none
STARTTLS-SMTP -CommonName -DomainName RRS feed

 > 

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wie gesagt: Kommt auf den Verwendungszweck an.

    Normalerweise trägt man einen FQDN im Connector ein, der zum PTR der IP-Adresse passt und dieser steht dann auch im Zertifikat.

    Damit ergibt sich alleine, dass das kein interner Name ist.

    Und der Begriff FQDN bedeutet übrigens Fully Qualified Domain Name. Darum ergibt sich wiederum, dass das kein Domain Suffix ohne Hostname sein kann. ;)

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 19. August 2014 09:58
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    der CN ist der Hauptname, der beim Zerti auf der ersten Seite steht. -DomainName sind die weiteren Namen für ein SAN-Zertifikat.

    Wenn Du für Domainsecurity ein dediziertes Zertifikat brauchst, solltest Du den CN korrekt setzen. Für normales TLS reicht i.d.R. wenn der Name im SAN ist.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 19. August 2014 09:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Wenn Du für Domainsecurity ein dediziertes Zertifikat brauchst, solltest Du den CN korrekt setzen. Für normales TLS reicht i.d.R. wenn der Name im SAN ist.

    Okay, dann im CN der FQDN der im EHLO Kommando steht. Kann ich dann den DomainName weg lassen oder was schreib ich da rein? Den internen AD FQDN oder das Domain Suffix ohne Hostname?

    Thx & Bye Tom

    Dienstag, 19. August 2014 09:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wie gesagt: Kommt auf den Verwendungszweck an.

    Normalerweise trägt man einen FQDN im Connector ein, der zum PTR der IP-Adresse passt und dieser steht dann auch im Zertifikat.

    Damit ergibt sich alleine, dass das kein interner Name ist.

    Und der Begriff FQDN bedeutet übrigens Fully Qualified Domain Name. Darum ergibt sich wiederum, dass das kein Domain Suffix ohne Hostname sein kann. ;)

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 19. August 2014 09:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Normalerweise trägt man einen FQDN im Connector ein, der zum PTR der IP-Adresse passt und dieser steht dann auch im Zertifikat.

    Jupp der FQDN im EHLO Kommando passt zum PTR Record im DNS. Also diesen, okay.

    > Und der Begriff FQDN bedeutet übrigens Fully Qualified Domain Name. Darum ergibt sich wiederum, dass das kein Domain Suffix ohne Hostname sein kann. ;)

    Das [Domain Suffix ohne Hostname] stand dann im Kontext von -DomainName und was da rein gehört. Ein Domain Name muss nicht explizit ein FQDN sein. IMHO beschreibt das sogar nur den Domänen-Teil des FQDNs. Aber an dieser Stelle ist die Terminologie in der Fachliteratur etwas schwammig. Gelernt hätte ich es zumindest so: Hostname (www) + Domain Name (domain.de) = FQDN: www.domain.de

    Thx & Bye

    Dienstag, 19. August 2014 10:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    was ein FQDN ist, ist eigentlich klar und so beschreiben, wie Du es auch sagst.

    Falsch benannt ist der Schalter "-DomainName" weil es sich hier eigentlich nicht nur um den Domänenname handelt, sondern normalerweise um einen FQDN.

    Bei SSL macht es einen Unterschied, ob ich eine Verbindung zu "www.webseite.xxx" oder zu "webseite.xxx" aufrufe. Das Zertifikate muss zu beidem passen (solange man kein Wildcard nimmt).

    Na ja, man könnte jetzt darüber streiten, ob "webseite.xxx" gleichzeitig auch ein FQDN ist, weil ja dahinter ein Gerät antwortet, also der kurze Name ansich schon "fully qualified" ist.

    Allerdings war Deine Frage ja, ob Du den FQDN oder nur den Domain Suffix (also einen Teil des FQDN) nimmst, und da ist die Antwort eindeutig: Den FQDN.

    Nun triften wir aber ab. :)

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 19. August 2014 11:01
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Allerdings war Deine Frage ja, ob Du den FQDN oder nur den Domain Suffix (also einen Teil des FQDN) nimmst, und da ist die Antwort eindeutig: Den FQDN. Nun triften wir aber ab. :)

    Doch, doch, dass war schon einer der Punkte die mir nicht ganz klar waren. Also auch hier (-DomainName) ein FQDN. Dann macht eigentlich bloß der selbe wie im CommonName Sinn, weil weder der interne FQDN, noch der für die ganzen OWA Geschichten an dieser Stelle irgendeinen Sinn ergibt.

    Mir dämmert auch langsam, dass wir bislang wohl die ganzen Zertifikatsanforderungen über OpenSSL ausgestellt haben müssen, weil wir ja schon zwei Zertifikate haben und mir der Vorgang hier doch so arg fremd vorkommt. Ich mache es jetzt dennoch mal mit Microsoft Power Shell Syntax und dokumentiere das, dann muss ich (hoffentlich) nicht noch mal so blöd fragen... ;-)

    Thx & Bye Tom

    Dienstag, 19. August 2014 11:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    > Falsch benannt ist der Schalter "-DomainName" weil es sich hier eigentlich nicht nur um den Domänenname handelt, sondern normalerweise um einen FQDN.

    Ich habe den Schalter jetzt einfach weggelassen. Comodo (Die signierende Root CA) wollte dann aber noch das Bundesland (s=) und den Ort (l=) in der Anforderung stehen haben. Das Zertifikat funktioniert auch, dass haben einige Online Test Seiten bestätigt.

    Aber zum Dokumentieren hat sich die ganze Aktion nicht geeignet. Da wäre eine wirklich handfeste Doku aber dringend von Nöten. Wir haben uns das alles aus etlichen Tutorials zusammenglauben müssen. Das kann Microsoft eigentlich besser...

    Thx & Bye Tom

    Mittwoch, 20. August 2014 07:15
    |