11
Autodiscover SSL Zertifikat - Wie weise ich dem Dienst das Zertifikat zu?
Hallo erstmal,
ich habe mir bei Comodo SSL Zertifikate gekauft.
Habe nun folgende Zertifkate:
autodiscover.domain1.net
autodiscover.domain2.net
autodiscover.domain3.de
owa.domain1.net
Nun ja OWA habe ich "owa.domain1.net" als SSL Zertifikat zugewiesen kallpt auch wunderbar ohne Fehler...
Mein Problem:
Ich verbinde mich mit Outlook 2010 über RPC - HTTP Proxy auf den Server "owa.domain1.net" und gebe meine Userdaten ein.
Bis hier hin geht alles, nun startet mein Outlook baut eine Verbindung auf und sagt:
Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenwürdig...
Ausgestellt für: WMSvc-Reeger-01
Ausgestellt von: WMSvc-Reeger-01
Dort möchte ich aber das jeweilige Autodiscover Zertifikat haben!
Es ist ein Exchange 2010 SP2 mit GUI im Einsatz!
Wäre über einen Lösungsvorschlag sehr erfreut und schon einmal tausend Dank!
Mein Problem:
Ich verbinde mich mit Outlook 2010 über RPC - HTTP Proxy auf den Server "owa.domain1.net" und gebe meine Userdaten ein.
Bis hier hin geht alles, nun startet mein Outlook baut eine Verbindung auf und sagt:
Dieses Zertifizierungsstellen-Stammzertifikat ist nicht vertrauenwürdig...
Ausgestellt für: WMSvc-Reeger-01
Ausgestellt von: WMSvc-Reeger-01
Dort möchte ich aber das jeweilige Autodiscover Zertifikat haben!
Es ist ein Exchange 2010 SP2 mit GUI im Einsatz!
Wäre über einen Lösungsvorschlag sehr erfreut und schon einmal tausend Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 202352
Url: https://administrator.de/contentid/202352
Printed on: April 26, 2024 at 00:04 o'clock
11 Comments
Latest comment
Moin,
hört sich so an, als hättest du nicht allen Diensten dein SSL-Zertifikat untergeschoben.
Schau hier vorbei. Der Abschnitt "Assign the New Certificate to Exchange Server 2010" ist für dich interessant.
Grüße,
Dani
hört sich so an, als hättest du nicht allen Diensten dein SSL-Zertifikat untergeschoben.
Schau hier vorbei. Der Abschnitt "Assign the New Certificate to Exchange Server 2010" ist für dich interessant.
Grüße,
Dani
Danke für die Antwort.
Verdammt!
Nein habe ich nicht
Ich habe im IIS eine Zertifikatesanfrage gemacht (für jede Domain einzeln).
Das war dann eine TXT Datei - -----BEGIN NEW CERTIFICATE REQUEST----------END NEW CERTIFICATE REQUEST-----
Den Inhalt dieser Datei habe ich bei Comodo angegeben und habe dann eine .CER Datei erhalten.
Hier habe ich dann im IIS auf Zertifikatsanforderung abschliessen geklickt und habe die Zertifikate dann exportiert...
Kann ich den Schritt einfach wiederholen? oder Pustkuchen Zertifikate verballert?
Verdammt!
Nein habe ich nicht
Ich habe im IIS eine Zertifikatesanfrage gemacht (für jede Domain einzeln).
Das war dann eine TXT Datei - -----BEGIN NEW CERTIFICATE REQUEST----------END NEW CERTIFICATE REQUEST-----
Den Inhalt dieser Datei habe ich bei Comodo angegeben und habe dann eine .CER Datei erhalten.
Hier habe ich dann im IIS auf Zertifikatsanforderung abschliessen geklickt und habe die Zertifikate dann exportiert...
Kann ich den Schritt einfach wiederholen? oder Pustkuchen Zertifikate verballert?
Schau einfach in der Exchangekonsole nach, evtl. zeigt er das Zertifikat an.
Ansonsten kannst du dieses aus der Zertifikatsverwaltung (mmc.exe, Snapin) exportieren und in Exchange importieren.
Grüße,
Dani
Ansonsten kannst du dieses aus der Zertifikatsverwaltung (mmc.exe, Snapin) exportieren und in Exchange importieren.
Grüße,
Dani
So siehts bei mir in der Exchange Konsole aus
http://212.224.120.151/download/cert.PNG
habe gerade nocheinmal ein wenig "gefummelt", jetzt ist es noch seltsamer...
wenn ich auf https://autodiscover.doamin1.net gehe nimmt er owa.domain1.net als Zertifikat... dabei soll er dafür ja autodiscover.xxx.net nehmen.
http://212.224.120.151/download/cert.PNG
habe gerade nocheinmal ein wenig "gefummelt", jetzt ist es noch seltsamer...
wenn ich auf https://autodiscover.doamin1.net gehe nimmt er owa.domain1.net als Zertifikat... dabei soll er dafür ja autodiscover.xxx.net nehmen.
Ob das richtige Zertifikat dabei ist weißt nur du. 
Das siehst du aber ganz gut an den Eigenschaften.
Was definitiv mit Exchange nicht geht, dass du deine Domains jeweils unter einem eigenen Zertifikat veröffentlichst. Abhilfe schafft im Moment ein SAN-Zertifikat oder ein Reverseproxy davor.
Grüße,
Dani
Das siehst du aber ganz gut an den Eigenschaften.Was definitiv mit Exchange nicht geht, dass du deine Domains jeweils unter einem eigenen Zertifikat veröffentlichst. Abhilfe schafft im Moment ein SAN-Zertifikat oder ein Reverseproxy davor.
Grüße,
Dani
besten Dank.
Ich hatte vor eine UCC Zertifikat zu kaufen... diese sind aber schweine teuer und mein "Reseller" meinte das müsste gehen.
Ich habe halt derzeitig die Zertifikate:
autodiscover.domain1.net - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
autodiscover.domain2.net - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
autodiscover.domain3.de - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
owa.domain1.net - Ist als Dienst IIS hinterlegt
Es muss doch nun irgendwie die Möglichkeit geben, dass mein "autodiscover.domain1.net" von Outlook erkannt wird...
Ist halt sch das ich 5 Zertifikate habe, obwohl man nur eins bräuchte... nur ich habe für 5 Stk 50€ bezahlt und müsste für 1 UCC 300€ bezaheln...
Kann man die Meldung, dass Zertifkat einen ungültigen Namen enthält deaktivieren?
Ich hatte vor eine UCC Zertifikat zu kaufen... diese sind aber schweine teuer und mein "Reseller" meinte das müsste gehen.
Ich habe halt derzeitig die Zertifikate:
autodiscover.domain1.net - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
autodiscover.domain2.net - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
autodiscover.domain3.de - nichts hinterlegt, müsste ja auch als IIS, geht aber nicht, da owa ja IIS als Dienst hat
owa.domain1.net - Ist als Dienst IIS hinterlegt
Es muss doch nun irgendwie die Möglichkeit geben, dass mein "autodiscover.domain1.net" von Outlook erkannt wird...
Ist halt sch das ich 5 Zertifikate habe, obwohl man nur eins bräuchte... nur ich habe für 5 Stk 50€ bezahlt und müsste für 1 UCC 300€ bezaheln...
Kann man die Meldung, dass Zertifkat einen ungültigen Namen enthält deaktivieren?
Hallo,
also was Sie da vorhaben geht nur mit viel manueller Arbeit und hoffen, dass auch alles funktioniert, u.a. mittels SNI oder selbst angepassten IIS-Exchange-Einstellungen, am wirtschaftlichsten und einfachsten mit einem passenden UCC-Zertifikat. Diese sind durchaus ein Stück teurer (geht auch billiger als 300€), aber erfüllen die Anforderungen vollständig und sind von Microsoft für Exchange auch explizit vorgesehen und freigegeben. Einzelzertifikate, da wurden Sie leider schlecht beraten, sind hierfür eher ungeeignet und auch offiziell seitens Microsoft nicht freigegeben. Auch nicht freigegeben, aber bei Ihrer Domainauswahl sogar möglich (interne Namen würden hier nicht gehen) wäre auch ein Multidomainzertifikat, diese sind bereits ab 90€ zu haben. Wenn Sie sich auf eine Domain einigen können, wäre auch ein noch günstigeres Subdomainmultidomainzertifikat möglich, welches bereits ab 40€ zu haben ist.
Mit freundlichen Grüßen,
Christian Heutger
also was Sie da vorhaben geht nur mit viel manueller Arbeit und hoffen, dass auch alles funktioniert, u.a. mittels SNI oder selbst angepassten IIS-Exchange-Einstellungen, am wirtschaftlichsten und einfachsten mit einem passenden UCC-Zertifikat. Diese sind durchaus ein Stück teurer (geht auch billiger als 300€), aber erfüllen die Anforderungen vollständig und sind von Microsoft für Exchange auch explizit vorgesehen und freigegeben. Einzelzertifikate, da wurden Sie leider schlecht beraten, sind hierfür eher ungeeignet und auch offiziell seitens Microsoft nicht freigegeben. Auch nicht freigegeben, aber bei Ihrer Domainauswahl sogar möglich (interne Namen würden hier nicht gehen) wäre auch ein Multidomainzertifikat, diese sind bereits ab 90€ zu haben. Wenn Sie sich auf eine Domain einigen können, wäre auch ein noch günstigeres Subdomainmultidomainzertifikat möglich, welches bereits ab 40€ zu haben ist.
Mit freundlichen Grüßen,
Christian Heutger
Besten Dank für die ausführliche Antwort!
manuelle Arbeit macht mir nichts ;) , es soll nur laufen.
Der Exchange Server wird für 4 Private Domains und 1 geschäftliche Domain genutzt.
Also müsste ich für das Zertifikat aufkommen und da ich Azubi bin...naja da hat man nicht mal 100€ oder mehr für ein SSL Zertifkat über (vorallem wenn man dann nochn Golf Plus mit 140PS fährt ^^)
Ich werde mich mal über SNI informieren und mal versuchen, dass "manuell" zu erledigen.
Mit freundlichen Grüßen
Marius
manuelle Arbeit macht mir nichts ;) , es soll nur laufen.
Der Exchange Server wird für 4 Private Domains und 1 geschäftliche Domain genutzt.
Also müsste ich für das Zertifikat aufkommen und da ich Azubi bin...naja da hat man nicht mal 100€ oder mehr für ein SSL Zertifkat über (vorallem wenn man dann nochn Golf Plus mit 140PS fährt ^^)
Ich werde mich mal über SNI informieren und mal versuchen, dass "manuell" zu erledigen.
Mit freundlichen Grüßen
Marius
Wenn ich mir mehrer Zertifikate für *.domain.tld hole, gibts dann die Möglichkeit zu sagen ok wir nutzen dafür 2 Zertifikate oder 3...
Oder muss es umbendingt ein Wildcard-/Multidomain Zertifikat seien?
Oder muss es umbendingt ein Wildcard-/Multidomain Zertifikat seien?
Ein Zertifikat ist entweder ein Einzelzertifikat für einen dedizierten FQDN oder ein Multidomainzertifikat für mehrere FQDN oder ein Wildcardzertifikat für *.FQDN, anderes gibt es leider nicht. Jedoch wie gesagt, gibt es Multidomains bereits wesentlich günstiger. Einzelzertifikate würden auch ihren Dienst verrichten, jedoch gibt er hier eben die Binding-Frage, die letztendlich nur SNI lösen kann (sofern der Client und Server es überhaupt unterstützt), oder das Aufteilen der Dienste auf mehrere IIS-Sites mit jeweils eigenen IP-Adressen.
an IP's solls nicht scheitern... sind genug vorhanden.
ich werde nun erstmal so machen, wie es jetzt ist auch wenn ein wenig nervt, dass Outlook bei jedem Start Fehler ausgibt:
Das Zertifikat stimmt nicht mit dem Namen überein "autodiscover.domain.net" das Zertifikat ist für "owa.domain.net" ausgestellt...
werde mir dann wohl nen Wildcard bzw. multidomain zertifikat kaufen...
habe mich bei PSW.net schon ein wenig umgeschaut!
ich werde nun erstmal so machen, wie es jetzt ist auch wenn ein wenig nervt, dass Outlook bei jedem Start Fehler ausgibt:
Das Zertifikat stimmt nicht mit dem Namen überein "autodiscover.domain.net" das Zertifikat ist für "owa.domain.net" ausgestellt...
werde mir dann wohl nen Wildcard bzw. multidomain zertifikat kaufen...
habe mich bei PSW.net schon ein wenig umgeschaut!
