cordial
Goto Top

Öffentliches Zertifikat für Exchange notwendig?

Moin zsam,

Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt. Hier würde doch ein Selbstsigniertes Zertifikat vollkommend ausreichend sein, wenn man sich innerhalb des Netzwerkes bewegt. Übersehe ich etwas?

Gruss
Peter

Content-Key: 616445

Url: https://administrator.de/contentid/616445

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: SeaStorm
SeaStorm 26.10.2020 um 18:51:34 Uhr
Goto Top
Hast du richtig erfasst. Einfach das selbstsignierte in den Truststore der Clients schieben und gut ist
Mitglied: erikro
erikro 26.10.2020 um 18:52:16 Uhr
Goto Top
Moin,

Zitat von @cordial:
Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt.

Du brauchst nie ein bezahltes Zertifikat. Du musst nur dafür sorgen, dass das Stammzertifikat der CA, die die Zertifikate erstellt, den Clients bekannt ist und akzeptiert wird. Wenn das nur im lokalen Netz ein AD vorausgesetzt genutzt wird, ist das ganz einfach. Aus Deiner Frage schließe ich, dass Dir das bekannt ist.

Liebe Grüße

Erik
Mitglied: mbehrens
mbehrens 26.10.2020 um 19:18:48 Uhr
Goto Top
Zitat von @cordial:

Mir stellt sich gerade die Frage, ob überhaupt eine öffentliches Zertifikat, z. B. von Let's Encrypt für einen Exchangeserver überhaupt notwendig ist, wenn man OWA von aussen überhaupt nicht nutzt. Hier würde doch ein Selbstsigniertes Zertifikat vollkommend ausreichend sein, wenn man sich innerhalb des Netzwerkes bewegt. Übersehe ich etwas?

Nein.
Mitglied: jsysde
jsysde 26.10.2020 um 20:58:15 Uhr
Goto Top
N'Abend.

Prinzipiell richtig, aber nur OWA zu nennen, greift zu kurz - gilt für alle externen Zugriff, also auch für Outlook vom Laptop und ActiveSync vom Schlaufon aus. Und gerade bei letzterem erleichtert ein gültiges und öffentlich verifizierbares Zertifikat die Einrichtung der Clients immens.

Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen.... face-wink

Cheers,
jsysde
Mitglied: cordial
cordial 27.10.2020 um 07:57:47 Uhr
Goto Top
Moin.

Danke für die Antworten. Prinzipiell geht es mir darum nichts offen haben zu müssen. Alles andere kann man per VPN lösen.

Gruss
Peter
Mitglied: ichi1232
ichi1232 27.10.2020 um 16:10:57 Uhr
Goto Top
Moin.

Welches Zertifikat in deinem AD vertrauenswürdig ist, legst du als Admin fest.
Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.
Anschließend müssen die Browser natürlich noch dazu bewegt werden, den Windows-Zertifikatspeicher zu verwenden.

Abgesehen davon, müssen deine Kisten über keine Internetverbindung verfügen, um ein "gekauftes Zertifikat" zu hinterlegen.
Diese haben in der Regel eine längere Laufzeit als die "Lets Encrypt" Zertifikate und müssen nicht alle 30 Tage erneuert werden.
Ebenfalls finden hier andere Arten der Verifizierung (DV, OV, IV, EV) statt. Je nach Typ des Zertifikats z.B. ein Handeslregisterauszug.

Gruß
Mitglied: jsysde
jsysde 27.10.2020 um 21:30:26 Uhr
Goto Top
N'Abend.

Zitat von @ichi1232:
[...]Wie oben erwähnt, lässt sich eine solche Verteilung von selbstsignierten Zertifikaten wunderbar automatisieren.[...]
Solange es sich um Windows Clients handelt, denen du das Zertifikat per GPO unterschieben kannst - ja.
Bei Mobilgeräten, auch wenn die per VPN kommen, ist dem nicht so (sofern du kein MDM am Start hast). Und gerade angebissenes Obst mag das mit den self-signed Zertifikaten so gar nicht. Und ja, ich weiß, das kann man auch ohne MDM lösen, aber genau da stellt sich die Kosten-/Nutzen-Frage: Wie viel Zeit muss ich für dieses Gebastel investieren, wenn ich mir das für <15,- Euro/Jahr vollständig ersparen kann?

Und auch Let's Encrypt erweist sich immer mal wieder als Gebastel, wenn grad mal wieder jemandem einfällt, dass der Bot für die automatische Verlängerung nicht mehr supported wird usw. Solang man nur einen einzigen Exchange-Server zu betreuen hat und die Anzahl aller Clients überschaubar ist, mag das alles darstellbar sein. Im Kundenumfeld hingegen fahre ich mit dem "echten" Zertifikat deutlich stressfreier und nervenschonender.

*Just my 5 Cent*

Cheers,
jsysde
Mitglied: goscho
goscho 28.10.2020 aktualisiert um 09:25:38 Uhr
Goto Top
Zitat von @jsysde:
Und nur am Rande:
Ein Zertifikat kostet ~12,- Euro/Jahr, die Einrichtung ist in zehn Minuten durch, Kippenpause mit eingerechnet. Da muss ich eigentlich gar nicht überlegen.... face-wink
Das Let's Encrypt Zertifikat kostet 0,00 €, wird einmalig je Exchange eingerichtet und aktualisiert sich automatisch im voreingestellten Rhytmus (da diese Zertifikate ja nur 3 Monate gültig sind).

Hier habt ihr eine Anleitung, wie das funktionieren kann.

Und auch Let's Encrypt erweist sich immer mal wieder als Gebastel, wenn grad mal wieder jemandem einfällt, dass der Bot für die automatische Verlängerung nicht mehr supported wird usw. Solang man nur einen einzigen Exchange-Server zu betreuen hat und die Anzahl aller Clients überschaubar ist, mag das alles darstellbar sein. Im Kundenumfeld hingegen fahre ich mit dem "echten" Zertifikat deutlich stressfreier und nervenschonender.
Das geht auch wunderbar, wenn man viele Kunden Exchanges und andere Websites betreut, die mit Zertifkaten abgesichert werden müssen.
Es gibt bspw. auch "certify the web" als Möglichkeit.
Ich bekomme Meldungen, wenn dort etwas nicht funktioniert.
Mitglied: jsysde
jsysde 28.10.2020 aktualisiert um 20:58:15 Uhr
Goto Top
N'Abend.

Zitat von @goscho:
[...]Ich bekomme Meldungen, wenn dort etwas nicht funktioniert.
Genau das ^^ ist ja der Punkt - ich bekomme die auch und das leider häufiger, als mir lieb ist. Und wenn ich nur ne Viertelstunde dafür benötige, der Meldung nachzugehen und einen evtl. vorhandenen Fehler zu beheben übersteigen meine/die von mir verursachten und dem Kunden zu berechnenden Kosten die eines öffentliches Zertifikats. Habe ich ein solches, benötige ich einmal im Jahr 15 Minuten für Verlängerung und Aktualisierung des Zertifikats auf dem Server. Mehr wollte ich mit meiner Aussage von oben gar nicht sagen - technisch und funktionell ist Let's Encrypt natürlich völlig in Ordnung. face-wink

Cheers,
jsysde