Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 2004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Exchange veröffentlichen & Zertifikate

SQLException
Hallo,

ich bereite gerade die Veröffentlichung unseres Exchange vor (aktuell werden mit einem Pop-Connector Sammelpostfächer beim Provider abgeholt).

Der Exchange hat ein selbstsigniertes, 5 Jahre gültiges Zertifikat. Nun habe ich ein SSL-Zertifikat von GlobalSign besorgt mit allen benötigten Subdomains.

domain.de
www.domain.de
autodiscover.domain.de
mail.domain.de
owa.domain.de
mx.domain.de
remote.domain.de
nocheineweiteremaildomain.de
www.nocheineweiteremaildomain.de

"remote.domain.de" ist der Hostname der UTM und daher eigentlich nicht nötig gewesen in diesem Zertifikat. Die UTM hat ein selbstsigniertes.

"mail.domain.de" gabs kostenlos dazu (owa/autodiscover ebenso), benutzen kann ich "mail" allerdings nicht, da diese Subdomain von meinem Provider benutzt wird für interne Zwecke (kann hierfür auch keinen MX setzen).

Daher möchte ich "mx.domain.de" für meinen Exchange hernehmen.

Entsprechend habe ich mein gekauftes Zertifikat dem virtuellen Webserver zugeteilt und nur die Domains

autodiscover / owa / mx

ausgewählt. Anbieten möchte ich meinen Usern Outlook benutzen zu können, für externe Mitarbeiter auch ohne VPN (dafür sollte dann autodiscover + mx reichen?), sowie owa per Webbrowser.

EAS wird aktuell auch schon gemacht, durch entsprechendes geNATte und eine manuelle Konfiguration der Smartphones (es muss manuell als Server remote.domain.de eingegeben werden, da noch keine autodiscover Funktionalität) funktioniert dies auch. Zukünftig soll EAS natürlich auch ohne diese Spezialkonfig funktionieren. Mailadresse eingeben + Passwort und los gehts.

Der Exchange soll bei dem Ganzen den Hostnamen mx.domain.de bekommen.

1. Ist das soweit ok/machbar oder habe ich etwas übersehen?

2. Die größere Frage ist, was ist mit dem selbstsignierten Zertifikat des Exchange, muss dieses auch durch mein Gekauftes ersetzt werden? Ich denke mal nicht, denn sonst würde es hier eine Diskrepanz geben. Meine zahlreichen (internen, also ohne VPN) Outlook-Benutzer erreichen den Exchange aktuell über "exchange.domain.local" (so ist es bei den ganzen Desktops-Rechnern eingerichtet).

Würde ich nun das gekaufte Zertifikat einspielen am Exchange, käme vermutlich bei allen Usern der Hinweis, "mx.domain.de" würde nicht zum Servernamen passen (da dieser intern vom Outlook-Cleint wohl nach exchange.domain.local aufgelöst wird, außer ich biege das durch irgendwelche NAT-Regeln um).

Was wäre hier empfehlenswert?
.


This thread was automatically locked due to age.
  • 0
    Empfehlenswert wäre das TechNet von Microsoft, speziell Exchange. Grundsätzlich passt alles irgendwie, je nach Anspruch und Erfordernis. In diesem Forum geht es um die UTMs und ggg der Implementierung der Zertifikate und nicht um die PKI, bzw. der dahinter stechenden Infrastrukturkonzepte.
Cookie Information Banner