Hallo Exchange Spezialisten!
Ein einzelner Exchange 2016 mit Splitdns, Letsencrypt Zertifikat von winacme soll zur Sicherheit hinter einen Reverseproxy.
Der Exchange steht hinter Nat.
Wenn ich alles richtig verstande habe, dann brauche ich 2 Zertifikate mit dem gleichen Namen. Eins für Exchange und ein zweites für den Proxy.
Geht das mit Letsencrypt überhaupt? Wenn ja müßte ich zum erstellen/erneuern der Zertifikate immer die Portforwardings im Router ändern?
Sodass sie einmal auf den Exchange und dann wieder auf den Reverseproxy zeigen?
Wie kann man das lösen?
Oder geht das nur mit gekauftem Zertifikat?
Danke für eure Tipps!
Mfg RO
Naja wenn intern auch über den Reverse Proxy zugegriffen wird, brauchst du das Zertifikat für https nur auf dem Reverse Proxy. Für smtp, imap und Pop könnte es je nach deiner Umgebung notwendig sein es auch auf dem exchange zu haben. Da ist es dann oft so, dass ein gekauftes Zertifikat praktischer ist. ;)
Hey, habe auch etliche Exchange-Srv mit derselben Umgebung wie von dir beschrieben.
Intern verwenden die Computer/User auch dieselben Hostnamen wie extern. Eben Split-Dns. Nur IP-Adressen sind intern andere wie extern. Somit benötigst du nur ein Zertifikat:
autodiscover.deinedomain.de und mailserver.deinedomain.de
Beide Hostnamen krigst du über Lets Encrypt. Wenn du wenig Ahnung von LetsEncrypt über Console hast, dann nutze Certify the Web. Bestes Tool!
Für LetsEnc musst du Port80+443 aufn Exchange-Srv weiterleiten lassen. Port80 kannst du nur im kurzem Zeitraum der Zertifikatserneuerung nutzen, danach wieder abstellen.
lg, Roman
Er hat aber einen Reverse Proxy davor, es könnte also durchaus sein, dass dort schon ein Zertifikat hängt und dann muss man auch nicht unbedingt ssl und http bis zum exchange durchlassen, denn meist will man das mit dem Reverse Proxy ja verhindern.
Hi, einen Reverseproxy benutzt du ja, genau wie schon beschrieben dafür, dass der Exchange Server "dahinter" bleibt, ohne direkt angesprochen zu werden.
Auf dem Reverseproxy wir meist ein offizielles Zert installiert, danach ein SSL Offload und ggf zusätzlich ein Reencrypt gemacht. Die SSL Anfragen von extern werden also einmal aufgebrochen und neu verschlüsselt. Wenn man das noch mit Regular Expressions kombiniert, kann man hier auch die URL's einschränken, welch genutzt werden dürfen. Dabei sollte man dann ECP/Powershell Url's nicht nach extern veröffentlichen.
Man kann also die externen Zugriffe komplett von den internen entkoppeln. Somit kann man intern auch weiterhin problemlos von einer internen PKI ausgestellte Zertifikate nutzen, von extern wird das externe Zert präsentiert. Funktioniert bei uns per Loadmaster (Kemp) seit Jahren wunderbar.
Gruß,
Ralf
Hi, einen Reverseproxy benutzt du ja, genau wie schon beschrieben dafür, dass der Exchange Server "dahinter" bleibt, ohne direkt angesprochen zu werden.
Wenn’s nur ein exchange ist, kann es sein, dass intern ohne Reverse Proxy zugegriffen wird und dann sind zwei unterschiedliche Zertifikate immer ein Quell von Fehlern. ;)
Wenn man das noch mit Regular Expressions kombiniert, kann man hier auch die URL's einschränken, welch genutzt werden dürfen.
Dafür brauchst du am kemp aber keine regex, oder?
Dafür brauchst du am kemp aber keine regex, oder?
nein, braucht man nicht, man kann die jeweiligen URL's als separate virt. Services veröffentlichen. Kemp bietet da einfach zu importierende Regelwerke an.
Wenn man aber als Bsp mit einem Public Wildcard arbeitet, welches für in und externe Zugriffe genutzt wird, kann man eine RegEx machen, dass ECP nur von intern erreichbar ist.
1000 Wege führen nach Rom und so :)
Gruß,
Ralf
Kemp bietet da einfach zu importierende Regelwerke an.
Ich weiß. ;)
na dann guten Rutsch.
Danke für die vielen Infos!