13
Clients kriegen ein falsches Zertifikat
Hallo,
ich bin neu hier im Forum und habe auch gleich eine Frage.
Wir haben folgendes Problem. Outlook wirft nach dem Start einen Sicherheitshinweis aus:
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt. Hier nochmal der Autokonfigurations-Test:
Und hier ein Screenshot der MX-Records:
Für eine Lösung oder ein Tipp wäre ich sehr dankbar.
Hier noch ein paar Hintergrund Informationen:
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Outlook wird in den Versionen 2007 und 2010 verwendet.
Gruß
Waldemar
ich bin neu hier im Forum und habe auch gleich eine Frage.
Wir haben folgendes Problem. Outlook wirft nach dem Start einen Sicherheitshinweis aus:
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt. Hier nochmal der Autokonfigurations-Test:
Für eine Lösung oder ein Tipp wäre ich sehr dankbar.
Hier noch ein paar Hintergrund Informationen:
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Outlook wird in den Versionen 2007 und 2010 verwendet.
Gruß
Waldemar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204582
Url: https://administrator.de/contentid/204582
Printed on: May 5, 2024 at 03:05 o'clock
13 Comments
Latest comment
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
Hi,
Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?
LG, Thomas
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt.
Flasche leer?Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?
LG, Thomas
Zitat von @bennnib:
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
Wie es aussieht sind die Dienste drauf.
Zitat von @BergmannCM:
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?
Das müsste eigentlich doch egal sein. Der Client soll ja nur das Zertifikat vom Server und nicht vom Hoster nehmen.Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?
Nein, selbstverständlich enthält der "Windows Small Buisness Server 2011" den "Exchange Server 2010 SP1".Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?
Der Server läuft seit November 2012 und der "Installateur" hatte eine Schulung für den SBS 2003 gemacht. Er kennt sich nicht so gut mit Zertifikaten aus.
Hi
Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?
Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.
Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.
Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.
Es gibt also mehrere möglichkeiten das zu unterbinden.
1.) Erstelle ein Multidomain Zertifikat das für beide Domain gültig ist intern und extern. Das kannst du einfach in der Exchnage console beantragen und dir selbst Freischalten indem du es genemigst. http://servername/certsrv im IE eingeben und Freischalten.
2.) Ein Öffenliches Multidomain Zertifikat kaufen und einbinden.
3.) Das Zertifikat für die Externe Domain lassen und bei den Internen Outlook clients den Hacken für die Verbindung über HTTPs herausnehmen.
LG Andy
Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?
Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.
Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.
Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.
Es gibt also mehrere möglichkeiten das zu unterbinden.
1.) Erstelle ein Multidomain Zertifikat das für beide Domain gültig ist intern und extern. Das kannst du einfach in der Exchnage console beantragen und dir selbst Freischalten indem du es genemigst. http://servername/certsrv im IE eingeben und Freischalten.
2.) Ein Öffenliches Multidomain Zertifikat kaufen und einbinden.
3.) Das Zertifikat für die Externe Domain lassen und bei den Internen Outlook clients den Hacken für die Verbindung über HTTPs herausnehmen.
LG Andy
Zitat von @Ausserwoeger:
Hi
Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder
Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?
Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.
Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat
für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.
Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im
Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.
Hi
Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder
Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?
Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.
Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat
für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.
Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im
Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.
Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch "*.your-server.de"
Zitat von @BergmannCM:
Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch
"*.your-server.de"
Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch
"*.your-server.de"
Hi
Sei mir nicht böse aber wenn Https auf den clients deaktiviert ist warum suchen sie dann über autodiscover (Https) eine verbindung zum Server.
Dann würde ich sagen du änderst das indem du überprüftst ob der Autodiscover eintrag auf deinen Server also auf deine Externe IP zeigt und er auch deinen Server kontaktieren will und nicht den des Hosters.
Dann würde ich das Zertifikat überprüfen das im Exchange aktiv ist. Ist es gültig ? Ist es richtig ausgestellt ?
LG Andy
Moin nochmal,
die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen Motivation, installiert haben)??
LG, Thomas
die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen Motivation, installiert haben)??
LG, Thomas
Zitat von @keine-ahnung:
Moin nochmal,
die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
Motivation, installiert haben)??
LG, Thomas
Moin nochmal,
die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
Motivation, installiert haben)??
LG, Thomas
Hi
Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem Zertifikat meldet.
Der Autodiscovertest kann somit auch nicht funktionieren.
LG Andy
Zitat von @Ausserwoeger:
> Zitat von @keine-ahnung:
> ----
> Moin nochmal,
>
> die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
> Motivation, installiert haben)??
>
> LG, Thomas
Hi
Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen
sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem
Zertifikat meldet.
Der Autodiscovertest kann somit auch nicht funktionieren.
LG Andy
> Zitat von @keine-ahnung:
> ----
> Moin nochmal,
>
> die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
> Motivation, installiert haben)??
>
> LG, Thomas
Hi
Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen
sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem
Zertifikat meldet.
Der Autodiscovertest kann somit auch nicht funktionieren.
LG Andy
Das ist ein guter Ansatz. Dafür sind aber die MX-Records da um diese Anfrage umzuleiten. In dem rot markierten Bereich sieht man das alle Anfragen die "mail.domäne.de" heißen, an die feste IP-Adresse des Exchange-Servers weitergeleitet werden.
Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche Problem...
Grüße
FMS
Grüße
FMS
Zitat von @No.INI:
Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche
Problem...
Grüße
FMS
Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche
Problem...
Grüße
FMS
Hallo FMS,
ich habe damals keine richtige Lösung zum Problem gefunden. Es gibt aber eine Lösung die lediglich die Fehlermeldung ausblendet. Da unser Kunde eine sofortige Lösung haben wollte, haben wir den Fehler auf diese Art kaschiert:
http://www.hosting-hilfe.eu/index.php?title=SSL_Fehler_Exchange
Ich denke es hat was mit den MX-Records zu tuen. Falls du auf ne Lösung kommst, kannst du diese ja hier reinschreiben.
Hi
Warum es gibt doch eine Lösung einfach ein multidomain Zertifikat erstellen oder Kaufen. Meine 30 Kunden mit SBS Servern haben das Problem auch nicht.
Wenn der DNS Richtig konfiguriert ist und die Zertifikate passen gibt es auch keine Meldung
LG
Warum es gibt doch eine Lösung einfach ein multidomain Zertifikat erstellen oder Kaufen. Meine 30 Kunden mit SBS Servern haben das Problem auch nicht.
Wenn der DNS Richtig konfiguriert ist und die Zertifikate passen gibt es auch keine Meldung
LG
