15
Exchange 2007 Zertifikate
Hallo,
wir nutzen bei uns in der Firma einen Small Business Server 2008 mit Exchange 2007, auf den Clienten läuft Windows 7 Pro zusammen mit Outlook 2007. Nun zu meiner Frage:
seit ein paar Tagen erscheint beim Start von Outlook auf den Clienten 2 Sicherheitshinweise, mit dem Text "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein.". Ich habe es schon soweit verstanden, dass ich ein neues Zertifikat auf den Clienten brauche. Die Frage ist bloss: Wie bekomme ich vom Server ein solches und wei importiere ich es.
MfG Heinrich
MfG Heinrich
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131996
Url: https://administrator.de/contentid/131996
Printed on: April 24, 2024 at 06:04 o'clock
15 Comments
Latest comment
Hallo,
dieser Fehler tritt auf, wenn der Name des Servers nicht mit dem Namen, für den das Zertifikat ausgestellt wurde übereinstimmt. Das ist zum Beispiel auch der Fall, wenn das Zertifikat für "meinserver" ausgestellt wurde, du allerdings im Outlook als Exchangeserver beispielsweise die IP oder "meinserver.meinedomain.tld" einträgst. Ich nehme mal an es geht lediglich um das interne Zertifikat. Nutzt ihr ein selbst signiertes oder habt ihr eine CA in eurer Domain installiert? Ich würde dir empfehlen eine CA zu installieren (falls ihr das noch nicht habt http://www.msxfaq.de/howto/setupca.htm). Hier ein How-To wie du ein Zertifikat für deinen Exchangeserver erstellst http://www.msxfaq.de/howto/e2k7ssl.htm.
Gruß
dieser Fehler tritt auf, wenn der Name des Servers nicht mit dem Namen, für den das Zertifikat ausgestellt wurde übereinstimmt. Das ist zum Beispiel auch der Fall, wenn das Zertifikat für "meinserver" ausgestellt wurde, du allerdings im Outlook als Exchangeserver beispielsweise die IP oder "meinserver.meinedomain.tld" einträgst. Ich nehme mal an es geht lediglich um das interne Zertifikat. Nutzt ihr ein selbst signiertes oder habt ihr eine CA in eurer Domain installiert? Ich würde dir empfehlen eine CA zu installieren (falls ihr das noch nicht habt http://www.msxfaq.de/howto/setupca.htm). Hier ein How-To wie du ein Zertifikat für deinen Exchangeserver erstellst http://www.msxfaq.de/howto/e2k7ssl.htm.
Gruß
Hallo,
danke erstmal für die schnelle Antwort! Es ist ein CA installiert, zumindestens wurde besagtes Zertifikat von einem ausgestellt. Müsste der die Zertifikate nicht selbst erneuern?
Zum HowTo: kann mir das mal jemand am Beispiel unseres Servers erklären, ich weiss nicht, wie ich die Befehle anpassen muss (hab da noch keine Erfahrungen). Der Server heisst GTW-SERVER und die Domain lautet gtw.local. Wäre ich sehr dankbar dafür!
MfG Heinrich
danke erstmal für die schnelle Antwort! Es ist ein CA installiert, zumindestens wurde besagtes Zertifikat von einem ausgestellt. Müsste der die Zertifikate nicht selbst erneuern?
Zum HowTo: kann mir das mal jemand am Beispiel unseres Servers erklären, ich weiss nicht, wie ich die Befehle anpassen muss (hab da noch keine Erfahrungen). Der Server heisst GTW-SERVER und die Domain lautet gtw.local. Wäre ich sehr dankbar dafür!
MfG Heinrich
Moin,
nein abgelaufene Zertifikate müssen nach Ablauf selbst erneuert werden.
In der Exchange-Verwaltungsshell folgenden Befehl ausführen:
New-ExchangeCertificate -GenerateRequest -Path c:\MsxCert.csr -KeySize 2048 -SubjectName "c=DE, s=Dein Bundesland, l=Deine Stadt, o=Der Name deiner Firma, ou=Deine Abteilung, cn=GTW-SERVER.gtw.local" -DomainName GTW-SERVER, IP -IncludeAcceptedDomains -IncludeAutoDiscover -PrivateKeyExportable $True
Dein Bundesland, etc. natürlich ersetzen und IP durch die IP deines Exchangeservers ersetzen.
Anschließend auf die Weboberfläche deiner CA gehen und das Zertifikat signieren lassen. Falls du nicht weißt wie das geht, da finden sich zahlreiche How-Tos bei google.
Das signierte Zertifikat abspeichern und in der Exchange-Verwaltungsshell folgenden Befehl ausführen:
Import-ExchangeCertificate -Path Pfad\zum\signierten\Zertifikat.cer
Danach mittels Get-ExchangeCertificate alle Zertifikate auflisten lassen und das soeben importierte raussuchen und den Thumbprint kopieren (diesen benötigst du zum Aktivieren des Zertifkats).
Jetzt muss das Zertifikat nur noch aktivieren:
Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IMAP,POP,UM,IIS
Gruß
nein abgelaufene Zertifikate müssen nach Ablauf selbst erneuert werden.
In der Exchange-Verwaltungsshell folgenden Befehl ausführen:
New-ExchangeCertificate -GenerateRequest -Path c:\MsxCert.csr -KeySize 2048 -SubjectName "c=DE, s=Dein Bundesland, l=Deine Stadt, o=Der Name deiner Firma, ou=Deine Abteilung, cn=GTW-SERVER.gtw.local" -DomainName GTW-SERVER, IP -IncludeAcceptedDomains -IncludeAutoDiscover -PrivateKeyExportable $True
Dein Bundesland, etc. natürlich ersetzen und IP durch die IP deines Exchangeservers ersetzen.
Anschließend auf die Weboberfläche deiner CA gehen und das Zertifikat signieren lassen. Falls du nicht weißt wie das geht, da finden sich zahlreiche How-Tos bei google.
Das signierte Zertifikat abspeichern und in der Exchange-Verwaltungsshell folgenden Befehl ausführen:
Import-ExchangeCertificate -Path Pfad\zum\signierten\Zertifikat.cer
Danach mittels Get-ExchangeCertificate alle Zertifikate auflisten lassen und das soeben importierte raussuchen und den Thumbprint kopieren (diesen benötigst du zum Aktivieren des Zertifkats).
Jetzt muss das Zertifikat nur noch aktivieren:
Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IMAP,POP,UM,IIS
Gruß
Hallo,
vielen Dank für deine Antwort. Ich hab das gerade probiert, es kommt die Antwort: "Der Domänenname 'MeinIPAdresse' ist für ein Zertifikat ungültig." Ich habe alles so übernommen und einzelne Angaben angepasst. Was mach ich falsch?
Edit: Ich habe die IP mal durch den Domänennamen ersetz. Es hat soweit funktioniert. Das Zertifikat habe ich auf C gefunden. im internet les ich aber immer nur "Bei Zertifizierungsstelle einreichen", aber wie geht das? (Sry für mein Nicht-Wissen
, ich mach das zum ersten mal.
MfG Heinrich
vielen Dank für deine Antwort. Ich hab das gerade probiert, es kommt die Antwort: "Der Domänenname 'MeinIPAdresse' ist für ein Zertifikat ungültig." Ich habe alles so übernommen und einzelne Angaben angepasst. Was mach ich falsch?
Edit: Ich habe die IP mal durch den Domänennamen ersetz. Es hat soweit funktioniert. Das Zertifikat habe ich auf C gefunden. im internet les ich aber immer nur "Bei Zertifizierungsstelle einreichen", aber wie geht das? (Sry für mein Nicht-Wissen
, ich mach das zum ersten mal.MfG Heinrich
Hallo,
Das mit der IP war Blödsinn, sry.
Du gehst einfach über den Browser auf die Weboberfläche deiner CA. Dafür gibst du folgende Adresse im Browser ein: https://DeinServerAufDemSichDieCABefindet/CertSrv
Anschließend auf "Ein Zertifikat anfordern" klicken. Nun auf "erweiterte Zertifikatanforderung einreichen" klicken. In das erste Feld den Inhalt aus dem csr-File reinkopieren, dass du über die Exchange-Verwaltungsshell erstellt hast (C:\MsxCert.csr). Als Zertifikatsvorlage "Webserver" auswählen und auf einsenden klicken. Danach kannst du das signierte Cert downloaden.
Gruß
Das mit der IP war Blödsinn, sry.
Du gehst einfach über den Browser auf die Weboberfläche deiner CA. Dafür gibst du folgende Adresse im Browser ein: https://DeinServerAufDemSichDieCABefindet/CertSrv
Anschließend auf "Ein Zertifikat anfordern" klicken. Nun auf "erweiterte Zertifikatanforderung einreichen" klicken. In das erste Feld den Inhalt aus dem csr-File reinkopieren, dass du über die Exchange-Verwaltungsshell erstellt hast (C:\MsxCert.csr). Als Zertifikatsvorlage "Webserver" auswählen und auf einsenden klicken. Danach kannst du das signierte Cert downloaden.
Gruß
Hallo,
danke für deine Antwort, bei mir kommt unter der Adresse ein 404er, und wenn ich versuch den physikalischen Pfad zu öffnen ist dort nicht die entsprechende Datei. Ist der CA vielleicht doch noch nicht installiert und wenn ja, was muss ich tun, um ihn zu installieren?
MfG Heinrich
danke für deine Antwort, bei mir kommt unter der Adresse ein 404er, und wenn ich versuch den physikalischen Pfad zu öffnen ist dort nicht die entsprechende Datei. Ist der CA vielleicht doch noch nicht installiert und wenn ja, was muss ich tun, um ihn zu installieren?
MfG Heinrich
Hallo,
es ist durchaus möglich, dass eine CA installiert ist aber der Rollendienst Zertifizierungsstellen-Webregistrierung nicht mit installiert wurde.
Starte mal den Server-Manager und schau ob unter Rollen "Active Directory-Zertifikatsdienste" zu finden sind. Falls ja anklicken und anschließend über "Rollendienste hinzufügen" die Zertifizierungsstellen-Webregistrierung nachinstallieren. Andernfalls auf Rollen klicken und die Rolle "Active Directory-Zertifikatsdienste" hinzifügen.
Gruß
es ist durchaus möglich, dass eine CA installiert ist aber der Rollendienst Zertifizierungsstellen-Webregistrierung nicht mit installiert wurde.
Starte mal den Server-Manager und schau ob unter Rollen "Active Directory-Zertifikatsdienste" zu finden sind. Falls ja anklicken und anschließend über "Rollendienste hinzufügen" die Zertifizierungsstellen-Webregistrierung nachinstallieren. Andernfalls auf Rollen klicken und die Rolle "Active Directory-Zertifikatsdienste" hinzifügen.
Gruß
Hallo,
danke für die Antwort. Ich habe den Webdienst installiert. Es lässt sich nun zumindestens der CertSrv via http erreichen, allerdings nicht mit https, was ich ja für eine zertifizierung brauche. Ich habe mir mal ein Zertifikat direkt aus der Weboberfläche heruntergeladen. Dies habe ich erfolgreich importiert und konnte auch den Thumbprint auslesen, doch wie kopiere ich diesen in der ExchangeShell?
MfG Heinrich
danke für die Antwort. Ich habe den Webdienst installiert. Es lässt sich nun zumindestens der CertSrv via http erreichen, allerdings nicht mit https, was ich ja für eine zertifizierung brauche. Ich habe mir mal ein Zertifikat direkt aus der Weboberfläche heruntergeladen. Dies habe ich erfolgreich importiert und konnte auch den Thumbprint auslesen, doch wie kopiere ich diesen in der ExchangeShell?
MfG Heinrich
Einfach in der Shell markieren -> kopieren mit Rechtsklick -> und durch erneuten Rechtsklick auch wieder an der gewünschten Stelle einfügen.
Gruß
Gruß
Hallo,
danke, habs jetzt hinbekommen zu kopieren. Ich kopiere den Thumbprint vom Zertifikat mit dem Subject CN=gtw-GTW-SERVER-CA. Dann Füge ich Ihn ein, mit folgender Syntax Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP usw., doch dann kommt, dass das Zertifikat mit dem Thumprint soundso nicht gefunden wurde - wie kann das sein?
danke, habs jetzt hinbekommen zu kopieren. Ich kopiere den Thumbprint vom Zertifikat mit dem Subject CN=gtw-GTW-SERVER-CA. Dann Füge ich Ihn ein, mit folgender Syntax Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP usw., doch dann kommt, dass das Zertifikat mit dem Thumprint soundso nicht gefunden wurde - wie kann das sein?
Das kann eigentlich nicht sein. Überprüfe mal, ob du irgendwo ein Leerzeichen oder so zu viel hast. Importiert hast du das Zerifikat (Import-ExchangeCertificate)? Falls es nicht klappt mach mal ein Screen von dem Zertifikat mit Get-ExchangeCertificate inklusive den Befehl den du eingetippt hast zum Aktivieren des Zertifikats und poste diesen.
Hallo,
leider habe ich keine Ahnung, wie man jetzt hier Bilder hochlädt. Ich muss vielleicht noch zwei Sachen dazu sagen: Das Zertifikat (die *.cer-Datei) habe ich auf folgende Weise erhalten, ich habe den Zertifizierungsdienst über den Browser aufgerufen, Download eines Zertifizierungsstellenzertifikats... -> Download des Zertifizierungsstellenzertifikats. (Bis hierhin richtig?). Diese Datei habe ich dann Importiert, hat auch funktioniert. Mit Get-ExchangeCertificates habe ich mir die Zertifikate anzeigen lassen und das mit dem o.g. Subject gewählt, von dem Ich dann den Thumbprint kopiert habe. (Bis hierhin richtig?). Dann habe ich folgende Syntax angewendet: Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP und erhalte den Fehler, dass das Zertifikat nicht vorhanden ist. Ich habe mal noch einen Versuch gemacht mit folgender Syntax Enable-ExchangeCertificate -Thumbprint derkopierteThumprint -Services SMTP,IMAP und erhalte da den Fehler, dass der Dienst nicht installiert ist. Ich hoffe Du kannst mir weiterhelfen.
MfG Heinrich
leider habe ich keine Ahnung, wie man jetzt hier Bilder hochlädt
. Ich muss vielleicht noch zwei Sachen dazu sagen: Das Zertifikat (die *.cer-Datei) habe ich auf folgende Weise erhalten, ich habe den Zertifizierungsdienst über den Browser aufgerufen, Download eines Zertifizierungsstellenzertifikats... -> Download des Zertifizierungsstellenzertifikats. (Bis hierhin richtig?). Diese Datei habe ich dann Importiert, hat auch funktioniert. Mit Get-ExchangeCertificates habe ich mir die Zertifikate anzeigen lassen und das mit dem o.g. Subject gewählt, von dem Ich dann den Thumbprint kopiert habe. (Bis hierhin richtig?). Dann habe ich folgende Syntax angewendet: Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP und erhalte den Fehler, dass das Zertifikat nicht vorhanden ist. Ich habe mal noch einen Versuch gemacht mit folgender Syntax Enable-ExchangeCertificate -Thumbprint derkopierteThumprint -Services SMTP,IMAP und erhalte da den Fehler, dass der Dienst nicht installiert ist. Ich hoffe Du kannst mir weiterhelfen.MfG Heinrich
Ja natürlich nur die Services angeben dir installiert sind ;).
Ich nehme mal an SMTP und IIS. Ob ihr POP, IMAP und Unified Messaging nutzt musst du selbst wissen.
Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IIS
Das mit dem Zertifikat hast du falsch gemacht. Ich habe dir doch oben erklärt, was du machen musst auf der Weboberfläche der CA. Falls du über HTTPS nicht drauf kommst, ist nehme ich an am IIS etwas falsch konfiguriert. -> Du hast also ein falsches Zertifikat importiert.
Die restliche Vorgehensweise ist richtig.
Ich nehme mal an SMTP und IIS. Ob ihr POP, IMAP und Unified Messaging nutzt musst du selbst wissen.
Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IIS
Das mit dem Zertifikat hast du falsch gemacht. Ich habe dir doch oben erklärt, was du machen musst auf der Weboberfläche der CA. Falls du über HTTPS nicht drauf kommst, ist nehme ich an am IIS etwas falsch konfiguriert. -> Du hast also ein falsches Zertifikat importiert.
Die restliche Vorgehensweise ist richtig.
Hallo,
zumindestens mit dem "falschen" Zertifikat hat das jetzt funktioniert - Vielen Dank erstmal für Deine Hilfe! Ich hab jedoch da noch die Frage, was man denn am IIS falsch konfigurieren kann. Bei uns haben wir noch nichts daran geändert, ist also praktisch auf "werkseinstellungen" gestellt. Er zeigt mir bei https wieder nen 404er und auf den physikalischen pfad gibt es keine Datei. Wo liegt aber der physikalische Pfad der https Verbindung? Vielleicht könnte man sie dann über den Windows Explorer aufrufen. Ich hoffe Du kannst mir da noch mal helfen
MfG Heinrich
zumindestens mit dem "falschen" Zertifikat hat das jetzt funktioniert - Vielen Dank erstmal für Deine Hilfe! Ich hab jedoch da noch die Frage, was man denn am IIS falsch konfigurieren kann. Bei uns haben wir noch nichts daran geändert, ist also praktisch auf "werkseinstellungen" gestellt. Er zeigt mir bei https wieder nen 404er und auf den physikalischen pfad gibt es keine Datei. Wo liegt aber der physikalische Pfad der https Verbindung? Vielleicht könnte man sie dann über den Windows Explorer aufrufen. Ich hoffe Du kannst mir da noch mal helfen
MfG Heinrich
Hi,
der physikalische Pfad liegt unter %systemroot%\system32\CertSrv\de-DE (aber nein die Seite kannst du darüber nicht aufrufen).
Geh mal in den Internetinformationsdienste-Manager -> Sites -> Default Web Site -> CertSrv dann auf SSL-Einstellungen. Da sollte eigentlich ein Häkchen bei SSL erforderlich sein (per HTTP solltest du eigentlich gar nicht auf diese Seite kommen).
Danach gehe mal mit Rechtsklick auf der linken Seite auf "Default Web Site" dann auf Bindungen bearbeiten und schau ob da https 443 * drin steht, falls nicht füge es hinzu. Sonst fällt mir jetzt gerade auch nichts ein.
Hoffe das hilft dir weiter.
Gruß
der physikalische Pfad liegt unter %systemroot%\system32\CertSrv\de-DE (aber nein die Seite kannst du darüber nicht aufrufen).
Geh mal in den Internetinformationsdienste-Manager -> Sites -> Default Web Site -> CertSrv dann auf SSL-Einstellungen. Da sollte eigentlich ein Häkchen bei SSL erforderlich sein (per HTTP solltest du eigentlich gar nicht auf diese Seite kommen).
Danach gehe mal mit Rechtsklick auf der linken Seite auf "Default Web Site" dann auf Bindungen bearbeiten und schau ob da https 443 * drin steht, falls nicht füge es hinzu. Sonst fällt mir jetzt gerade auch nichts ein.
Hoffe das hilft dir weiter.
Gruß
