Windows Server 2016: Mehrere SSL Zertifikate auf einer IP

Windows Server 2016: Mehrere SSL Zertifikate auf einer IP

Mehrere SSL Zertifikate mit mehreren verschiedenen Namen und Zertifikaten auf der selben Seite zu verwenden (statt z.B. einem SAN Zertifikat für Exchange Server) kann man in dem Windows Server 2016 bequem über den Internetinformationdienste (IIS) – Manager einrichten.

Dazu gehen Sie wie folgt vor:

  • Starten Sie den Internetinformationdienste (IIS) – Manager.
  • Gehen Sie links auf den Servernamen.
  • Rechts klicken Sie auf Serverzertifikate und rechts dann auf Zertifikatsanforderungen.
  • Besorgen Sie sich nun ein Serverzertifkat (z.B. PSW.net oder SSLs.com) und spielen Sie dies ein.
  • Gehen Sie nun links auf die entsprechende Site mit der rechten Maustaste und wählen Bindungen aus.
  • Gehen Sie nun auf Hinzufügen und wählen Sie https aus, geben die neue URL ein, Port 443 und das entsprechende Zertifikat, bitte unbedingt auch den Haken bei SNI setzen.
  • Speichern Sie nun die Einstellungen und testen Sie diese, sollte es nicht klappen können Sie den IIS mit iisreset in einer privilegierten CMD Console neustarten .

Exchange 2010/2013/2016 ohne SAN Zertifikat betreiben

Sollte man von einem SAN Zertifikat umsteigen auf ein herkömmliches Zertifikat, so muss man auch noch einige Einstellungen im Exchange vornehmen, damit keine Fehlermeldungen mehr erscheinen beim öffnen von Outlook usw.

Vorbereitungen:

  • In der ECP die externe Adresse unter Nachrichtenfluss > Akzeptierte Domänen einrichten.
  • Danach in der ECP unter Nachrichtenfluss > E-Mail-Adressrichtlinie die Default Policy bearbeiten mit der externen Adresse und Anwenden.
  • Im Internen DNS (AD-DNS und DNS für die echte Emailadresse) sowie im Externen DNS folgendes einrichten:
    • Hosteintrag auf dem das Zertifikat läuft
    • CNAME von autodiscover auf die Zertifikatsadresse.
    • Servicerecord erstellen mit den folgenden Werten:

Service: _autodiscover
Protokoll: _tcp
Priorität: 0
Gewichtung: 0
Port: 443
Host: Adresse des Hostes auf dem das Zertifikat läuft

Danach müssen in der Exchange Management Shell folgende Änderungen vorgenommen werden:

Set-ClientAccessServer -Identity servername -AutoDiscoverServiceInternalUri “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-AutodiscoverVirtualDirectory -Identity “servername\Autodiscover (Default Web Site)” -InternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml” -ExternalUrl “https://exchange.domain.de/Autodiscover/Autodiscover.xml”

Set-WebServicesVirtualDirectory -Identity “servername\EWS (Default Web Site)” -InternalUrl “https://exchange.domain.de/EWS/Exchange.asmx” -ExternalUrl “https://exchange.domain.de/EWS/Exchange.asmx”

Set-OWAVirtualDirectory -Identity “servername\OWA (Default Web Site)” -InternalUrl “https://exchange.domain.de/owa” -ExternalUrl “https://exchange.domain.de/owa”
Set-ECPVirtualDirectory -Identity “servername\ECP (Default Web Site)” -InternalUrl “https://exchange.domain.de/ecp” -ExternalUrl “https://exchange.domain.de/ecp”
Set-ActiveSyncVirtualDirectory -Identity “servername\Microsoft-Server-ActiveSync (Default Web Site)” -InternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync” -ExternalUrl “https://exchange.domain.de/Microsoft-Server-Activesync”
Set-MapiVirtualDirectory -Identity „servername\mapi (Default Web Site)“ -InternalUrl https://exchange.domain.de/mapi -ExternalUrl https://exchange.domain.de/mapi -IISAuthenticationMethods NegotiateSet-OABVirtualDirectory -Identity “servername\OAB (Default Web Site)” -InternalUrl “https://exchange.domain.de/OAB” -ExternalUrl “https://exchange.domain.de/OAB”
Enable-OutlookAnywhere -Server servername -ExternalHostname “exchange.domain.de” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Weitere Infos:


NAS Systeme

Für ein eigenes NAS zu erstellen, gibt es mehrere Systeme:

Enterprise Level:

www.freenas.org

Alternativen:

www.openmediavault.org

www.nas4free.org

Letzteres scheint eine gute Alternative zu sein, da AFP (womöglich auch Timecapsule), SMB/CIFS, iSCSI usw. unterstützt wird.