Exchange 2010 SSL Certificaten

Exchange 2007 & 2010 steunen zwaar op web services en om deze diensten te beveiligingen wordt er gebruikt gemaakt van een SSL Certificaat.  Exchange 2007  & 2010 genereren zelf ook een eigen certificaat.

Om naar buiten geen waarschuwing te krijgen dat het SSL certificaat niet vertrouwd wordt er normaal gesproken gewerkt met commerciële vertrouwd SSL certificaat.

Voor de Exchange 2007 & Exchange 2010 worden de volgende volgende URL’s gebruikt:

webmail.wardvissers.nl (MX records,OWA,IMAP/POP3/SMTP en Exchange ActiveSync – plus het is the reverse DNS record voor je statische IP adres)
autodiscover.wardvissers.nl(Voor Autodiscovery)
legacy.wardvissers.nl (Mocht je van Exchange 2003 vanaf komen)
e2k10.wardvissers.local (De Exchange Server interne naam)
e2k10 (De Exchange server NETBIOS naam).

“webmail.wardvissers.nl” is de eerste naam die verschijnt zodra een gebruiker op dit certificaat klikt. En zorgt er voor dat alles extern connect naar de server zonder support voor SAN/UC certificaten.

(SAN is Subject Alternative Name, UC is Unified Communications –Zijn het zelfde).

Het handige is dat dat je een SAN certificaat aanvraag. Met de eerder genoemde url’s.

Stel je hebt maar een certificaat genaamd webmail.wardvissers.nl dan kun je toch alles gebruiken maar daar is een truk voor nodig.

Vereisten:
– Outlook 2007 SP1
– SRV Record ondersteuning bij uw Externe DNS host. Mocht je dat niet hebben dan kun je twee
dingen doen:
1. Andere Domain aanbieder die wel SRV records ondersteund.
2. San Certificaat.
– Commerciële SSL-certificaat
– Split DNS Setup bijvoorbeeld (.local intern & .nl Extern)

DNS configuratie van Autodiscover

1. Verwijder alle host A records die verwijzen naar autodiscover.domain.local

2. Maak een nieuw Service Location (SRV Record aan). Vul de gegevens in zoals afgebeeld op de plaatjes.

3. Webmail.wardvissers.nl moet verwijzen naar de CAS Exchange 2010 server.

image image
image

Exchange URL aanpassingen door voeren:

1. Get-ExchangeCertificate (Lijst met alle Exchange Certificaten)

2. Enable-exchangecertificate -services IMAP, POP, IIS, SMTP -Thumbprint 02B3E404EF76A0A839365C7489B59B1D1278EDCD (Certificaat Nummer)

3. Zet de volgende URL’s goed:
Set-ClientAccessServer -Identity e2k10 -AutoDiscoverServiceInternalUri https://webmail.wardvissers.nl/Autodiscover/Autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “e2k10\EWS (Default Web Site)” -InternalUrl https://webmail.wardvissers.nl/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “e2k10\oab (Default Web Site)” -InternalUrl https://webmail.wardvissers.nl/oab

Enable-OutlookAnywhere -Server e2k10 -ExternalHostname “webmail.wardvissers.nl” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Set-ActiveSyncVirtualDirectory -Identity “e2k10\Microsoft-Server-ActiveSync (Default Web Site)” -ExternalURL https://webmail.wardvissers.nl/Microsoft-Server-Activesync

Set-ECPVirtualDirectory –Identity e2k10\ECP (default web site) -ExternalURL https://webmail.wardvissers.nl/ECP

4. Nu werkt verwijst intern en extern naar het zelfde adres.

5. Er zijn nog wel twee dingen waar je op moet letten:
– Het kan zijn dat je een voor IE een url moeten toevoegend dat lokaal blijft resolven als je via
een proxy server naar buiten toe gaat.
– Op elke CAS/HUB server moet Exchange URL’s toegepast worden naar het NLB CAS Load
Balacing

Leave a Reply

Translate »