brooks
Goto Top

Exchange Server SAN Zertifikat Problem

Hallo,

ich arbeite gerade daran, meinen Exchange Server von 2010 auf 2016 umzubauen mit neuer Hardware.

Eine Maschine : Windows Server 2012 Datacenter mit MS Exchange Server 2016 Standart Edition.
Eine Maschine: Sophos UTM 9

Es funktioniert alles tadellos, bis auf dem Webzugriff mit Autodiscover und OWA . Ich habe für Exchange ein San Zertifikat erstellt .(über meine CA)

ich greife über https://outlook.domain,de/owa von extern und von intern über https://outlook.rz.domain.de/owa zu
Details San Zertifikat

(CN) Allgemeiner Name: outlook.domain.de

Alternative Name:
DNS : domain.de
DNS :outlook.rz.domain.de
DNS: :autodiscover.domain.de
DNS: :autodiscover.rz.domain.de

Die Geschichten sind veröffentlicht im Internet und funktionieren bis auf Zertifikatfehler wunderbar. Im internen Netz funktioniert alles tadellos. Im Externen bekomme ich Fehler

Bei Safari bekomme ich angezeigt:
Safari kann die identität der Website "outlook.domain.de" nicht verifizieren.

Das Stamm CA ist korrekt installiert und weißt keine Fehler aus, außerdem ist es für alle Benutzer als vertrauenswürdig markiert.
allerdings bei outlook.domain.de wird Rot folgendes hingeschrieben:

Dieses Zertifikat ist nicht gültig /Hostname stimmt nicht überein) =????????

Wieso? ist es doch outlook.domain.de und vorsichtshalber domain.de zugelassen unter alternativer Name?=???

Chroome zeigt folgenden Fehler an:
Diese Verbindung ist nicht sicher

Negativ:
Certificate Error
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).

Positiv:
Secure Connection
The connection to this site is encrypted and authenticated using a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-256), and a strong cipher (AES_256_GCM).
Positiv:
Secure Resources
All resources on this page are served securely.


Und beim Internet Explorer werde ich nicht schlau draus:

Es besteht ein Problem mit dem Sicherheitszertifikat der Website:
Klicke ich dann neben der Rot Leuchtenden Url auf Zertifikatfehler

Erscheint die Meldung:
Das Sicherheitszertifikat dieser Website wurde für die Adresse einer anderen Website ausgestellt...blahh blahh...

Auf Zertifikat anzeigen sieht für mich alles verdächtig gut aus und ich kann keine Fehler entdecken

CA Stammzertifikat ist korrekt installiert

Ausgestellt für outlook.domain.de
Ausgestellt von meiner Domain CA und ist Gültig

Dieses Zertifikat ist für folgende Zwecke beabsichtigt

Garantiert die Identität eines Remotecomputers

Und ich besitze auf beiden externen Pcs den privaten Schlüssel für das Stammzertifikat....
Was ist da los , was hab ich falsch gemacht

Bei Exchange SAN habe ich mich an diese Vorlage hier gehalten:

https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zerti ...

Danke für eure Antworten.

Content-Key: 327609

Url: https://administrator.de/contentid/327609

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: 131381
Lösung 131381 26.01.2017 aktualisiert um 20:39:36 Uhr
Goto Top
Moin,
Der Grund ist folgender: outlook.domain.de wird nicht in den SANs gelistet! Denn wenn SANs angegeben werden ignorieren viele Clients den Common-Name, deswegen sollte man der Kompatibilität wegen immer auch den Common-Name zusätzlich als SAN angeben.

Liest du hier
https://www.digicert.com/subject-alternative-name-compatibility.htm
If a SSL Certificate has a Subject Alternative Name (SAN) field, then SSL clients are supposed to ignore the Common Name value and seek a match in the SAN list. This is why DigiCert always repeats the common name as the first SAN in our certificates.
Gruß mik
Mitglied: brooks
brooks 26.01.2017 aktualisiert um 21:38:20 Uhr
Goto Top
Hi,

danke für deine Antwort.

Man kann wohl nicht alles wissen .

Danke!!!!