malungo
Goto Top

Exchange, Reverseproxy mit Lets Encrypt Zertifikat: Best Practice

Hallo Exchangeadmins,

wir haben nen Exchange 2013 mit Reverseproxy auf Squid-Basis im Einsatz.

Bisher haben wir ein gekauftes Zertifikat (gleiches Zertifikat für beide) verwendet. Da dies demnächst ausläuft wollen wir auf ein kostenloses Let's Encrypt Zertifikat umstellen.

Hierzu hätte ich folgende Fragen, da ich noch nicht genau weiß wie man - vorallem das automatische Verlängern des Zertifikats - zuverlässig abbildet:

1.) Mir ist ehrlich gesagt nicht 100%ig klar, ob Exchange und Reverseproxy das gleiche Zertifikat verwenden müssen, oder ob es auch mit Unterschiedlichen geht?
Da ich meine im Hinterkopf zu haben, dass der Reverseproxy die Anfragen einfach 1:1 an den Exchange weiterleitet und nicht erst entschüsselt und wieder verschlüsselt braucht es wahrscheinlich das gleiche Zertifikat.

2.) Kann ich den Ausstellungs und Renewalprozess von Let's Encrypt öfters durchführen? Hintergrund der Frage ist, dass ich für diesen Fall separat jeweils vom Exchangserver aus und vom Reverseproxy aus das Zertifikat bzw. den Renewalprozess starten würde. Da ich davon ausgehe, dass jede Anfrage zu einem neuen Zertifikat führen würde und beide Server das gleiche Zertifikat benötigen (siehe 1.) ) wahrscheinlich keine funktionierende Lösung...

3.) Wäre eine mögliche Lösung den Renewalprozess des Zertifikat auf dem Reverseproxy durchführen und das erhaltene Zertifikat irgendwie (z.B. SMB Share) automatisiert auf den Exchange kopieren und hier das Skript zum Austauschen starten? Dieser Weg erscheint mir aber als fehleranfällig und unzuverlässig. Jedoch müsste ich nicht noch einen Port (80) für die Außenwelt aufmachen...

Wie habt ihr o.g. Problem in der Praxis zuverlässig gelöst?

Vielen Dank für Eure Hinweise,
Malungo

Content-Key: 505363

Url: https://administrator.de/contentid/505363

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.10.2019 aktualisiert um 21:47:18 Uhr
Goto Top
Hallo Malungo,

Exchange 2019 (adaptierbar) mit Sophos WAF + Sophos SMTP Check davor, alle drei mit LE Zert versorgt.

Viele Grüße,

Christian
certifiedit.net

PS: Was für eine Firewall/UTM setzt ihr ein?
Mitglied: malungo
malungo 16.10.2019 aktualisiert um 22:17:07 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Exchange 2019 (adaptierbar) mit Sophos WAF + Sophos SMTP Check davor, alle drei mit LE Zert versorgt.
Wie läuft das genau? Holen sich alle 3 separat die LE Zertifikate oder holt sich der Erste eines und verteilt es dann auf die Anderen? Sophos hat wahrscheinlich einen Automatismus hierfür eingebaut und kann es für WAF und SMTP Checker verwenden...aber wie kriegst Du es auf den Exchange?

Ich habe meine ursprüngliche Frage nochmal angepasst, da nicht genau hervorging, dass ich primär daran interessiert bin wie ihr in einem Konstrukt Exchange + Reverse Proxy die automatische Verlängerung der Let's Encrypt Zertifikate abgebildet habt...

PS: Was für eine Firewall/UTM setzt ihr ein?
keine Zusätzliche mehr; nur router + reverse proxy. Ist ein sehr kleines Büro; Exchange hängt auch nicht "echt" im Inet, sondern wird nur für ActiveSync benutzt - hier filtern wir über den reverseproxy...
.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 16.10.2019 aktualisiert um 22:40:25 Uhr
Goto Top
Was heisst sehr klein? Ich höre auch von 50 Mann Firmen, dass Sie "sehr klein" sind.

Grundsätzlich empfehle ich immer eine UTM (natürlich ordentlich eingerichtet, sonst ist der Router auch nicht schlechter...)

Und auch per Activesync hängt der Exchange irgendwie "echt" im Netz, schon wegen SMTP/S etc.
Mitglied: bloodstix
bloodstix 17.10.2019 aktualisiert um 13:20:06 Uhr
Goto Top
Hallo Malungo,

das kannst du durchaus so praktizieren, allerdings würde ich den Renew auf dem R-Proxy durchführen und dann per Skript das neue Zertifikat an den Exchange übertragen und einbinden lassen. Habe neulich versucht mit dem Certbot das ganze direkt am Exchange zu automatisieren, aber das ist alles andere als "intuitiv" und hat im Endeffekt nie richtig funktioniert.

edit: Mit UTM von Sophos etc habe ich persönlich keine guten Erfahrungen, da die zum Teil doch die Internetverbindung ausbremsen und sich bei den Clients tief im System verankern. Hatte neulich den Fall das eine UTM abgeraucht ist und ersetzt wurde. Die Client-Software lies sich nur mit großer Mühe wieder entfernen, weil die unbedingt vor/während der Deinstallation mit der - nicht mehr vorhandenen - UTM quatschen wollte.

Grüße
bloody
Mitglied: NordicMike
NordicMike 17.10.2019 um 13:24:25 Uhr
Goto Top
Es gibt eine Client Software? Ich kenne nur das Outlook Plugin und das Endpoint Security.
Mitglied: bloodstix
bloodstix 17.10.2019 um 13:28:13 Uhr
Goto Top
Wir dann wohl die Endpoint-Security gewesen sein. Ist schon ein wenig her.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 17.10.2019 um 13:31:40 Uhr
Goto Top
Wer vom gleichen Anbieter UTM und Endpoint nimmt, gehört auch geschlagen, ich mein, glaubt ihr die AV Routine unterscheidet sich da groß?

