none
Exchange 2013 Zertifikate - Eigene CA oder "Normales Zertifikate" RRS feed

  • Frage

  • Hallo zusammen,

    ich migriere gerade von EX2003 -> EX2010 -> EX2013. EX2010 soll dabei nur ein Zwischenschritt darstellen und nach Möglichkeit gar nicht bzw. nur kurzzeitig zum Einsatz kommen. Die Migration ist in meiner Testumgebung soweit durch, nur noch das Thema Zertifikate fehlt.

    Der Exchange Server (2003 sowie zukünftig 2013) ist in unserem LAN vorhanden und kommuniziert via PopCon und SmartHost mit externen Mailservern. Er ist also nicht direkt vom Internet aus erreichbar. Ein paar Benutzer haben via Handy und VPN die Möglichkeit auf unseren EX2003 (später EX2013) zuzugreifen.

    Da wir vorher EX2003 (SBS) eingesetzt haben war das Thema Zertifikate kein Thema. Offensichtlich kommen wir da mit EX2013 nicht mehr drumherum, da ansonsten Outlook permanent meckert.

    Die Frage ist nur wie man das ganze am besten aufsetzt:

    1. Die erste Möglichkeit wäre aus der jetzigen Sicht, das wir eine eigene CA mit dem Server 2012 aufsetzen. Dieses habe ich nach folgender Anleitung (http://www.frankysweb.de/?p=1614) durchgeführt und bisher funktioniert es ohne Probleme, d.h. es kommt in Outlook keine Warnung mehr etc.
    2. Die zweite Möglichkeit wäre ein "normales" Zertifkat zu besorgen und das zu installieren.

    Dazu meine Fragen:

    1. Ist die Lösung 1. gangbar wenn wir den Exchange Server quasi nur intern benutzen? Wenn ja, wie sieht es mit externen Geräten (Handy's) aus, die sich via VPN einwählen und nicht Teil der Domäne sind?
    2. Wenn Lösung 1 nicht akzeptabel ist wo gibt es nach eurer Meinung die günstigsten Zertifikate?

    Danke euch!

    Gruß RaBu


    • Bearbeitet RaBu78 Donnerstag, 18. April 2013 10:31
    Donnerstag, 18. April 2013 10:31

Antworten

  • Moin,

    Der Exchange Server (2003 sowie zukünftig 2013) ist in unserem LAN vorhanden und kommuniziert via PopCon

    POP-Connectoren sind doof, und machen mehr Probleme, als sie lösen. Denk hier lieber mal über eine saubere SMTP-Zustellung nach.

    Da wir vorher EX2003 (SBS) eingesetzt haben war das Thema Zertifikate kein Thema. Offensichtlich kommen wir da mit EX2013 nicht mehr drumherum, da ansonsten Outlook permanent meckert.

    Korrekt.

    Die Frage ist nur wie man das ganze am besten aufsetzt:

    Das ist leider keine Frage, die man nebenbei in einem Forum beantworten kann - weil es keine Standardlösung gibt.

    Zum einen braucht man ein wenig Wissen über Zertifikate allgemein, zum anderen aber auch Wissen über das Netzwerk, DNS, Geräte, usw.

    Aber Deine Frage war ja:

    1. Ist die Lösung 1. gangbar wenn wir den Exchange Server quasi nur intern benutzen? Wenn ja, wie sieht es mit externen Geräten (Handy's) aus, die sich via VPN einwählen und nicht Teil der Domäne sind?

    Der einzige Unterschied zwischen externen und internen Zertifikaten, ist die automatische Vertrauenswürdigkeit externer Zertifikate. Und da extern direktes Geld kosten (die internen aber auch - Arbeitszeit!), lautet für mich die wichtigste Frage also immer: Interne oder viel externe Verwendung.

    Nach Deiner Beschreibung würde ich sagen, ein internes Zertifikat reicht. Die internen Clients bekommen das Root-CA-Zertif per GPO und sollte es doch mal den einen oder anderen Externen geben, dann wird ihm das Root-CA-Zert halt per Mail geschickt, mit einer drei Bilder Anleitung, wo er es hinimportieren muss.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert RaBu78 Freitag, 19. April 2013 06:38
    Donnerstag, 18. April 2013 12:08