Zertifikatstausch /...
 
Benachrichtigungen
Alles löschen

Zertifikatstausch / URLs virtuelle Verzeichnisse anpassen

9 Beiträge
2 Benutzer
0 Reactions
459 Ansichten
beli3ver
(@beli3ver)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
Themenstarter  

Guten Morgen,

heute steht bei uns der Zertifikatstausch des internen Exchange-Servers an, der auch über die Firewall erreichbar ist. Im Zuge dessen, passen wir auch die URL's der virtuellen Verzeichnisse an, um hier eine ordentliche Struktur zur bekommen. Wir haben entsprechend ein Wildcardzertifikat bei SwissSign erworben. Ich würde gerne wissen, ob die folgenden Schritte, vollständig sind, oder ob ich was vergessen habe. Natürlich wurde bereits im internen DNS die neuen Einträge gesetzt und auch im externen DNS (IONOS) wurde die Zone um die neuen Einträge erweitert. Auch haben wir den Reverse Proxy der Firewall bereits vorbereitet.

1. Anpassen der virtuellen Verzeichnisse in Verwendung des Powershell Scripts von Franky aus dieser Anleitung: https://www.frankysweb.de/howto-migration-von-exchange-2013-zu-exchange-2019-teil-1/

2. Installation des Wildcardzertifikats via MMC (ist bereits erfolgt)

3. Zertifikat dem IIS zuweisen

4. Zertifikat mit dieser Anleitung dem SMTP Connector zuweisen: https://www.medvs.com/exchange-2016-2019-smtp-connector-und-wildcard-san-zertifikate/

5. Zertifikat mit diesem Befehlt auch POP und IMAP zuweisen

 

Set-POPSettings -X509CertificateName  outlook.example.de
Set-IMAPSettings -X509CertificateName outlook.example.de

 

6. Server Neustart durchführen

7. Testen Outlook am Client

8. Testen Outlook auf den mobilen Endgeräten (iOS) innerhalb des WLANs und außerhalb

 

Habe ich was vergessen?

 

Dieses Thema wurde geändert Vor 5 Monaten von beli3ver

   
Zitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Veröffentlicht von: @beli3ver

Wir haben entsprechend ein Wildcardzertifikat bei SwissSign erworben

Warum? Zuviel Geld, oder wißt ihr nicht, wie eure Hostnamen heißen sollen/werden? ;)

 

Veröffentlicht von: @beli3ver

2. Installation des Wildcardzertifikats via MMC (ist bereits erfolgt)

 

Falsch. Exchange Zertifikate immer per Exchange Powershell importieren. Gibt genug Threads, die hier schon festgestellt haben, dass man sonst das SMTP Binding nicht richtig hinbekommt.

 

Veröffentlicht von: @beli3ver

3. Zertifikat dem IIS zuweisen

 

Falsch, auch das macht man NUR in der Exchange Powershell oder in der EAC.

 

Veröffentlicht von: @beli3ver

5. Zertifikat mit diesem Befehlt auch POP und IMAP zuweisen

 

Richtig, aber nur notwendig, weil ihr ja unbedingt ein Wildcard Zertifikat kaufen wolltet.

 

Veröffentlicht von: @beli3ver

6. Server Neustart durchführen

 

Nicht notwendig.

 

Veröffentlicht von: @beli3ver

Habe ich was vergessen?

 

Steht keine WAF oder Loadbalancer mit SSL Offloading/Re-Encrypting vor deinem Exchange? Falls nein dann nichts vergessen, falls ja dann muss dasselbe neue Zertifikat auch dort gebunden werden. Übrigens Pfade anpassen sollte man erst, wenn das Zertifikat schon gebunden ist und wenn die Pfade vorher in einer anderen Domain standen als jetzt im Wildcard, dann wird es auf Fehlermeldungen hinauslaufen.

 

Bye

Norbert


   
AntwortZitat

beli3ver
(@beli3ver)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
Themenstarter  

Zu viel Geld wäre schön.

Mein Chef war etwas voreilig mit dem Kauf. Ich konnte das jetzt aber zurückgeben und habe ein Multi-Domainzertifikat erworben.

Dank deines Hinweises, habe ich dieses dann auch via Exchange Shell eingelesen.

Um dieses dann zu aktivieren, reicht dieser Befehl (ich werde den Fingerprint entsprechend setzen)

 

Enable-ExchangeCertificate -Server "EX2019" -Thumbprint "XXXX" -Services POP,IMAP,SMTP,IIS

 

Wir haben kein "WAF oder Loadbalancer mit SSL Offloading/Re-Encrypting" und müssen daher hier nichts beachten. Wie gesagt, in der Firewall und dem dortigen Reverse Proxy ist bereits alles hinterlegt und vorbereitet. Bei den Pfaden änder sich nur das HOSTNAMEEXCHANGE.example.de zu outlook.example.de mehr nicht. Also keine Domainänderung, nur der Hostname Teil.

Diese r Beitrag wurde geändert Vor 5 Monaten von beli3ver

   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Veröffentlicht von: @beli3ver

Wie gesagt, in der Firewall und dem dortigen Reverse Proxy ist bereits alles hinterlegt und vorbereitet.

Der Reverse Proxy braucht dieses Zertifikat auch. Oder was verstehst du unter Reverse Proxy?

 

Veröffentlicht von: @beli3ver

nur das HOSTNAMEEXCHANGE.example.de zu outlook.example.de mehr nicht. Also keine Domainänderung, nur der Hostname Teil.

dann werden die Clients eine Fehlermeldung erhalten, wenn nicht der alte Hostnamen noch mit im san steht. Den kannst du erst bei der nächsten Verlängerung entfernen. ;)


   
AntwortZitat

beli3ver
(@beli3ver)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
Themenstarter  

@norbertfe Würde das was ändern, wenn ich bei denen das Profil neu erstelle?

Oder kann ich irgendwie erzwingen, dass sie den neuen URl nutzen?

Diese r Beitrag wurde geändert Vor 5 Monaten von beli3ver

   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Na sie müssen halt einmal die Fehlermeldung mit ja bestätigen. Da man Nutzern aber eigentlich erklärt, dass sie bei Zertifikatsfehlermeldungen eben nicht einfach zustimmt, ist das in meinen Augen kontraproduktiv. Neues Profile würde helfen, aber wenn man 1000 Nutzer hat, wärs ne Menge Arbeit. ;) sinnvollste Lösungen wäre, den alten Namen vorübergehend auch im neuen Zertifikat zu führen. 


   
AntwortZitat

beli3ver
(@beli3ver)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
Themenstarter  

:-) oh sehr gut.

Na dann wende ich mich nochmal an SwissSign und lass das Zertifikat nochmal ändern. Ist ja erst das 3. Mal.


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Wir warten gespannt ;)


   
AntwortZitat

beli3ver
(@beli3ver)
Active Member
Beigetreten: Vor 6 Monaten
Beiträge: 8
Themenstarter  

Wir durften ein neues Ausstellen, dann sollte ja nichts mehr im Weg stehen für die Umstellung.


   
AntwortZitat
Teilen: