Hallo zusammen,
vor knapp zwei Jahren habe ich auf unserem 2016er EX ein selbst signiertes Zertifikat installiert. Nach anfänglichen Problemen lief es bisher super. Auch mit IOS und Android Geräten und auf unseren Clients mit O365.
Nun hat ein PENTEST ergeben, dass ein selbst signiertes Zertifikat "unsicher" sei. Ich möchte daher das selbst signierte austauschen.
Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.
Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.
Es soll nur für unsere Subdomain sein. Mehrere haben wir nicht. Wo kann ich das Zertifikat kaufen?
Es wäre super, wenn ihr mir hier auf den Gaul helfen könntet.
Der GrafPacula
Gibt es eine entsprechende Anleitung hier?
Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.
Du kaufst ein öffentliches Zertifikat. Sinnvollerweise eins, dem die Clients bereits vertrauen.
Wo kann ich das Zertifikat kaufen?
Ich nehme immer psw-group.de
Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.
Interessant ist nur, mit welchem Namen sprechen die Clients den Server an? Der und autodiscover muss ins Zertifikat.
Hallo,
ok. Danke. Die Clients trauen doch dem selbst signierten. Ich habe noch keines gekauft. Und welchen Typ muss ich bei PSW-Group nehmen?
VG
Ich nochmal.
Die Clients gehen über den EX. Von Aussen über SRV.
Die Clients trauen doch dem selbst signierten.
Ja, weil du es per GPO Import "vertrauenswürdig" deklariert hast. ;)
Und welchen Typ muss ich bei PSW-Group nehmen?
https://www.psw-group.de/ssl-zertifikate/multidomain-ssl-zertifikate/domainvalidiert/ such dir welche aus. Ich nehm meist Geotrust (wenn dir maximal 3 SANs ausreichen) oder Sectigo wenns notfalls mehr werden müssen. Certum kann man grundsätzlich nehmen, aber 1. lassen die sich glaube jeden SAN zusätzlich zahlen und 2. musst du jedesmal nen neuen CSR übermitteln für den Renewal Vorgang, was dann eben immer auf ein Rekeying hinausläuft (neuer private Key).
Bye
Norbert
Hallo,
so, ich habe das Zertifikat angefordert, bekommen und importiert. Die Dienste zugewiesen und alles klappt (Outlook, oWA, etc.) DANKE erst einmal. Sory übrigens für die lange Antwortzeit. Hatte leider eine OP mit anschießender Krankphase.
Nun habe ich einmal die SubDomain mit einem SSL Check getestet und diese zeigt immer noch das selbst signierte Zertifikat an. Ist bei STRATO. Was muß ich da machen? Dauert das etwas?
Danke.
Zwischen dem EX und dem Internet hängt noch ein Linux Reverse Proxy...