DNS und Zertifikatsprobleme bei dummer Domänenbezeichnung

14/05/2008 - 18:53 von Frank Hartmann | Report spam
Es geht diesmal um einen Kunden, bei dem ich am Wochenende einen Exchange
2003 Server ins Internet bringen soll. Das ist zunàchst mal kein Problem,
aber der Kunde will auch OWA und RPC over HTTP nutzen. Außerdem muss
BlackBerry per POP3 auf den Server zugreifen. Wir brauchen also ein
verifizierbares Zertifikat, um SSL nutzen zu können. Das ist für mich
Neuland, sowohl die Exchange Dienste als auch das zu beantragende Zertifikat.

Zunàchst mal gibt es das Problem, dass mein Vorgànger die Windows-Domàne als
Gesamtstruktur mit dem Namen standort.firma.de eingerichtet hat, die bislang
bei 1&1 gehostete Email-Domàne aber firma.de heißt. Muss ich da irgendwas
beachten? Der MX-Record müsste ja dann z.B. mail.firma.de lauten, intern
heißt der Server aber ja dann mail.standort.firma.de. Muss ich dem DNS das
irgendwie beibringen? Und falls ja, wie? Eine lookup-zone firma.de kann ich
jedenfalls nicht einrichten, wohl weil Windows das als übergeordnete Domàne
ansieht.

Wenn ich das richtig verstehe, akzeptiert Exchange 2003 keine SAN
Zertifikate? Das hieße ja, ich müsste für jeden Dienst ein eigenes anfordern.
Oder habe ich was falsch verstanden und nur der Assistent zur
Zertifikatsanforderung kann keine SAN Zertifikate anfordern? Aber wie fordere
ich dann eins an?

Was mir auch nicht klar ist: Muss ich einen A-Record registrieren lassen?
Die URL im Zertifikat muss ja exakt so sein, wie ich sie im Browser eingebe,
wenn ich z.B. OWA nutzen möchte. Da hatten wir eigentlich vor, einfach die
externe IP zu benutzen. Aber im Zertifikat wird ja ein DNS Name gefordert.
Oder kann ich da den A-Record benutzen, der zum MX-Record gehört, also
mail.firma.de? Und da haben wir wieder das Problem: Die Seite heißt intern ja
https://mail.standort.firma.de/exchange, extern aber
https://mail.firma.de/exchange. Was steht denn dann im Zertifikat? Beide? Und
wenn Exchange 2003 keine SUA Zertifikate unterstützt: Muss ich dann für jeden
Dienst 2 Zertifikate anfordern? Ihr merkt schon, ich verstehe es einfach
nicht.

Falls von Belang: Alle Server 2003 Standard, Firewall ist Watchguard Firebox
X550e, Exchange wird per 1:1 NAT erreicht.
 

Lesen sie die antworten

#1 Frank Carius \(MVP\)
14/05/2008 - 23:46 | Warnen spam
"Frank Hartmann" <fh(at)bcs-mail.de.nospam> schrieb im Newsbeitrag
news:
Es geht diesmal um einen Kunden, bei dem ich am Wochenende einen Exchange
2003 Server ins Internet bringen soll. Das ist zunàchst mal kein Problem,
aber der Kunde will auch OWA und RPC over HTTP nutzen. Außerdem muss
BlackBerry per POP3 auf den Server zugreifen. Wir brauchen also ein
verifizierbares Zertifikat, um SSL nutzen zu können. Das ist für mich
Neuland, sowohl die Exchange Dienste als auch das zu beantragende
Zertifikat.



der Kunde hat ein Blackberry handheld und will dann POP3 machen ?.
Schau mal nach Balckberry Express. das ist ein BES-Server für wenige geràte
allemal besser als POP3.

Über vorab, indem du dir bei Thawte oder anderne einfach ein testzertifikat
(30 tage) erstellst.

Zunàchst mal gibt es das Problem, dass mein Vorgànger die Windows-Domàne
als
Gesamtstruktur mit dem Namen standort.firma.de eingerichtet hat, die
bislang
bei 1&1 gehostete Email-Domàne aber firma.de heißt. Muss ich da irgendwas
beachten? Der MX-Record müsste ja dann z.B. mail.firma.de lauten, intern
heißt der Server aber ja dann mail.standort.firma.de.



Das ist egal.
Der MX-record für "firma.de" verweist auf eine IP-Adresse und die muss zum
Exchange kommen
Wie der Server dahiner heisst ist egal


Wenn ich das richtig verstehe, akzeptiert Exchange 2003 keine SAN
Zertifikate?



Das ist eine frage des IIS (wfür OWA und RPC/HTTP)

Das hieße ja, ich müsste für jeden Dienst ein eigenes anfordern.
Oder habe ich was falsch verstanden und nur der Assistent zur
Zertifikatsanforderung kann keine SAN Zertifikate anfordern? Aber wie
fordere
ich dann eins an?



Zertifikate werden auf einem NAMEN ausgestellt !!
Also kauf dir ein Zertiifkat üerb" mobil.firma.de" o.à und nutze das einfach
für OWA, POP3., IMAP$ etc.

nur wenn du mehrere Namen/IP_Adresen/Server nutzenwillst, dann musst du
mehrere Zertifikate nutzen

Was mir auch nicht klar ist: Muss ich einen A-Record registrieren lassen?


Für OWA, POP3 etc ja, wie sonst können die Clients denn deinen Server
erreichen

Die URL im Zertifikat muss ja exakt so sein, wie ich sie im Browser
eingebe,
wenn ich z.B. OWA nutzen möchte. Da hatten wir eigentlich vor, einfach die
externe IP zu benutzen. Aber im Zertifikat wird ja ein DNS Name gefordert.



Ja halt genau der der im Internet DNS auch auflösbar ist und auf den
Exchange lenkt.

Oder kann ich da den A-Record benutzen, der zum MX-Record gehört, also
mail.firma.de? Und da haben wir wieder das Problem: Die Seite heißt intern
ja
https://mail.standort.firma.de/exchange, extern aber
https://mail.firma.de/exchange. Was steht denn dann im Zertifikat? Beide?



Beide wenn ein SAn Zerit (und teuer)
also nur "mail.firma.de" und wer von intern kommt bekommt eben ne Zertifkat
warnung.
oder du richtest einenzweitenIIS ein, einer von intern und der anderen vo
nExtern.
dann hat du intern z.B: ein privates Zertifikat und extern das offizielle

... Ihr merkt schon, ich verstehe es einfach nicht.



Es ist einfach, wen man mal verstanden hat, was Zertifikate machen und wie
es geht.
es erscheint dir erst mal nur schwer.

Ehe du aber geld ausgibst, TESTZertifikate stellt fast jede CA aus

Falls von Belang: Alle Server 2003 Standard, Firewall ist Watchguard
Firebox
X550e, Exchange wird per 1:1 NAT erreicht.



Dann ist das keine Firewall sondern ein NAT-Router. eine Firewall kann
selbst SSL terminieren und in den traffic reinschauen. und es gibt immer
noch leute die eine Appliance mit Post Veröffentlichung als besere Firewall
als einen ISA ansehen :-) aber das ist ein anderes Thema


Ich würde meinen IIS auf dem Exchange Server nicht per NAT direkt erreichbar
machen.



Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Support siehe http://www.netatwork.de/msxfaq.htm
Bitte "Realnamen" verwenden oder müssen Sie sich verstecken ?
Dringendes Problem: eine Telefonnummer kann ich anrufen,wenn Zeit ist
:-) --

Ähnliche fragen