Es ist schon über 2 Jahre her, da übernahm das CA/Browser Forum Grundvoraussetzungen, die für die Ausstellung von Zertifikaten zu gelten haben. Diese traten im Juli 2012 in Kraft.
In dieser Regelung wurde unter anderem festgehalten, dass SANs und das Betreff (genauer der Commonname im Subject) keine reservierten IP Adressen oder interne Servernamen enthalten dürfen. Als effektives Datum für die Umsetzung wurde der 31. Oktober 2015 festgehalten. Seit dem dürfen keine Zertifikate mehr ausgegeben werden, deren Auslaufdatum hinter diesem Zeitpunkt liegt. Alle Zertifikate die zuvor ausgestellt wurden und länger gültig wären, sollen mit dem 01. Oktober 2016 von den CA widerrufen werden.
Das stellt speziell Anwender vor ein Problem, die den Standard Vorgaben bei der Installation Ihrer MS Exchange Umgebung folgten. Hier, aber auch in anderen Anwendungsbereichen wurde für interne Zwecke oft die .local Domain oder auch andere TLD verwendet, die für den internen Gebrauch explizit vorgesehen wurde.
Um dieser Herausforderung zu begegnen, ist es notwendig eine Split DNS Lösung zu implementieren. Split-DNS zielt dabei darauf ab, die Hostnamen für Autodiscover und andere Exchange-spezifische Dienste intern mit anderen Adressen aufzulösen, als dies ausserhalb des Intranets der Fall wäre. Auf diese Weise sind die Dienste auch im Intranet über reguläre Servernamen erreichbar, so dass die .local Hostnamen verworfen werden werden können.
Gegebenenfalls kann es darüber hinaus notwendig sein, den Exchange-Server um zu konfigurieren, so dass die intern nun korrekt auflösenden Hostnamen von den Exchangediensten auch verwendet werden. Dies geschieht seit Exchange 2007 über die dafür vorgesehenen Commandlets.
Die detailliertere Vorgehensweise sowie eine Auswahl von verschiedenen Exchange kompatiblen SSL Zertifikaten finden Sie bei icertificate.
In dieser Regelung wurde unter anderem festgehalten, dass SANs und das Betreff (genauer der Commonname im Subject) keine reservierten IP Adressen oder interne Servernamen enthalten dürfen. Als effektives Datum für die Umsetzung wurde der 31. Oktober 2015 festgehalten. Seit dem dürfen keine Zertifikate mehr ausgegeben werden, deren Auslaufdatum hinter diesem Zeitpunkt liegt. Alle Zertifikate die zuvor ausgestellt wurden und länger gültig wären, sollen mit dem 01. Oktober 2016 von den CA widerrufen werden.
Das stellt speziell Anwender vor ein Problem, die den Standard Vorgaben bei der Installation Ihrer MS Exchange Umgebung folgten. Hier, aber auch in anderen Anwendungsbereichen wurde für interne Zwecke oft die .local Domain oder auch andere TLD verwendet, die für den internen Gebrauch explizit vorgesehen wurde.
Um dieser Herausforderung zu begegnen, ist es notwendig eine Split DNS Lösung zu implementieren. Split-DNS zielt dabei darauf ab, die Hostnamen für Autodiscover und andere Exchange-spezifische Dienste intern mit anderen Adressen aufzulösen, als dies ausserhalb des Intranets der Fall wäre. Auf diese Weise sind die Dienste auch im Intranet über reguläre Servernamen erreichbar, so dass die .local Hostnamen verworfen werden werden können.
Gegebenenfalls kann es darüber hinaus notwendig sein, den Exchange-Server um zu konfigurieren, so dass die intern nun korrekt auflösenden Hostnamen von den Exchangediensten auch verwendet werden. Dies geschieht seit Exchange 2007 über die dafür vorgesehenen Commandlets.
Die detailliertere Vorgehensweise sowie eine Auswahl von verschiedenen Exchange kompatiblen SSL Zertifikaten finden Sie bei icertificate.
