Toon posts:

SSL certificaten

Pagina: 1
Acties:
  • 167 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Ik heb in mijn netwerk een webserver (Apache) en mailserver (Kerio mailserver) draaien.

Nu wil ik bij mijn mailserver, alles (IMAP, SMTP en webmail) via secure verbindingen laten lopen. Standaard zit er in Kerio een SSL certificaat die de naam van de server heeft etc.
Ik snap dat dit niet door elke browser ondersteund wordt, maar het is maar voor een kleine groep mensen die er gebruik van hoeft te maken en kan hen dus wel uitleggen dat ze een extra basiscertificaat moeten installeren zodat er niet steeds een melding komt dat het certificaat niet herkend wordt.

Mijn probleem is nu dat ik mijn email gewoon intern (intern netwerk, waarin dus de server hangt) wil kunnen openen via die secure verbinding maar ook extern! Intern werkt het prima! Extern werkt het ook, maar krijg ik de melding dat 'de naam van het certificaat niet overeen komt met de hostnaam'. Dit is logisch. Het certificaat dat als active staat, heeft namelijk als hostnaam de interne naam van de server.

Nu kan ik wel een certificaat aanmaken welke dezelfde hostnaam heeft als mijn domeinnaam, maar dan zal ik intern de melding krijgen dat de naam niet overeen komt.
Dan zal je zeggen: 'dan verander je toch gewoon je hosts file, zodat je domeinnaam doorlinkt naar het binnen ip van de server. Dit is een mogelijkheid. Maar als ik dan buiten mijn eigen netwerk zit en ik wil naar mijn domeinnaam, moet ik mijn ip invullen ipv mijn domeinnaam. Ook zal ik dan niet mijn email kunnen bereiken zonder de hosts file aan te passen (of rechtstreeks naar mijn ip gaan). Zelf zou ik dit nog wel kunnen en willen, maar voor anderen zou dit verschikkelijk zijn. Die weten bij wijze van spreken net hoe ze hun email op moeten halen.

Weet iemand of er een mogelijk bestaat dat je met 2 hostfiles of iets dergelijks werkt? Of heeft iemand een heel andere oplossing?
Ik heb op google gezocht maar kan niet iets relevants vinden.

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Je structurele fout zit in het feit dat je verschillende hostnames voor een mailserver hebt aan de hand van het netwerk waar je op aangelogt bent. Dat is niet transparant.

Ik zou je certificaat aanmaken met je externe hostname omdat die (als het goed is) wereldwijd uniek is. Vervolgens zou ik je interne dns aanpassen zodat je dns van binnen uit en van buiten af de zelfde hostname bij het zelfde ip adres resolved.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • Robbrs8
  • Registratie: Februari 2004
  • Laatst online: 17-04 09:54
Is er geen mogelijkheid om intern een dns server te gebruiken? Dan verwijs je in die interne dns de domein naam, naar het interne ip adres van de mailserver.
Intern en extern kan de mailserver dan bereikt worden op mail.domein.nl (of wat je ook maar wilt) zonder gebruik te hoeven maken van een lokale host file.

Verwijderd

Topicstarter
Dirk-Jan schreef op zondag 15 januari 2006 @ 13:16:
Je structurele fout zit in het feit dat je verschillende hostnames voor een mailserver hebt aan de hand van het netwerk waar je op aangelogt bent. Dat is niet transparant.
Tsja, dat is nu ook het hele probleem! Maar van 'achter mijn eigen ip' kan ik mijn domein niet bereiken omdat die naar mijn buiten ip verwijst.

Intern een dns server draaien is denk ik een goede mogelijkheid.
Heb hier nog geen ervaringen, maar ik zal eens wat gaan proberen. :)
Tips zijn uiteraard welkom! ;)

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Verwijderd schreef op zondag 15 januari 2006 @ 13:24:
[...]


Tsja, dat is nu ook het hele probleem! Maar van 'achter mijn eigen ip' kan ik mijn domein niet bereiken omdat die naar mijn buiten ip verwijst.

Intern een dns server draaien is denk ik een goede mogelijkheid.
Heb hier nog geen ervaringen, maar ik zal eens wat gaan proberen. :)
Tips zijn uiteraard welkom! ;)
Ik weet niet wat voor mailserver je draait, maar zowel in windows als in linux is het niet moeilijk een dns server op te zetten.

Je maakt dan 1 zone aan voor je eigen domein met daarin een A record (met uiteraard zelfde hostname) met het interne ip van de mailserver. de rest forward je naar de dns servers van je isp. Nu laat laat je alle lokale computers je eigen dns querien.

Hierdoor krijgen je clients zowel intern (je eigen dns) als extern (de dns servers van je isp) het juist ip adres door.

[ Voor 4% gewijzigd door JackBol op 15-01-2006 13:36 ]

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • Ook
  • Registratie: September 2000
  • Laatst online: 14-12-2025

Ook

Yes I can!

Verwijderd schreef op zondag 15 januari 2006 @ 13:24:
Tsja, dat is nu ook het hele probleem! Maar van 'achter mijn eigen ip' kan ik mijn domein niet bereiken omdat die naar mijn buiten ip verwijst.
Precies, veel van die routertjes ondersteunen geen loopback; de 2 oplossingen zijn dan dus:
- HOSTS file aanpassen zodat je intern ook je externe DNS naam kan gebruiken
- Zelf DNS draaien en je externe host naam koppelen aan je interne IP (voor extern hoeft er dan niets te veranderen).

Wees consequent, maar niet altijd


  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

De CN in de certificaten moet het FQDN zijn van de server. Indien je dat niet kunt vernaderen kan je de truuk gebruiken van zelf de HOSTS file aanpassen.

Ik heb dat wel eens gebruikt. Ik had dan een lokaal IP adres naar een externe FQDN staan in de HOSTS file.

Als bijvoorbeeld: De FQDN op het internet is mail.domain.nl en het externe IP is 80.80.80.81 (of zoiets) maar intern is je server 10.0.0.1 dan kun je in je HOSTS file mail.domain.nl laten verwijzen naar 10.0.0.1 en extern blijft het dan 80.80.80.81.

Dan vul je in de e-mail progs wel het externe FQDN in en dan gaat het voor je interne netwerk goed.


Een andere oplossing is een wildcard gebruiken in je certificaat. je kunt een certificaat aanmaken met als CN=*.domain.nl. Dan is dat certificaat geldig voor alle namen die je invult op de *. Dus mail.domein.nl en mailintern.domein.nl zijn dan beide geldig.
Helaas werken sommige mailprogs niet goed met wildcards. Maar over het algemeel algemeen kun je het wel gebruiken.

[ Voor 25% gewijzigd door bolke op 15-01-2006 14:41 ]

http://www.hroling.nl


Verwijderd

Topicstarter
bolke schreef op zondag 15 januari 2006 @ 14:36:
Een andere oplossing is een wildcard gebruiken in je certificaat. je kunt een certificaat aanmaken met als CN=*.domain.nl. Dan is dat certificaat geldig voor alle namen die je invult op de *. Dus mail.domein.nl en mailintern.domein.nl zijn dan beide geldig.
Helaas werken sommige mailprogs niet goed met wildcards. Maar over het algemeel algemeen kun je het wel gebruiken.
Dit werkt! Dank je wel. Het enige wat ik nu moet doen als ik met mijn laptop buiten mn eigen netwerk ben is het veranderen van de IMAP server van mailintern.domein.nl naar mail.domein.nl maar dat zal je altijd houden volgens mij.

Verwijderd

Ik snap niet waarom je niet gewoon een interne DNS-server draait voor domein.nl en daarin een Atje zet met mail. naar je lokale IP-adres. Een keer instellen en je bent klaar.

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Verwijderd schreef op zondag 15 januari 2006 @ 20:37:
Ik snap niet waarom je niet gewoon een interne DNS-server draait voor domein.nl en daarin een Atje zet met mail. naar je lokale IP-adres. Een keer instellen en je bent klaar.
inderdaad. je hebt nu een lapmiddel gebruikt waardoor je ook nog eens buiten de specs valt. Als je een beetje oog op de toekomst houdt, ga je voor een structurele oplossing...

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


Verwijderd

Topicstarter
Ik ga dit ook zeker nog proberen! Maar heb hier nog nooit mee gewerkt dus zal me eerst even in moeten lezen. Het werkt nu in ieder geval.
Als er iemand nog tips heeft voor het opzetten van dns server hoor ik het graag!

Verwijderd

Kijk eens hier; http://www.microsoft.com/...3f-8c80-bc3f22098c15.mspx

Hangt er ook een beetje vanaf wat voor Windows-versie je draait.

Move PNS > NT trouwens.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

bolke schreef op zondag 15 januari 2006 @ 14:36:
Een andere oplossing is een wildcard gebruiken in je certificaat. je kunt een certificaat aanmaken met als CN=*.domain.nl. Dan is dat certificaat geldig voor alle namen die je invult op de *. Dus mail.domein.nl en mailintern.domein.nl zijn dan beide geldig.
Helaas werken sommige mailprogs niet goed met wildcards. Maar over het algemeel algemeen kun je het wel gebruiken.
Mja, maar daarmee ondergraaf je nou juist het principe achter een goeie PKI infrastructuur.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • bolke
  • Registratie: Oktober 2000
  • Laatst online: 06-10-2024

bolke

Klikt nu met een 50D.

Verwijderd schreef op zondag 15 januari 2006 @ 20:37:
Ik snap niet waarom je niet gewoon een interne DNS-server draait voor domein.nl en daarin een Atje zet met mail. naar je lokale IP-adres. Een keer instellen en je bent klaar.
Dat is wel de beste oplossing. Heb ik zelf ook draaien. En dan host je voor intern gebruik je eigen domain. Dan is het niet meer nodig om je HOSTS file te veranderen.
BackSlash32 schreef op zondag 15 januari 2006 @ 22:32:
[...]

Mja, maar daarmee ondergraaf je nou juist het principe achter een goeie PKI infrastructuur.
Ach. Voor huis-tuin en keuken gebruik heb je ook geen HSM en een kluis voor je PKI en zijn er waarschijnlijk ook geen meerdere key-holders verdeeld over meerdere landen. En tijdens de installatie is er ook geen MOC aanwezig geweest...... :) :). (Ik heb ooit 1 productie PKI installatie mogen meemaken 17 man 5 dagen bezig om 5 servers in te richten).

[ Voor 59% gewijzigd door bolke op 16-01-2006 15:38 ]

http://www.hroling.nl

Pagina: 1