Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung

Tech-Archive recommends: Fix windows errors by optimizing your registry

From: "Frank Carius $MVP$" <frank@xxxxxxxxxxxxxxxxxx>
Date: Wed, 14 May 2008 23:46:39 +0200

"Frank Hartmann" <fh(at)bcs-mail.de.nospam> schrieb im Newsbeitrag news:F8BC0CB1-8BC0-4D33-A398-31AD78A86623@xxxxxxxxxxxxxxxx

Es geht diesmal um einen Kunden, bei dem ich am Wochenende einen Exchange
2003 Server ins Internet bringen soll. Das ist zunächst mal kein Problem,
aber der Kunde will auch OWA und RPC over HTTP nutzen. Außerdem muss
BlackBerry per POP3 auf den Server zugreifen. Wir brauchen also ein
verifizierbares Zertifikat, um SSL nutzen zu können. Das ist für mich
Neuland, sowohl die Exchange Dienste als auch das zu beantragende Zertifikat.

der Kunde hat ein Blackberry handheld und will dann POP3 machen ?.
Schau mal nach Balckberry Express. das ist ein BES-Server für wenige geräte
allemal besser als POP3.

Über vorab, indem du dir bei Thawte oder anderne einfach ein testzertifikat (30 tage) erstellst.

Zunächst mal gibt es das Problem, dass mein Vorgänger die Windows-Domäne als
Gesamtstruktur mit dem Namen standort.firma.de eingerichtet hat, die bislang
bei 1&1 gehostete Email-Domäne aber firma.de heißt. Muss ich da irgendwas
beachten? Der MX-Record müsste ja dann z.B. mail.firma.de lauten, intern
heißt der Server aber ja dann mail.standort.firma.de.

Das ist egal.
Der MX-record für "firma.de" verweist auf eine IP-Adresse und die muss zum Exchange kommen
Wie der Server dahiner heisst ist egal

Wenn ich das richtig verstehe, akzeptiert Exchange 2003 keine SAN
Zertifikate?

Das ist eine frage des IIS (wfür OWA und RPC/HTTP)

Das hieße ja, ich müsste für jeden Dienst ein eigenes anfordern.
Oder habe ich was falsch verstanden und nur der Assistent zur
Zertifikatsanforderung kann keine SAN Zertifikate anfordern? Aber wie fordere
ich dann eins an?

Zertifikate werden auf einem NAMEN ausgestellt !!
Also kauf dir ein Zertiifkat üerb" mobil.firma.de" o.ä und nutze das einfach für OWA, POP3., IMAP$ etc.

nur wenn du mehrere Namen/IP_Adresen/Server nutzenwillst, dann musst du mehrere Zertifikate nutzen

Was mir auch nicht klar ist: Muss ich einen A-Record registrieren lassen?

Für OWA, POP3 etc ja, wie sonst können die Clients denn deinen Server erreichen

Die URL im Zertifikat muss ja exakt so sein, wie ich sie im Browser eingebe,
wenn ich z.B. OWA nutzen möchte. Da hatten wir eigentlich vor, einfach die
externe IP zu benutzen. Aber im Zertifikat wird ja ein DNS Name gefordert.

Ja halt genau der der im Internet DNS auch auflösbar ist und auf den Exchange lenkt.

Oder kann ich da den A-Record benutzen, der zum MX-Record gehört, also
mail.firma.de? Und da haben wir wieder das Problem: Die Seite heißt intern ja
https://mail.standort.firma.de/exchange, extern aber
https://mail.firma.de/exchange. Was steht denn dann im Zertifikat? Beide?

Beide wenn ein SAn Zerit (und teuer)
also nur "mail.firma.de" und wer von intern kommt bekommt eben ne Zertifkat warnung.
oder du richtest einenzweitenIIS ein, einer von intern und der anderen vo nExtern.
dann hat du intern z.B: ein privates Zertifikat und extern das offizielle

... Ihr merkt schon, ich verstehe es einfach nicht.

Es ist einfach, wen man mal verstanden hat, was Zertifikate machen und wie es geht.
es erscheint dir erst mal nur schwer.

Ehe du aber geld ausgibst, TESTZertifikate stellt fast jede CA aus

Falls von Belang: Alle Server 2003 Standard, Firewall ist Watchguard Firebox
X550e, Exchange wird per 1:1 NAT erreicht.

Dann ist das keine Firewall sondern ein NAT-Router. eine Firewall kann selbst SSL terminieren und in den traffic reinschauen. und es gibt immer noch leute die eine Appliance mit Post Veröffentlichung als besere Firewall als einen ISA ansehen :-) aber das ist ein anderes Thema

Ich würde meinen IIS auf dem Exchange Server nicht per NAT direkt erreichbar machen.

--
Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Support siehe http://www.netatwork.de/msxfaq.htm
Bitte "Realnamen" verwenden oder müssen Sie sich verstecken ?
Dringendes Problem: eine Telefonnummer kann ich anrufen,wenn Zeit ist
:-) --

.

Follow-Ups:
- Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Hartmann

References:
- DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
  - From: Frank Hartmann

Prev by Date: Desktopbenachrichtigung für neue Mails in öffentlichen Ordnern
Next by Date: Re: IPM_SUBTREE
Previous by thread: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
Next by thread: Re: DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung
Index(es):
- Date
- Thread

Relevant Pages

Re: Verständnisfrage Exchange Server 2007 und Autodiscover Dienst
... meiner Ansicht nach liegt die Krux in Deinem verwendeten Zertifikat. ... Exchange Dienste ... einen ISA Server 2006 im Einsatz. ... Ich habe auch mit einem Test Benutzer ...
(microsoft.public.de.exchange)
Re: Probleme mit HTTPS und ISA 2004
... Kann es sein, dass ich den Thread ... > drei Zertifikate von Exchange Server gelöscht! ... > Soll ich einen installieren und wenn ja auf dem ISA Server oder auf ... Dann im IIS auf dem Exchange ein Zertifikat online anfordern, ...
(microsoft.public.de.german.isaserver)
Re: Exchange Active Sync und Client-Zertifikate
... dass auf dem mobilen Endgerät ein Zertifikat ... so dass die SSL-Verbindung zum ISA Server ... 2004 steht und das Exchange Active Sync funktioniert. ... Zugriff auf EAS? ...
(microsoft.public.de.exchange)
Re: Exchange Direct Push mit ISA 2004
... MVP ISA Server ... Exchange Server 2003 SP2 Mobile Messaging mit windows Mobile 5.0 ... Muss der ISA Servereigentlich auch ein Zertifikat haben? ...
(microsoft.public.de.german.isaserver)
Re: API anstatt keytool/openssl
... den Server mit den CA-Schlüsseln hast du eine PKI nachgebaut. ... Mensch möchte Peer im Netzwerk werden, ... im Keystore und das Zertifikat der Root-CA, womit er ein Registrierung seines Clients im Netz vornehmen kann. ...
(de.comp.lang.java)