Exchange 2016 hinte...
 
Notifications
Clear all

Exchange 2016 hinter Nat mit Split Dns und reverse Proxy - Letsencrypt Zerifikat

10 Posts
4 Users
0 Reactions
3,341 Views
(@antiager)
Trusted Member
Joined: 5 years ago
Posts: 49
Topic starter  

Hallo Exchange Spezialisten!

Ein einzelner Exchange 2016 mit Splitdns, Letsencrypt Zertifikat von winacme soll zur Sicherheit hinter einen Reverseproxy.

Der Exchange steht hinter Nat. 

Wenn ich alles richtig verstande habe, dann brauche ich  2 Zertifikate mit dem gleichen Namen. Eins für Exchange und ein zweites für den Proxy.

Geht das mit Letsencrypt überhaupt? Wenn ja müßte ich zum erstellen/erneuern der Zertifikate immer die Portforwardings im Router ändern?

Sodass sie einmal auf den Exchange und dann wieder auf den Reverseproxy zeigen?

Wie kann man das lösen? 

Oder geht das nur mit gekauftem Zertifikat?

Danke für eure Tipps!

 

Mfg RO


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Naja wenn intern auch über den Reverse Proxy zugegriffen wird, brauchst du das Zertifikat für https nur auf dem Reverse Proxy. Für smtp, imap und Pop könnte es je nach deiner Umgebung notwendig sein es auch auf dem exchange zu haben. Da ist es dann oft so, dass ein gekauftes Zertifikat praktischer ist. ;)


   
ReplyQuote

Roman_Wien
(@werom-edv)
Estimable Member
Joined: 5 years ago
Posts: 184
 

Hey, habe auch etliche Exchange-Srv mit derselben Umgebung wie von dir beschrieben.

Intern verwenden die Computer/User auch dieselben Hostnamen wie extern. Eben Split-Dns. Nur IP-Adressen sind intern andere wie extern. Somit benötigst du nur ein Zertifikat: 

autodiscover.deinedomain.de und mailserver.deinedomain.de 

Beide Hostnamen krigst du über Lets Encrypt. Wenn du wenig Ahnung von LetsEncrypt über Console hast, dann nutze Certify the Web. Bestes Tool!

Für LetsEnc musst du Port80+443 aufn Exchange-Srv weiterleiten lassen. Port80 kannst du nur im kurzem Zeitraum der Zertifikatserneuerung nutzen, danach wieder abstellen.

lg, Roman


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Er hat aber einen Reverse Proxy davor, es könnte also durchaus sein, dass dort schon ein Zertifikat hängt und dann muss man auch nicht unbedingt ssl und http bis zum exchange durchlassen, denn meist will man das mit dem Reverse Proxy ja verhindern.


   
ReplyQuote

(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Hi, einen Reverseproxy benutzt du ja, genau wie schon beschrieben dafür, dass der Exchange Server "dahinter" bleibt, ohne direkt angesprochen zu werden. 

Auf dem Reverseproxy wir meist ein offizielles Zert installiert, danach ein SSL Offload und ggf zusätzlich ein Reencrypt gemacht. Die SSL Anfragen von extern werden also einmal aufgebrochen und neu verschlüsselt. Wenn man das noch mit Regular Expressions kombiniert, kann man hier auch die URL's einschränken, welch genutzt werden dürfen. Dabei sollte man dann ECP/Powershell Url's nicht nach extern veröffentlichen.
Man kann also die externen Zugriffe komplett von den internen entkoppeln. Somit kann man intern auch weiterhin problemlos von einer internen PKI ausgestellte Zertifikate nutzen, von extern wird das externe Zert präsentiert. Funktioniert bei uns per Loadmaster (Kemp) seit Jahren wunderbar.  

 

Gruß,
Ralf


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

Hi, einen Reverseproxy benutzt du ja, genau wie schon beschrieben dafür, dass der Exchange Server "dahinter" bleibt, ohne direkt angesprochen zu werden. 

Wenn’s nur ein exchange ist, kann es sein, dass intern ohne Reverse Proxy zugegriffen wird und dann sind zwei unterschiedliche Zertifikate immer ein Quell von Fehlern. ;)


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

Wenn man das noch mit Regular Expressions kombiniert, kann man hier auch die URL's einschränken, welch genutzt werden dürfen.

Dafür brauchst du am kemp aber keine regex, oder?


   
ReplyQuote
(@geloeschter-benutzer)
Reputable Member
Joined: 2 years ago
Posts: 263
 

Dafür brauchst du am kemp aber keine regex, oder?

nein, braucht man nicht, man kann die jeweiligen URL's  als separate virt. Services veröffentlichen. Kemp bietet da einfach zu importierende Regelwerke an.
Wenn man aber als Bsp mit einem Public Wildcard arbeitet, welches für in und externe Zugriffe genutzt wird, kann man eine RegEx machen, dass ECP nur von intern erreichbar ist.

1000 Wege führen nach Rom und so :)

 

Gruß,
Ralf

 

 


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 
Veröffentlicht von: @monthy

Kemp bietet da einfach zu importierende Regelwerke an.

Ich weiß. ;)

 

na dann guten Rutsch.


   
ReplyQuote
(@antiager)
Trusted Member
Joined: 5 years ago
Posts: 49
Topic starter  

Danke für die vielen Infos!


   
ReplyQuote

Share: