Selbst signiertes Z...
 
Notifications
Clear all

Selbst signiertes Zertifikat durch gekauftes ersetzen

7 Posts
2 Users
0 Reactions
283 Views
(@graf-pacula)
Estimable Member
Joined: 3 years ago
Posts: 56
Topic starter  

Hallo zusammen,

vor knapp zwei Jahren habe ich auf unserem 2016er EX ein selbst signiertes Zertifikat installiert. Nach anfänglichen Problemen lief es bisher super. Auch mit IOS und Android Geräten und auf unseren Clients mit O365.

 

Nun hat ein PENTEST ergeben, dass ein selbst signiertes Zertifikat "unsicher" sei. Ich möchte daher das selbst signierte austauschen.

 

Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.

 

Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.

Es soll nur für unsere Subdomain sein. Mehrere haben wir nicht. Wo kann ich das Zertifikat kaufen?

 

Es wäre super, wenn ihr mir hier auf den Gaul helfen könntet.

 

Der GrafPacula

Gibt es eine entsprechende Anleitung hier?


   
Quote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Posted by: @graf-pacula

Was muss ich alles machen? Damit nicht wieder bei den Clients Fragen nach der Vertrauenswürdigkeit, etc. kommen? Ich erinnere mich an eine Zertifikatsverteilung über GPO.

Du kaufst ein öffentliches Zertifikat. Sinnvollerweise eins, dem die Clients bereits vertrauen.

Posted by: @graf-pacula

Wo kann ich das Zertifikat kaufen?

Ich nehme immer psw-group.de

Posted by: @graf-pacula

Über die Subdomain SRV gehen die Emails auf unseren Exchange (feste IP). Dieser hat intern den Namen EX.

Interessant ist nur, mit welchem Namen sprechen die Clients den Server an? Der und autodiscover muss ins Zertifikat.


   
ReplyQuote

(@graf-pacula)
Estimable Member
Joined: 3 years ago
Posts: 56
Topic starter  

Hallo,

 

ok. Danke. Die Clients trauen doch dem selbst signierten. Ich habe noch keines gekauft. Und welchen Typ muss ich bei PSW-Group nehmen? 

 

VG


   
ReplyQuote
(@graf-pacula)
Estimable Member
Joined: 3 years ago
Posts: 56
Topic starter  

Ich nochmal. 

 

Die Clients gehen über den EX. Von Aussen über SRV.


   
ReplyQuote

NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

Posted by: @graf-pacula

Die Clients trauen doch dem selbst signierten.

Ja, weil du es per GPO Import "vertrauenswürdig" deklariert hast. ;)

Posted by: @graf-pacula

Und welchen Typ muss ich bei PSW-Group nehmen? 

https://www.psw-group.de/ssl-zertifikate/multidomain-ssl-zertifikate/domainvalidiert/ such dir welche aus. Ich nehm meist Geotrust (wenn dir maximal 3 SANs ausreichen) oder Sectigo wenns notfalls mehr werden müssen. Certum kann man grundsätzlich nehmen, aber 1. lassen die sich glaube jeden SAN zusätzlich zahlen und 2. musst du jedesmal nen neuen CSR übermitteln für den Renewal Vorgang, was dann eben immer auf ein Rekeying hinausläuft (neuer private Key).

 

Bye

Norbert 


   
ReplyQuote
(@graf-pacula)
Estimable Member
Joined: 3 years ago
Posts: 56
Topic starter  

Hallo,

so, ich habe das Zertifikat angefordert, bekommen und importiert. Die Dienste zugewiesen und alles klappt (Outlook, oWA, etc.) DANKE erst einmal. Sory übrigens für die lange Antwortzeit. Hatte leider eine OP mit anschießender Krankphase.

 

Nun habe ich einmal die SubDomain mit einem SSL Check getestet und diese zeigt immer noch das selbst signierte Zertifikat an. Ist bei STRATO. Was muß ich da machen? Dauert das etwas?

 

Danke.


   
ReplyQuote

(@graf-pacula)
Estimable Member
Joined: 3 years ago
Posts: 56
Topic starter  

Zwischen dem EX und dem Internet hängt noch ein Linux Reverse Proxy...


   
ReplyQuote
Share: