6
Exchange Server 2010 - Wildcard Zertifikat - Zertifikatsfehler
Hallo zusammen,
ich hätte ein - zwei Frage bezüglich einem Exchange Server 2010 in Verbindung mit Outlook 2013 Clients.
Kurz zur Erklärung:
Leider war in unserem Unternehmen die Konfiguration des DNS nicht korrekt, deswegen habe ich im Zuge eines neues Zertifikats gleich die DNS Einstellungen für Interne und Externe URLs angepasst.
Ich habe zwei Zonen im DNS angelegt:
outlook.domain.de
autodiscover.domain.de
In den jeweiligen Zonen habe ich eine Host A Eintrag erstellt, welcher auf den Exchange Server im Unternehmen verweißt.
Externe DNS Einstellungen verweißen auf die öffentlich IP Adresse des Unternehmens.
Alle URLS habe ich über die Powershell korrekt an die neuen URLs angepasst.
##
Hier die erste Frage bezüglich eines WildCard Zertifikates in Verbindung mit Exchange:
- bisher habe ich immer SAN Zertifikate benutzt, welche die Domains beinhaltet haben.
- Nun steht natürlich im Zertifikat unter dem Punkt "Alternativer Antragsstellername" DNS-Name = *.Domain.de
Ich habe dann das .PFX Zertifikat auf dem Exchange Server importiert/installiert und das Binding auf dem IIS (Port 443) auf das neue Zertifikat umgestellt.
1.) Ist dies hier ausreichen, oder müssen hier weitere Bindings für "outlook.domain.de" und "autodiscover.domain.de" vorgenommen werden?
##
Zertifikatsfehlermeldung beim Start von Outlook 2013:
- Nun bekomme ich von den Usern teilweise Rückmeldung, dass vereinzelt auf dem Terminalserver die Fehlermeldung erscheint, dass das Sicherheitszertifikat ungültig, oder nicht mit dem Namen der Website übereinstimmt.
Lokal, außerhalb des Terminalservers funktioniert es problemlos.
2.) Kann sich jemand erklären, wieso die Meldung nur vereinzelt auftaucht?
##
EDIT:
Autodiscover funktioniert lokal wie auf dem Terminalserver korrekt.
Danke euch im Voraus.
Grüße Phil
ich hätte ein - zwei Frage bezüglich einem Exchange Server 2010 in Verbindung mit Outlook 2013 Clients.
Kurz zur Erklärung:
Leider war in unserem Unternehmen die Konfiguration des DNS nicht korrekt, deswegen habe ich im Zuge eines neues Zertifikats gleich die DNS Einstellungen für Interne und Externe URLs angepasst.
Ich habe zwei Zonen im DNS angelegt:
outlook.domain.de
autodiscover.domain.de
In den jeweiligen Zonen habe ich eine Host A Eintrag erstellt, welcher auf den Exchange Server im Unternehmen verweißt.
Externe DNS Einstellungen verweißen auf die öffentlich IP Adresse des Unternehmens.
Alle URLS habe ich über die Powershell korrekt an die neuen URLs angepasst.
##
Hier die erste Frage bezüglich eines WildCard Zertifikates in Verbindung mit Exchange:
- bisher habe ich immer SAN Zertifikate benutzt, welche die Domains beinhaltet haben.
- Nun steht natürlich im Zertifikat unter dem Punkt "Alternativer Antragsstellername" DNS-Name = *.Domain.de
Ich habe dann das .PFX Zertifikat auf dem Exchange Server importiert/installiert und das Binding auf dem IIS (Port 443) auf das neue Zertifikat umgestellt.
1.) Ist dies hier ausreichen, oder müssen hier weitere Bindings für "outlook.domain.de" und "autodiscover.domain.de" vorgenommen werden?
##
Zertifikatsfehlermeldung beim Start von Outlook 2013:
- Nun bekomme ich von den Usern teilweise Rückmeldung, dass vereinzelt auf dem Terminalserver die Fehlermeldung erscheint, dass das Sicherheitszertifikat ungültig, oder nicht mit dem Namen der Website übereinstimmt.
Lokal, außerhalb des Terminalservers funktioniert es problemlos.
2.) Kann sich jemand erklären, wieso die Meldung nur vereinzelt auftaucht?
##
EDIT:
Autodiscover funktioniert lokal wie auf dem Terminalserver korrekt.
Danke euch im Voraus.
Grüße Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384056
Url: https://administrator.de/contentid/384056
Printed on: April 25, 2024 at 17:04 o'clock
6 Comments
Latest comment
Morgen,
hat niemand eine Idee hierzu?
###
Was mir gerade noch aufgefallen ist. Wenn ich im Outlook Verbindungsstatus nachschaue, dann bekomme ich immer noch den internen Servernamen angezeigt. Sollte hier nicht auch "outlook.domain.de" angezeigt werden?
hat niemand eine Idee hierzu?
###
Was mir gerade noch aufgefallen ist. Wenn ich im Outlook Verbindungsstatus nachschaue, dann bekomme ich immer noch den internen Servernamen angezeigt. Sollte hier nicht auch "outlook.domain.de" angezeigt werden?
Moin
Daher auch die Zertifikatwarnung.
Zitat von @Gerber:
Morgen,
Was mir gerade noch aufgefallen ist. Wenn ich im Outlook Verbindungsstatus nachschaue, dann bekomme ich immer noch den internen Servernamen angezeigt. Sollte hier nicht auch "outlook.domain.de" angezeigt werden?
Nach Wechsel des internen Servernamens musst du die Outlook-Profile neu erstellen. Outlook wechselt den Servernamen nicht von selbst.Morgen,
Was mir gerade noch aufgefallen ist. Wenn ich im Outlook Verbindungsstatus nachschaue, dann bekomme ich immer noch den internen Servernamen angezeigt. Sollte hier nicht auch "outlook.domain.de" angezeigt werden?
Daher auch die Zertifikatwarnung.
@goscho:
Danke dir für die ANtwort.
Allerdings ist auch nach der Erstellung eines neues Profil immer noch der lokale Servername hinterlegt.
Allerdings habe ich auch kein "CAS-Array " konfiguriert und somit wird immer der lokale FQDN verwendet. Sollte ich hier ein "CAS-Array " konfigurieren und auf outlook.domain.de konfigurieren?
Edit:
Ok, ich glaube der wichtigste Punkt habe ich vergessen, genau den CAS Array zu konfigurieren, ansonsten stimmt das Zertifikat nie überein, oder?
Hier ist eben nur die Frage, wenn ich den CAS Array auf "outlook.domain.de" konfiguriere, ob es durch das WildCard akzeptiert wird.
##
Kannst du vllt zu dem Thema mit dem Wildcard auch eine Auskunft geben?
Danke dir...
Danke dir für die ANtwort.
Allerdings ist auch nach der Erstellung eines neues Profil immer noch der lokale Servername hinterlegt.
Allerdings habe ich auch kein "CAS-Array " konfiguriert und somit wird immer der lokale FQDN verwendet. Sollte ich hier ein "CAS-Array " konfigurieren und auf outlook.domain.de konfigurieren?
Edit:
Ok, ich glaube der wichtigste Punkt habe ich vergessen, genau den CAS Array zu konfigurieren, ansonsten stimmt das Zertifikat nie überein, oder?
Hier ist eben nur die Frage, wenn ich den CAS Array auf "outlook.domain.de" konfiguriere, ob es durch das WildCard akzeptiert wird.
##
Kannst du vllt zu dem Thema mit dem Wildcard auch eine Auskunft geben?
Danke dir...
Danke an alle.
Ich werde vermutlich eine neue Bestellung eines SAN Zertifikats vornehmen und das alte Wildcard Zertifikat widerrufen.
Somit kann ich auch die Dienste "POP und IMAP" sauber an das Zertifikat binden (falls dies einmal benötigt wird).
Wildcard mit Exchange werde ich vermutlich in Zukunft anders betrachten :D :D
Grüße Philipp
Ich werde vermutlich eine neue Bestellung eines SAN Zertifikats vornehmen und das alte Wildcard Zertifikat widerrufen.
Somit kann ich auch die Dienste "POP und IMAP" sauber an das Zertifikat binden (falls dies einmal benötigt wird).
Wildcard mit Exchange werde ich vermutlich in Zukunft anders betrachten :D :D
Grüße Philipp
Zitat von @Gerber:
Allerdings habe ich auch kein "CAS-Array " konfiguriert und somit wird immer der lokale FQDN verwendet. Sollte ich hier ein "CAS-Array " konfigurieren und auf outlook.domain.de konfigurieren?
Richtig, dass brauchst du, damit der interne Mailservername gewechselt werden kann.Allerdings habe ich auch kein "CAS-Array " konfiguriert und somit wird immer der lokale FQDN verwendet. Sollte ich hier ein "CAS-Array " konfigurieren und auf outlook.domain.de konfigurieren?
Hier kannst du das nochmal nachlesen.
Hier ist eben nur die Frage, wenn ich den CAS Array auf "outlook.domain.de" konfiguriere, ob es durch das WildCard akzeptiert wird.
Denke ich schonKannst du vllt zu dem Thema mit dem Wildcard auch eine Auskunft geben?
Nein, kann ich nicht wirklich.Ich nutze die kostenlosen Zertifikate von Let's encrypt und ging nach dieser Anleitung für Exchange 2010 vor:
Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 1)
Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)
Danke dir.
Ich werde in die nächsten Tagen/Wochen auf alle Fälle ein CAS Array konfigurieren.
Zusätzlich werde ich mir auch die Thematik mit Lets Encrypt anschauen. Ist ja eigentlich eine super Sache.
Grüße
Ich werde in die nächsten Tagen/Wochen auf alle Fälle ein CAS Array konfigurieren.
Zusätzlich werde ich mir auch die Thematik mit Lets Encrypt anschauen. Ist ja eigentlich eine super Sache.
Grüße
