none
Zertifikat bestellen - Subdomain = Hostname? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich möchte den Zugriff auf einen Exchangeserver 2013 per IOS Outlook-App bereitstellen. Die akzeptiert aber nur ein sichers Zertifikat, sodass nichtmal ein Test per VPN möglich ist, zumindest bekomme ich das nicht hin. Wenn ich nun bei 1&1 ein Starter-Zertifikat bestellen möchte, gebe ich dann als Subdomain den Servernamen an oder den Hostnamen der Sophos Firewall, die die Anfragen an den Exchange weiterleitet?

    Gruß Martin 

    Samstag, 24. Juni 2017 12:21
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da die Telefone sich ja vermutlich meistens aus externen Netzen connecten werden, scheidet alles mit .local schon mal aus. Du wirst bei einer öffentlichen CA ohnehin kein Zertificat für .local bekommen.

    Bleibt also der externe Name (und es ist NICHT der MX-Eintrag, auch wenn dieser auf denselben Hostnamen verweist! Es besteht nämlich kein technischer Zusammenhang zwischen SMTP und den Webdiensten). Wenn Du die App auch intern betreiben willst, musst Du per Split-Horizon-DNS dafür sorgen, dass der externe Name sich intern zu Deinem Exchange auflöst.

    Das ganze hat noch ein paar Abhängigkeiten mehr im Bereich der Outlook-Clients, aber wenn Du auf einen Namen pro Cert limitiert bist, ist es halt das einzige, was Du machen kannst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Sonntag, 25. Juni 2017 12:05
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    Du musst den Namen angeben, den Dein Handy aufrufen wird, denn es ist das Handy selbst, das überprüft, ob das Zertifikat zum Namen passt.

    Wenn Du die Möglichkeit hast, in dieses Starter-Zertifikat mehrere Namen aufzunehmen, so tust Du gut daran, neben "mail.firma.de" (äußerer DNS-Name Deiner Sophos) auch autodiscover.firma.de zu beantragen, und zwar für jede SMTP-Domain, deren User mit externem Zugriff versehen werden sollen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Samstag, 24. Juni 2017 12:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    Danke, aber hier stellt sich die Frage ob die Outlook-App bei der erweiterten Konfiguration den Mailserver "prüft" (dessen Hostname.local) oder, wenn ich ohne erweiterte Konfiguration arbeite, die Domain der Emailadresse bzw. deren MX-Einträge. Da bin ich mir unsicher. Wenn die Prüfung auf einen MX-Eintrag geht, dann könnte ich das natürlich über den äußeren DNS-Namen der Firewall regeln.

    Im Starter-Paket kann ich leider nur eine Domain bzw. Subdomain auswählen, ein Wildcard-Zertifikat wäre mir auch lieber, aber die Kosten sind mir zu hoch. Deshalb möchte ich beim ersten Versuch treffen ;-)

    Gruß Martin

    Sonntag, 25. Juni 2017 11:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    da die Telefone sich ja vermutlich meistens aus externen Netzen connecten werden, scheidet alles mit .local schon mal aus. Du wirst bei einer öffentlichen CA ohnehin kein Zertificat für .local bekommen.

    Bleibt also der externe Name (und es ist NICHT der MX-Eintrag, auch wenn dieser auf denselben Hostnamen verweist! Es besteht nämlich kein technischer Zusammenhang zwischen SMTP und den Webdiensten). Wenn Du die App auch intern betreiben willst, musst Du per Split-Horizon-DNS dafür sorgen, dass der externe Name sich intern zu Deinem Exchange auflöst.

    Das ganze hat noch ein paar Abhängigkeiten mehr im Bereich der Outlook-Clients, aber wenn Du auf einen Namen pro Cert limitiert bist, ist es halt das einzige, was Du machen kannst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Sonntag, 25. Juni 2017 12:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    ich habe gerade nochmal bei 1&1 geschaut, SSL Starter Plus wäre für 5,99€/Monat akzeptabel. Da sind unbegrenzt Subdomains inklusive. Ich werde das angehen.

    Vielen Dank erstmal für die Aufklärung :-)

    Gruß Martin

    Sonntag, 25. Juni 2017 12:36
    |