none
OWA Veröffentlichung über FTMG 2010 - privater Schlüssel erforderlich oder nicht? RRS feed

  • Frage

  • Hallo,

    ich muss diese Frage jetzt hier mal loswerden, da ich es mal 100% wissen muss, ob meine bisherige Verfahrensweise stimmt.

    Ich habe folgende Umgebung: Internet -> FTMG -> Exchange Server 2010.

    Es geht hier ausschließlich um die OWA Veröffentlichung und die Zertfikate. In der Firma haben wir eine Zertifizierungsstelle, die für den den MS Exchange Server ein Computerzertifikat austellt, dieser Server besitzt den privaten Schlüssel dazu und das Zert. wird für OWA verwendet.

    exchange.firma.local

    bei Thawte oder VeriSign wird ein öffentliches Zertifikat gekauft, welches auf den öffentlichen Namen mail.contoso.com ausgestellt ist.

    Konfiguration:

    Auf dem FMTG wird eine Websietveröffentlichungsregel eingerichtet, die auf mail.contoso.com abhört und dann an den internen Exchange Server weiterleitet. Nun die Frage?

    Sehe ich das richtig, auf dem FMTG muss das öffentliche Zertifikat mail.contoso.com in den lokalen Zertifikatsspeicher eingepflegt werden, mit privaten Schlüssel und nirgends wo anders. Und auf dem Exchange Server befindet sich im lokalen Zertifikatsspeicher das Zertifikat  exchange.firma.local mit privaten Schlüssel.

    • Bearbeitet YoWoo Montag, 16. Januar 2012 08:39
    Montag, 16. Januar 2012 08:33

Antworten

  • Moin,

    Sehe ich das richtig, auf dem FMTG muss das öffentliche Zertifikat mail.contoso.com in den lokalen Zertifikatsspeicher eingepflegt werden, mit privaten Schlüssel und nirgends wo anders. Und auf dem Exchange Server befindet sich im lokalen Zertifikatsspeicher das Zertifikat  exchange.firma.local mit privaten Schlüssel.

    die Antwort lautet wie so oft: Das kommt darauf an.... ;)

    Es kommt darauf an, ob Du SSL Bridging oder SSL Tunneling benutzen willst:
    http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html

    In den allermeisten Fällen wird man Bridging verwenden, d.h. das TMG beendet die Verschlüsselung, prüft den Inhalt und verschlüsselt dann nach intern bei Bedarf neu.

    Dann macht man das genau so, wie Du es beschreibst.

    BTW: Das ist auch eine sehr schöne Methode, mit einem günstigen Single-Name-Zertifikat nach extern zu arbeiten und das aufwendige SAN-Zertifikat nur intern durch die eigene PKI zu erstellen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert YoWoo Montag, 16. Januar 2012 09:57
    Montag, 16. Januar 2012 08:56
  • Am 16.01.2012 schrieb YoWoo:
    Hi,

    *Sehe ich das richtig, auf dem FMTG muss das öffentliche Zertifikat mail.contoso.com in den lokalen Zertifikatsspeicher eingepflegt werden, mit privaten Schlüssel und nirgends wo anders.

    Korrekt.

    Und auf dem Exchange Server befindet sich im lokalen Zertifikatsspeicher das Zertifikat  exchange.firma.local mit privaten Schlüssel.*

    Genau.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    • Als Antwort markiert YoWoo Montag, 16. Januar 2012 09:57
    Montag, 16. Januar 2012 08:57

Alle Antworten

  • Moin,

    Sehe ich das richtig, auf dem FMTG muss das öffentliche Zertifikat mail.contoso.com in den lokalen Zertifikatsspeicher eingepflegt werden, mit privaten Schlüssel und nirgends wo anders. Und auf dem Exchange Server befindet sich im lokalen Zertifikatsspeicher das Zertifikat  exchange.firma.local mit privaten Schlüssel.

    die Antwort lautet wie so oft: Das kommt darauf an.... ;)

    Es kommt darauf an, ob Du SSL Bridging oder SSL Tunneling benutzen willst:
    http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html

    In den allermeisten Fällen wird man Bridging verwenden, d.h. das TMG beendet die Verschlüsselung, prüft den Inhalt und verschlüsselt dann nach intern bei Bedarf neu.

    Dann macht man das genau so, wie Du es beschreibst.

    BTW: Das ist auch eine sehr schöne Methode, mit einem günstigen Single-Name-Zertifikat nach extern zu arbeiten und das aufwendige SAN-Zertifikat nur intern durch die eigene PKI zu erstellen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert YoWoo Montag, 16. Januar 2012 09:57
    Montag, 16. Januar 2012 08:56
  • Am 16.01.2012 schrieb YoWoo:
    Hi,

    *Sehe ich das richtig, auf dem FMTG muss das öffentliche Zertifikat mail.contoso.com in den lokalen Zertifikatsspeicher eingepflegt werden, mit privaten Schlüssel und nirgends wo anders.

    Korrekt.

    Und auf dem Exchange Server befindet sich im lokalen Zertifikatsspeicher das Zertifikat  exchange.firma.local mit privaten Schlüssel.*

    Genau.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    • Als Antwort markiert YoWoo Montag, 16. Januar 2012 09:57
    Montag, 16. Januar 2012 08:57
  • Danke :)
    Montag, 16. Januar 2012 09:57