locked
Wildcard-Certs und TMG - Welche Probleme können auftreten? RRS feed

  • Frage

  • Hi,

    gibt es bei der Verwendung von Wildcard-Zertifikaten auf dem TMG für Webveröffentlichungen (OWA, EAS, OA usw.) Probleme/Szenarien, in den dieCerts nicht brauchbar sind?


    Grüße/Regards, Jens Klein
    Donnerstag, 4. August 2011 07:12

Antworten

  • Hi,

    generell sind Wildcard Zertifikate natuerlich eine gute Option, einfach unterschiedliche Hosts mit dem gleichen Domaenennamen zu veroeffentlichen. Unter Sicherheitsgesichtspunkten halte ich Wildcard Zertifikate jedoch fuer bedenklich, da man damit ja viele Namen veroeffentlichen kann.
    Fuer OWA/EAS/OA kann man natuerlich ein Wildcard Zertifikat verwenden. Der Exchange 2010 Zertifikatassistent zum Beispiel schlagt auch Wildcard Zertifikate vor.
    So lange Du mit SSL Bridgeing am ISA/TMG arbeitest und somit mit unterschiedlichen Zertifikaten am Exchange und ISA/TMG arbeitest, funktioniert das problemlos.
    Microsoft empfiehlt aber gerade bei der Verwendung von Exchange UCC/SAN Zertifikate. Bei fast allen Exchange Implementierungen habe ich bisher immer UCC/SAN Zertifikate verwendet, aber wie gesagt, Wildcard Zertifikate funktionieren problemlos.
    Zum Thema Zertifikate:
    http://www.msexchange.org/articles_tutorials/exchange-server-2010/management-administration/managing-certificates-exchange-server-2010-part1.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Jens Klein_ Donnerstag, 4. August 2011 09:25
    Donnerstag, 4. August 2011 07:50
  • schließe mich marcs aussage an. was ich häufig bei kunden einsetze: auf tmg z.b. ein zertifikat mit meinem fqdn (webmail.firma.de) und dann ein wildcard auf dem exchanger...
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Jens Klein_ Donnerstag, 4. August 2011 09:25
    Donnerstag, 4. August 2011 09:02

Alle Antworten

  • Hi,

    generell sind Wildcard Zertifikate natuerlich eine gute Option, einfach unterschiedliche Hosts mit dem gleichen Domaenennamen zu veroeffentlichen. Unter Sicherheitsgesichtspunkten halte ich Wildcard Zertifikate jedoch fuer bedenklich, da man damit ja viele Namen veroeffentlichen kann.
    Fuer OWA/EAS/OA kann man natuerlich ein Wildcard Zertifikat verwenden. Der Exchange 2010 Zertifikatassistent zum Beispiel schlagt auch Wildcard Zertifikate vor.
    So lange Du mit SSL Bridgeing am ISA/TMG arbeitest und somit mit unterschiedlichen Zertifikaten am Exchange und ISA/TMG arbeitest, funktioniert das problemlos.
    Microsoft empfiehlt aber gerade bei der Verwendung von Exchange UCC/SAN Zertifikate. Bei fast allen Exchange Implementierungen habe ich bisher immer UCC/SAN Zertifikate verwendet, aber wie gesagt, Wildcard Zertifikate funktionieren problemlos.
    Zum Thema Zertifikate:
    http://www.msexchange.org/articles_tutorials/exchange-server-2010/management-administration/managing-certificates-exchange-server-2010-part1.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Jens Klein_ Donnerstag, 4. August 2011 09:25
    Donnerstag, 4. August 2011 07:50
  • Hallo Marc,

    vielen Dank für die Antwort. Das das so geht ist klar. Ich bin nur auf der Suche nach den möglicherweise hier und da existieren Fallen/kleine Problemchen in speziellen Situationen mit Wildcard-Certs.


    Grüße/Regards, Jens Klein
    Donnerstag, 4. August 2011 08:01
  • Hi,

    also ich sehe kein Problem bei Wildcard Zertifikaten, wenn Du dieses am TMG/ISA verwendest und am Exchange Server ein internes Zertifikat, ausgestellt auf den lokalen FQDN/NetBIOS/Autodiscover Namen.

    Was zu lesen:
    http://blogs.technet.com/b/exchange/archive/2009/11/20/3408856.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 4. August 2011 08:45
  • schließe mich marcs aussage an. was ich häufig bei kunden einsetze: auf tmg z.b. ein zertifikat mit meinem fqdn (webmail.firma.de) und dann ein wildcard auf dem exchanger...
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Jens Klein_ Donnerstag, 4. August 2011 09:25
    Donnerstag, 4. August 2011 09:02
  • So mach ich das auch meistens.

    Danke für Eure Infos.


    Grüße/Regards, Jens Klein
    Donnerstag, 4. August 2011 09:25
  • Hi,

    ein Zertifikat auf den FQDN ausgestellt am TMG kann Probleme bereiten, wenn Autodiscover fuer OA verwendet wird. Hier empfiehlt es sich dann eher ein Wildcard Zertifikat oder SAN Zertifikat zu verwenden:
    http://technet.microsoft.com/en-us/library/aa995942.aspx
    Fuer die interne Verwendung am Exchange empfehle ich ein SAN/UCC Zertifikat, wie es der Exchange 2010 Zertifikat Wizard auch vorschlaegt, welches den internen NetBIOS Namen des CAS Servers und den internen FQDN enthaelt. Dann koennen Benutzer OWA auch intern durch Eingabe des NetBIOS Namen oeffnen, ohne eine Zertifikatfehlermeldung zu erhalten


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 4. August 2011 09:31
  • Hi Jens,

    normalerweise solltest du bei den gewöhnlichen TMG Szenarien und in einem modernen Microsoft Umfeld keine Probleme mit diesen Zertifikaten bekommen.

    Jedoch musst du dir stehts bewusst sein, dass Wildcards innerhalb von CNAMEs nur als ein "MAY" Kriterium in den RFCs ausgewiesen sind. Und diese werden nunmal gerne von Developern übersehen :) Von dem her solltest du immer reguläre Zertifikate verwenden wenn du die Clients nicht vollständig unter deiner Kontrolle hast^^

    RFC 2818: "Names MAY contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com."

    -Kai

    Donnerstag, 4. August 2011 14:48