locked
Mehrere https-Dienste mit einer public IP RRS feed

  • Frage

  • Ich möchte mehrere https-Dienste, wie Exchange, Sharepoint oder irgendwann mal Lync mit TMG2010 veröffentlichen. Der TMG steht hinter einem Router und hat einen Weblistener mit dem Zertifikat mail.contoso.com und autodiscover.contoso.com. Exchange und interne/externe Clients laufen problemlos.

    Das Problem dabei ist, dass ich nur eine öffentliche IP-Adresse habe und ich für den Sharepoint ein eigenes Zertifikat benötige (soll unter extranet.contoso.com erreichbar sein). An den 443 Weblistener kann ich aber nur ein Zertifikat, das des Exchange, binden. 

    Gibt es einen Workaround, wie ich bei einer öffentlichen IP, beide Dienste mail.contoso.com und extranet.contoso.com, jeweils mit einem eigenen SSL-Zertifikat geschützt hinter einem TMG veröffentlichen kann?

    Hätte ein Wildcard-Zertifikat irgendwelche Nachteile?

    Freitag, 15. März 2013 10:00

Antworten

  • Hi,

    dann verwende ein Wildcard Zertifikat.
    Du kannst mit Host Headern bei HTTP und HTTPS arbeiten um mit einer IP mehrere Server zu veroeffentlichen. Das ist kein Problem. Du kannst aber nur ein Zertifikat an eine IP Adresse binden


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 18. März 2013 07:39
    • Als Antwort markiert Alex Pitulice Mittwoch, 20. März 2013 15:27
    Samstag, 16. März 2013 09:32

Alle Antworten

  • Hi,

    ein Wildcard Zertifikat ist natuerlich das einfachste, wenn auch aus Sicherheitsgruenden gesehen nicht die beste Loesung. Alternativ das SAN Zertifikat um weitere SAN erweitern:
    http://technet.microsoft.com/en-us/library/cc995207.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 15. März 2013 14:04
  • Ein Wildcard-Zertifikat wäre mir eigentlich nicht so recht und auch das bestehende Zertifikat für Exchange kann ich nur mit Zusatzkosten verändern. Das wäre einmal kein Problem, aber beim nächsten Webserver müsste ich es dann wieder um weitere SAN erweitern. Und dann wieder...

    Was wäre denn eine alternative Lösung? Gibt es keine Möglichkeit den Header irgendwie auszuwerten und dann an unterschiedliche Listener zu schicken oder es anders umzuleiten?

    Freitag, 15. März 2013 18:04
  • Hi,

    dann verwende ein Wildcard Zertifikat.
    Du kannst mit Host Headern bei HTTP und HTTPS arbeiten um mit einer IP mehrere Server zu veroeffentlichen. Das ist kein Problem. Du kannst aber nur ein Zertifikat an eine IP Adresse binden


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Montag, 18. März 2013 07:39
    • Als Antwort markiert Alex Pitulice Mittwoch, 20. März 2013 15:27
    Samstag, 16. März 2013 09:32