Zertifikat für Exchange bei mehreren Domains

Wann brauche ich welches SSL Zertifikat? Damit der Outlook Client später in der Firma und außerhalb funktioniert, müssen alle SSL-Zertifikate im Exchange 2013 passen. Am Einfachsten wäre es man hat genug Geld und kauft sich ein Wildcard SSL-Zertifikat für die gesamte Mail-Domain. Doch selten hat man weder so viel Geld, noch nur eine Mail-Domain.

Zertifikat – Beispiel

Folgende Exchange 2013 Umgebung als Beispiel:

  • Exchange Client Access Server: SRV-CAS01 und SRV-CAS02
  • Active-Directory-Domain: domain.local
  • Mail Domains:
    • domain.de
    • domain.com
    • anderedomain.de
  • Über folgende Domains soll später von intern und extern auf Outlook Web Services (Outlook Anywhere, OWA, ECP, …) zurückgegriffen werden:
    • Zugriff Domain Extern: mail.domain.de
    • Zugriff Domain Intern: mail.domain.local

In diesem Beispiel wird davon ausgegangen, dass die Outlook Webservices nur über eine Domain (mail.domain.de) erreichbar sein sollen, d.h. es gibt keinen Outlook Webaccess über beispielsweise mail.anderedomain.de, sondern der Nutzer user@anderedomain.de greift später über https://mail.domain.de/owa auf OWA zu.

Die Lösung: Selbstsigniertes Zertifikat und SAN-Zertifikat kombinieren

Neues Exchange Zertifikat Anzeigename angeben
Neues Exchange Zertifikat

Für den internen Datenverkehr würde ich aus Kostengründen ein selbstsigniertes SSL-Zertifikat erstellen. Wie das geht habe ich bereits an anderer Stelle beschrieben. Zu beachten gilt bei dieser Methode, dass das Zertifikat – da ja selbstsigniert – auf die Clients verteilt werden muss. Für Windows-Domänen-Clients geht das sehr einfach über eine Gruppenrichtlinie. Bei mobilen Geräte die sich im internen WLAN befinden muss das interne selbstsignierte Zertifikat einmalig akzeptiert werden.

Folgende Name bzw. Domains müssen nun im internen SSL-Zertifikat enthalten sein:

mail.domain.local (Bei 2 Servern ist das der DNS Eintrag – entweder ein DNS-Round-Robin oder die eines Loadbalancers)

  • SRV-CAS01
  • SRV-CAS01.domain.local
  • SRV-CAS02
  • SRV-CAS02.domain.local
  • autodiscover
  • autodiscover.domain.local
  • autodiscover.domain.de
  • autodiscover.domain.com
  • autodiscover.anderedomain.de
  • mail.domain.de
  • domain.de
  • domain.com
  • anderedomain.de

Das interne SSL-Zertifikat enthält somit alle externen und internen Domains sowie die Namen der Services. Da SRV-CAS01 nicht von außen erreichbar sein soll, ist beispielsweise der Eintrag SRV-CAS01.domain.de nicht notwendig.

Für den externen Datenverkehr müssen zwingend folgende Domains enthalten sein:

  • mail.domain.de
  • autodiscover.domain.de
  • autodiscover.domain.com
  • autodiscover.anderedomain.de

Jetzt gibt es noch eine weiteren Trick: Service Resource Records (SRV-Record) im DNS

Die autodiscover – DNS-Einträge können seit Outlook 2007 auch durch einen SRV-Record umgeleitet werden, damit spart man sich die Zertifizierung aller autodiscover Subdomains. So wird also nur ein einziges SSL-Zertifikat für mail.domain.de benötigt und für alle anderen Domains müssen jeweils beim Provider ein SRV-Record erstellt werden. Dieser sieht für autodiscover.domain.de so aus:

Service: _autodiscover
Protocol: _tcp
Port Number: 443
Host: mail.domain.de

Der Outlook Client wird nun bei einer TCP-Anfrage auf Port 443 an mail.domain.de weitergeleitet.

Das interne selbstsignierte Zertifikat muss nun im Exchange und das externe muss in der Firewall bzw. am Loadbalancer hinterlegt werden.