Selbst signiertes Z...
 
Benachrichtigungen
Alles löschen

Selbst signiertes Zertifikat durch gekauftes ersetzen

7 Beiträge
2 Benutzer
0 Reaktionen
314 Ansichten
(@graf-pacula)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 56
Themenstarter  

Hallo zusammen,

vor knapp zwei Jahren habe ich auf unserem 2016er EX ein selbst signiertes Zertifikat installiert. Nach anfänglichen Problemen lief es bisher super. Auch mit IOS und Android Geräten und auf unseren Clients mit O365.

Nun hat ein PENTEST ergeben, dass ein selbst signiertes Zertifikat "unsicher" sei. Ich möchte daher das selbst signierte austauschen.

Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.

Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.

Es soll nur für unsere Subdomain sein. Mehrere haben wir nicht. Wo kann ich das Zertifikat kaufen?

Es wäre super, wenn ihr mir hier auf den Gaul helfen könntet.

Der GrafPacula

Gibt es eine entsprechende Anleitung hier?


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Veröffentlicht von: @graf-pacula

Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.

Du kaufst ein öffentliches Zertifikat. Sinnvollerweise eins, dem die Clients bereits vertrauen.

Veröffentlicht von: @graf-pacula

Wo kann ich das Zertifikat kaufen?

Ich nehme immer psw-group.de

Veröffentlicht von: @graf-pacula

Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.

Interessant ist nur, mit welchem Namen sprechen die Clients den Server an? Der und autodiscover muss ins Zertifikat.


   
AntwortZitat

(@graf-pacula)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 56
Themenstarter  

Hallo,

ok. Danke. Die Clients trauen doch dem selbst signierten. Ich habe noch keines gekauft. Und welchen Typ muss ich bei PSW-Group nehmen?

VG


   
AntwortZitat
(@graf-pacula)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 56
Themenstarter  

Ich nochmal.

Die Clients gehen über den EX. Von Aussen über SRV.


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1605
 

Veröffentlicht von: @graf-pacula

Die Clients trauen doch dem selbst signierten.

Ja, weil du es per GPO Import "vertrauenswürdig" deklariert hast. ;)

Veröffentlicht von: @graf-pacula

Und welchen Typ muss ich bei PSW-Group nehmen?

https://www.psw-group.de/ssl-zertifikate/multidomain-ssl-zertifikate/domainvalidiert/ such dir welche aus. Ich nehm meist Geotrust (wenn dir maximal 3 SANs ausreichen) oder Sectigo wenns notfalls mehr werden müssen. Certum kann man grundsätzlich nehmen, aber 1. lassen die sich glaube jeden SAN zusätzlich zahlen und 2. musst du jedesmal nen neuen CSR übermitteln für den Renewal Vorgang, was dann eben immer auf ein Rekeying hinausläuft (neuer private Key).

Bye

Norbert


   
AntwortZitat
(@graf-pacula)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 56
Themenstarter  

Hallo,

so, ich habe das Zertifikat angefordert, bekommen und importiert. Die Dienste zugewiesen und alles klappt (Outlook, oWA, etc.) DANKE erst einmal. Sory übrigens für die lange Antwortzeit. Hatte leider eine OP mit anschießender Krankphase.

Nun habe ich einmal die SubDomain mit einem SSL Check getestet und diese zeigt immer noch das selbst signierte Zertifikat an. Ist bei STRATO. Was muß ich da machen? Dauert das etwas?

Danke.


   
AntwortZitat

(@graf-pacula)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 56
Themenstarter  

Zwischen dem EX und dem Internet hängt noch ein Linux Reverse Proxy...


   
AntwortZitat
Teilen: