8
Externe Outlook Clients haben nach Zertifikatserneuerung keinen Zugriff mehr
Hallo,
wir haben letztens das selbsterstellte Zertifikat unseres SBS2008 verlängert. Die Nutzer die bei uns im Haus sitzen können ganz normal weiter arbeiten.
Allerdings haben wir auch ein paar Nutzer die Outlook Anywhere nutzen. Die Clients verschmähen das Zertifikat mit der Meldung "Das Zertifikat hat eine ungültige digitale Signatur".
Ich habe das entsprechende Zertifikat auch bereits am Server exportiert und an den Clients händisch hinzugefügt. Da sagt er auch es wäre alles in Ordnung. Nur sobald ich Outlook öffne ist das Zertifikat plötzlich wieder ungültig.
Die Clients verbinden sich über eine dyndns Weiterleitung, diese sollte doch aber keine Auswirkungen haben? Hat bis zur Verlängerung des Zertifikats ja auch wunderbar funktioniert.
Ich bin heute etwas wirr im Kopf.. falls ihr noch Fragen habt oder Informationen braucht um mir helfen zu können, dann bitte vergebt mir den Mangel an Input und fragt einfach nach.
Im voraus schon mal Danke für alle hilfreichen Beiträge.
Dominik
wir haben letztens das selbsterstellte Zertifikat unseres SBS2008 verlängert. Die Nutzer die bei uns im Haus sitzen können ganz normal weiter arbeiten.
Allerdings haben wir auch ein paar Nutzer die Outlook Anywhere nutzen. Die Clients verschmähen das Zertifikat mit der Meldung "Das Zertifikat hat eine ungültige digitale Signatur".
Ich habe das entsprechende Zertifikat auch bereits am Server exportiert und an den Clients händisch hinzugefügt. Da sagt er auch es wäre alles in Ordnung. Nur sobald ich Outlook öffne ist das Zertifikat plötzlich wieder ungültig.
Die Clients verbinden sich über eine dyndns Weiterleitung, diese sollte doch aber keine Auswirkungen haben? Hat bis zur Verlängerung des Zertifikats ja auch wunderbar funktioniert.
Ich bin heute etwas wirr im Kopf.. falls ihr noch Fragen habt oder Informationen braucht um mir helfen zu können, dann bitte vergebt mir den Mangel an Input und fragt einfach nach.
Im voraus schon mal Danke für alle hilfreichen Beiträge.
Dominik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 227967
Url: https://administrator.de/contentid/227967
Printed on: April 20, 2024 at 02:04 o'clock
8 Comments
Latest comment
Hallo,
Die (fast immer zutreffende) Faustregel ist: Wenn sich OWA mit IEx (!) ohne Warnmeldung öffnen lässt ist alles gut, sonst nicht.
Im allgemeinen sollte man das Root-Zertifikat (nicht das Hostzertifikat) im CertStore des Users unter "Vertrauenswürdige Stammzertifizierungsstellen" hinzufügen.
Grüße
Filipp
Da sagt er auch es wäre alles in Ordnung.
Wo ist denn "Da"?Die (fast immer zutreffende) Faustregel ist: Wenn sich OWA mit IEx (!) ohne Warnmeldung öffnen lässt ist alles gut, sonst nicht.
Ich habe das entsprechende Zertifikat auch bereits am Server exportiert und an den Clients händisch hinzugefügt.
Welches Zertifikat und wo hinzugefügt?Im allgemeinen sollte man das Root-Zertifikat (nicht das Hostzertifikat) im CertStore des Users unter "Vertrauenswürdige Stammzertifizierungsstellen" hinzufügen.
Grüße
Filipp
Danke erstmal für deine Antwort!
Ich exportiere das Zertifikat im IIS, bekomme eine *.lzx-Datei, welche ich am Client dann Doppelklicke und die Option "Zertifikat installieren" wähle. Ist das richtig so?
Interessant, wieviel man in solchen "Not"-Situationen plötzlich dazu lernt. Bzw. auch interessant wie wenig man sich Gedanken über etwas macht, wenn es einfach funktioniert. Meine Unwissenheit tut mir selbst Leid..
Gerade mal getestet, da tut sich nichts. Ich kann die Warnmeldung auch nicht ignorieren. Im Firefox klappt OWA aber.
Das Zertifikat, welches das passende Ablaufdatum hat. Das müsste ja dann auch das Zertifikat sein, welches ich zuvor (per SBS-Console) verlängert habe.
Wo finde ich denn dieses Root-Zertifikat?
Wie gesagt: Tut mir Leid, dass ich so dumm fragen muss, aber bisher hatte ich noch nie Probleme mit Zertifikaten.
Gruß,
Dominik
Wo ist denn "Da"?
Ich exportiere das Zertifikat im IIS, bekomme eine *.lzx-Datei, welche ich am Client dann Doppelklicke und die Option "Zertifikat installieren" wähle. Ist das richtig so?
Interessant, wieviel man in solchen "Not"-Situationen plötzlich dazu lernt. Bzw. auch interessant wie wenig man sich Gedanken über etwas macht, wenn es einfach funktioniert. Meine Unwissenheit tut mir selbst Leid..
Die (fast immer zutreffende) Faustregel ist: Wenn sich OWA mit IEx (!) ohne Warnmeldung öffnen lässt ist alles gut,
sonst nicht.
sonst nicht.
Gerade mal getestet, da tut sich nichts. Ich kann die Warnmeldung auch nicht ignorieren. Im Firefox klappt OWA aber.
Welches Zertifikat und wo hinzugefügt?
Im allgemeinen sollte man das Root-Zertifikat (nicht das Hostzertifikat) im CertStore des Users unter "Vertrauenswürdige
Stammzertifizierungsstellen" hinzufügen.
Im allgemeinen sollte man das Root-Zertifikat (nicht das Hostzertifikat) im CertStore des Users unter "Vertrauenswürdige
Stammzertifizierungsstellen" hinzufügen.
Das Zertifikat, welches das passende Ablaufdatum hat. Das müsste ja dann auch das Zertifikat sein, welches ich zuvor (per SBS-Console) verlängert habe.
Wo finde ich denn dieses Root-Zertifikat?
Wie gesagt: Tut mir Leid, dass ich so dumm fragen muss, aber bisher hatte ich noch nie Probleme mit Zertifikaten.
Gruß,
Dominik
Hier noch ein paar Screenshots:
Der IE verweigert den Dienst:
http://abload.de/img/iewjril.png
Das verlängerte Zertifikat am Server:
http://abload.de/img/iisvfqxd.png
Der Zertifizierungspfad am Server:
http://abload.de/img/iis2h4q6p.png
Der Zertifizierungspfad in Outlook:
http://abload.de/img/outlookoyqv8.png
Initialfehlermeldung in Outlook:
http://abload.de/img/outlook2riohp.png
Hope this helps!
Der IE verweigert den Dienst:
http://abload.de/img/iewjril.png
Das verlängerte Zertifikat am Server:
http://abload.de/img/iisvfqxd.png
Der Zertifizierungspfad am Server:
http://abload.de/img/iis2h4q6p.png
Der Zertifizierungspfad in Outlook:
http://abload.de/img/outlookoyqv8.png
Initialfehlermeldung in Outlook:
http://abload.de/img/outlook2riohp.png
Hope this helps!
Hi
wir haben letztens das selbsterstellte Zertifikat unseres SBS2008 verlängert. Die Nutzer die bei uns im Haus sitzen
können ganz normal weiter arbeiten.
können ganz normal weiter arbeiten.
Super!
Allerdings haben wir auch ein paar Nutzer die Outlook Anywhere nutzen. Die Clients verschmähen das Zertifikat mit der Meldung
"Das Zertifikat hat eine ungültige digitale Signatur".
Logisch wenn du das Root Zertifikat am SBS änderst bzw. neu erstellst bekommen das die Clients draussen nicht mit
Ich habe das entsprechende Zertifikat auch bereits am Server exportiert und an den Clients händisch hinzugefügt. Da sagt
er auch es wäre alles in Ordnung. Nur sobald ich Outlook öffne ist das Zertifikat plötzlich wieder ungültig.
Hast du das auf einen Client ausserhalb der Domain gemacht ?
Die Clients verbinden sich über eine dyndns Weiterleitung, diese sollte doch aber keine Auswirkungen haben? Hat bis zur
Verlängerung des Zertifikats ja auch wunderbar funktioniert.
Verlängerung des Zertifikats ja auch wunderbar funktioniert.
Kommt drauf an normal hat das schon auswirkungen. Wenn man über den Dyndns link auf die OWA seite geht dann kann das Zertifikat nicht gültig sein da diese Domain ja nicht im zertifikat angegeben ist.
Wenn man einen DNS eintrag (Externe Domain) gemacht hat der auf Dyndns verweisst dann sollte das kein Problem sein.
Ich bin heute etwas wirr im Kopf.. falls ihr noch Fragen habt oder Informationen braucht um mir helfen zu können, dann bitte
vergebt mir den Mangel an Input und fragt einfach nach.
Wie hast du den das Zertifikat erneuert ? über den SBS internen Wizzard oder manuel ? Wurde ein Multidomain Zertifikat erstellt mit dem Internen und externen Domainnamen ?
Im voraus schon mal Danke für alle hilfreichen Beiträge.
Dominik
Dominik
LG Andy
Hi,
Der Client wurde innerhalb der Domäne aufgebaut/installiert und dann erst in die Zweigstelle gebracht. Also ganz so gesehen ist der Rechner in die Domäne aufgenommen.
Was mir aber auffällt. Bei anderen Rechnern steht im Netzwerk- & Freigabecenter dann trotzdem bei Netzwerktyp "Domänennetzwerk" und bei diesem hier steht "Heimnetzwerk".
Könnte es damit zusammenhängen? Ich denke nämlich, dass das noch nicht lange so ist. Vielleicht hat der Nutzer da etwas dran gefummelt.
Gruß,
Dominik
Hast du das auf einen Client ausserhalb der Domain gemacht ?
Der Client wurde innerhalb der Domäne aufgebaut/installiert und dann erst in die Zweigstelle gebracht. Also ganz so gesehen ist der Rechner in die Domäne aufgenommen.
Was mir aber auffällt. Bei anderen Rechnern steht im Netzwerk- & Freigabecenter dann trotzdem bei Netzwerktyp "Domänennetzwerk" und bei diesem hier steht "Heimnetzwerk".
Könnte es damit zusammenhängen? Ich denke nämlich, dass das noch nicht lange so ist. Vielleicht hat der Nutzer da etwas dran gefummelt.
Gruß,
Dominik
Zitat von @Domi25:
Hier noch ein paar Screenshots:
Der IE verweigert den Dienst:
http://abload.de/img/iewjril.png
Hier noch ein paar Screenshots:
Der IE verweigert den Dienst:
http://abload.de/img/iewjril.png
Der Zertifizierungspfad am Server:
http://abload.de/img/iis2h4q6p.png
Der Zertifizierungspfad in Outlook:
http://abload.de/img/outlookoyqv8.png
http://abload.de/img/iis2h4q6p.png
Der Zertifizierungspfad in Outlook:
http://abload.de/img/outlookoyqv8.png
Warum steht im Zertifikat Dyndns.org ??? Da sollte eigendlich die Domain stehen die du betreibst
Das ist klar weil dein Zertifikat auf Dyndns.org lautet und du aber eine andere Domain extern betreibst (Kunde.de)
Hope this helps!
Normal würde man im DNS der Domain kunde.de einen Hosteintrag machen wie zb. OWA.Kunde.de und diesen dann auf Dyndns.org weiterleiten. Im Zertifikat macht man dann die Interne und Externe Domain also ein Multidomain Zertifikat. Schon funktioniert alles.
LG
Zitat von @Domi25:
Hi,
> Hast du das auf einen Client ausserhalb der Domain gemacht ?
Der Client wurde innerhalb der Domäne aufgebaut/installiert und dann erst in die Zweigstelle gebracht. Also ganz so gesehen
ist der Rechner in die Domäne aufgenommen.
Was mir aber auffällt. Bei anderen Rechnern steht im Netzwerk- & Freigabecenter dann trotzdem bei Netzwerktyp
"Domänennetzwerk" und bei diesem hier steht "Heimnetzwerk".
Könnte es damit zusammenhängen? Ich denke nämlich, dass das noch nicht lange so ist. Vielleicht hat der Nutzer da
etwas dran gefummelt.
Gruß,
Dominik
Hi,
> Hast du das auf einen Client ausserhalb der Domain gemacht ?
Der Client wurde innerhalb der Domäne aufgebaut/installiert und dann erst in die Zweigstelle gebracht. Also ganz so gesehen
ist der Rechner in die Domäne aufgenommen.
Was mir aber auffällt. Bei anderen Rechnern steht im Netzwerk- & Freigabecenter dann trotzdem bei Netzwerktyp
"Domänennetzwerk" und bei diesem hier steht "Heimnetzwerk".
Könnte es damit zusammenhängen? Ich denke nämlich, dass das noch nicht lange so ist. Vielleicht hat der Nutzer da
etwas dran gefummelt.
Gruß,
Dominik
Nein das hat nix mit deinen benutzern zu tun. Der Zugriffsweg ist von extern einfach ein anderer. Ich kenne dein netzwerk nicht wenn du zb. VPN zu den externen Clients hast und sie über MAPI auf deinen Exchange dürfen kannst du die HTTPs verbindung im Outlook auch abschalten.
LG
Hallo,
hast du zu dem Thema vielleicht etwas zu Lesen für mich? Wenn ich nach "Multidomain Zertifikat erstellen" Google finde ich nur haufenweise Anbieter, die ein solches Zertifikat verkaufen wollen.
Danke schonmal,
Dominik
hast du zu dem Thema vielleicht etwas zu Lesen für mich? Wenn ich nach "Multidomain Zertifikat erstellen" Google finde ich nur haufenweise Anbieter, die ein solches Zertifikat verkaufen wollen.
Danke schonmal,
Dominik
Hi
Bitte schön:
http://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zerti ...
Was besseres hab ich leider nicht gefunden auf die schnelle.
LG
Bitte schön:
http://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zerti ...
Was besseres hab ich leider nicht gefunden auf die schnelle.
LG