(Ich vertreibe Sophos UTM, aber keine Endpoint Protection von denen).
Mitglied: bloodstix
bloodstix 17.10.2019 um 13:35:55 Uhr
Goto Top
Will mich hier nicht verteidigen oder drüber diskutieren, aber bitte spar dir doch solche vorurteilsgespickten Anfeindungen: Ich nehme davon gar nichts. Wir wurden als Helfer in der Not gerufen, weil der vorherige 1-Mann-Admin plötzlich nicht mehr erreichbar war. Ich habe nur von einem RL-Beispiel berichtet.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 17.10.2019 um 13:38:44 Uhr
Goto Top
Zitat von @bloodstix:

Will mich hier nicht verteidigen oder drüber diskutieren, aber bitte spar dir doch solche vorurteilsgespickten Anfeindungen: Ich nehme davon gar nichts. Wir wurden als Helfer in der Not gerufen, weil der vorherige 1-Mann-Admin plötzlich nicht mehr erreichbar war. Ich habe nur von einem RL-Beispiel berichtet.

Dann darfst du dich auch gerne nicht angesprochen fühlen. Was habt ihr denn im Einsatz?

Nebenbei, klar, wenn die UTM alle Funktionen anbietet und zu schwach dimensioniert wurde bremst die natürlich auch...
Mitglied: NordicMike
NordicMike 17.10.2019 um 13:40:25 Uhr
Goto Top
Bei der XG wäre es ein entscheidender Vorteil. Synchronized Security. Wenn ein Schädling vom Endpoint an die Firewall gemeldet wird, macht die Firewall die Verbindungen von und zu diesem Client dicht.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 17.10.2019 um 13:43:50 Uhr
Goto Top
Macht Sie auch schon bei der SG. Nur aus eigenen Stücken, je nach dem kann man das besser oder schlechter finden, vom PC die Info ist ggf. schneller, aber wenn der PC schon geköpft ist gibt es ggf. einen fehlnegativ.
Mitglied: malungo
malungo 17.10.2019 aktualisiert um 19:02:33 Uhr
Goto Top
sorry, aber das hat doch nichts mit meiner Frage zu tun und geht am Thema vorbei! - wie auch fast ausschließlich die bisherige Diskussion mit Ausnahme von bloodys Beitrag! face-sad

Also bitte zurück zum ursprünglichen Thema bzw. zu meinen Fragen.
Wer von Euch betreibt nen Exchange sowie nen Reverseproxy davor (auf Linux Basis) und verwendet hierfür Lets Encrypt Zertifikate? Wie bzw. mit welchen Tools bildet ihr einen zuverlässigen Renewableprozess ab?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 17.10.2019 um 19:20:42 Uhr
Goto Top
Wie gesagt, mit der SG und irgendwie geht das eben auch nicht am Thema vorbei, wenn man hier im falschen Use-Case die Sophos so hinstellt.

Ungeachtet dessen ist das nach wie vor ein Forum, das heisst auch, dass man Dinge breiter beleuchten darf.
Mitglied: Dani
Dani 19.10.2019 um 12:14:02 Uhr
Goto Top
Moin,
1.) Mir ist ehrlich gesagt nicht 100%ig klar, ob Exchange und Reverseproxy das gleiche Zertifikat verwenden müssen, oder ob es auch mit Unterschiedlichen geht?
Da ich meine im Hinterkopf zu haben, dass der Reverseproxy die Anfragen einfach 1:1 an den Exchange weiterleitet und nicht erst entschüsselt und wieder verschlüsselt braucht es wahrscheinlich das gleiche Zertifikat.
Muss er nicht, wenn du intern und extern unterschiedliche TLDs bzw. DNS-Adressen für Autodiscover, ECP, EWS, etc... nutzt.
Der Reverse Proxy reicht die Anfragen selbstverständlich weiter, sonst wird's mit dem Zugriff schwer.

2.) Kann ich den Ausstellungs und Renewalprozess von Let's Encrypt öfters durchführen? Hintergrund der Frage ist, dass ich für diesen Fall separat jeweils vom Exchangserver aus und vom Reverseproxy aus das Zertifikat bzw. den Renewalprozess starten würde. Da ich davon ausgehe, dass jede Anfrage zu einem neuen Zertifikat führen würde und beide Server das gleiche Zertifikat benötigen (siehe 1.) ) wahrscheinlich keine funktionierende Lösung...
Da kann ich dir leider nicht folgen. Es gibt seitens Let's Encrypt natürlich Einschränken - siehe hier.

3.) Wäre eine mögliche Lösung den Renewalprozess des Zertifikat auf dem Reverseproxy durchführen und das erhaltene Zertifikat irgendwie (z.B. SMB Share) automatisiert auf den Exchange kopieren und hier das Skript zum Austauschen starten? Dieser Weg erscheint mir aber als fehleranfällig und unzuverlässig. Jedoch müsste ich nicht noch einen Port (80) für die Außenwelt aufmachen...
Kann man machen, ist aber wahrscheinlich fehleranfällig. Neben der Validierung über das Verzeichnis ".well-known" ist es auch über einen TXT-Eintrag in der DNS-Zone der TLD möglich. D.h. du musst den Server nur ausgehend Zugriff auf LE geben. Kann man mit Hilfe von Appliaction Control auf einigen Firewalls sehr restriktiv konfigurieren.


Gruß,
Dani