DNS dann auf die öffentliche IP Deines DSL-Anschlusses, oder als CNAME auf einen dyndns-account verweisen müsste. Sofern das nicht Deine Domain ist, die auch die website hostet wäre das OK, ansonsten eher problematisch.
Alternativ und wirklich sinnvoller wäre es z.B. remote.domain.de auf dem öffentlichen Zertifikat zu registrieren. Dann ist Deine Website und emailverwaltung davon unbehelligt.
Sofern Dein Provider SRV-Einträge unterstützt, kannst Du dann auch einen Eintrag für autodiscover erstellen, und benötigst dann für outlook-anywhere, oder Active-Sync kein SAN-Zertifikat. Spart nochmal ein paar Euro im Jahr.
Grüße
sofern es ein SBS ist, kann man durch den Assistenten in der SBS-Console den Zugriff auf den server aus der Ferne automatisiert regeln. Dort kann man auch einstellen, dass kein präfix genutzt werden soll.
z.B. https://domain.de/owa und https://domain.de/remote wären dann die Zugriffsarten.
Der Nachteil ist, dass domain.de als Host-Eintrag im DNS dann auf die öffentliche IP Deines DSL-Anschlusses, oder als CNAME auf einen dyndns-account verweisen müsste. Sofern das nicht Deine Domain ist, die auch die website hostet wäre das OK, ansonsten eher problematisch.
Alternativ und wirklich sinnvoller wäre es z.B. remote.domain.de auf dem öffentlichen Zertifikat zu registrieren. Dann ist Deine Website und emailverwaltung davon unbehelligt.
Sofern Dein Provider SRV-Einträge unterstützt, kannst Du dann auch einen Eintrag für autodiscover erstellen, und benötigst dann für outlook-anywhere, oder Active-Sync kein SAN-Zertifikat. Spart nochmal ein paar Euro im Jahr.
Grüße
Hallo,
Gruß
Filipp
Oder ist er auch an die Portnummer gebunden?!
"der" Zertifikat ist nicht an eine IP oder einen Port gebunden, sonder bestätigt ausschließlich den Hostnamen. Du kannst ein Zertifikat für alle Dienste nutzen, die auf diesen Hostnamen zeigen.Ich möchte nur über die Ports die
Dienste unterscheiden
Selbst wenn du mehrere DNS-Namen verwendest: Am Ende verweisen die (im kleineren Umfeld) alle auf eine IP, und der Server unterscheidet, welcher Dienst angefragt ist, über den Port, auf dem die Anfrage kommt.Dienste unterscheiden
Gruß
Filipp
