117799
Mar 03, 2016
8068
1
0
"Name auf Sicherheitszertifikat ist ungültig" -Stimmt, aber warum?
Hallo liebe Wissenden,
Ich habe folgendes Problem unter folgender Umgebung:
Server 2008 R2 mit Exchange 2010 SP3
Windows 7 Pro SP1 mit Outlook 2010
ESET NOD32 Antivirus
Vor ca. zwei Monaten ist eins unserer Exchange Zertifikate abgelaufen. Leider konnte ich nicht mehr verlängern sondern musste es neu erstellen. Ich weiß nicht, ob das was damit zu tun hat, das Problem besteht nämlich erst seit ca. einer Woche.
Es fing damit an, das beim öffnen von Outlook der Sicherheitshinweis "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein." immer zweimal hintereinander aufpoppt. Nach bestätigen mit "Ja" funktionierte Outlook ohne Einschränkung, soweit wir wissen. Warum soweit wir wissen? Kommt noch, seit nicht so ungeduldig...
Jetzt ist es so, das zusätzlich nach der Bestätigung des Sicherheitshinweises mit "Ja" Outlook immer mal wieder zum Passwort eingeben auffordert.
Nach einigen Recherchen im Internet bin ich dann auf einen Eintrag mit ähnlichem Problem gestoßen, in dem stand das bei dem Kollegen auch der Abwesenheitsassistenten nicht funktioniert hat.
Ich habe das dann auch bei uns getestet und musste feststellen bei uns geht der Assistent auch nicht mehr. Ich weiß allerdings nicht ob das Problem schon bestand als die Abfrage des Passworts noch nicht kam. (
)
Auf meinem weiteren Weg dieses Problem zu beheben, habe ich dann festgestellt, das in dem Zertifikat, wo der Name nicht stimmt oder ungültig ist, auf den Cients immer die IP Adresse des Servers angezeigt wird. Auf dem Server gibt es aber kein Zertifikat in dem die IP Adresse steht, sondern nur der Name des Servers. Es gibt auch nur ein Zertifikat auf dem Server, das von dem Erstell und Ablaufdatum passt. Ich nehme mal an, das ist schon das Problem.
Das Zertifikat mit der IP Adresse des Servers war auf dem Server und den Clients in den Stammzertifikaten hinterlegt. Ich habe das Zertifikat dann mal von allen Clients und vom Server aus dem Stamm gelöscht. Jetzt kommt beim öffnen von Outlook immer noch der Sicherheitshinweises, aber die Abfrage des Passworts bleibt aus.
Dann stellte ich fest, dass sich der ESET wohl einmischt, da als Pfad übergeordnet "ESET SSL Filter CA" steht und sich auch der "Ausgestellt von" so schimpft.
Wenn das IP Zertifikat auf dem Client in den Vertrauenswürdigen Stammzertifizierungstellen importiert ist und ich bei ESET "SSL/TLS-Protokollfilterung" deaktiviere kommt zwar der Sicherheitshinweis beim start von Outlook aber der Abwesenheitsassistent funktioniert und die Passwort abfrage kommt auch nicht. Das deaktiviert zu lassen finde ich aber nicht ideal.
Da mir Zertifikate schon immer ein großes Rätsel waren bitte ich euch nun um Hilfe.
Viel Dank
Gruß
Daniel
Ich habe folgendes Problem unter folgender Umgebung:
Server 2008 R2 mit Exchange 2010 SP3
Windows 7 Pro SP1 mit Outlook 2010
ESET NOD32 Antivirus
Vor ca. zwei Monaten ist eins unserer Exchange Zertifikate abgelaufen. Leider konnte ich nicht mehr verlängern sondern musste es neu erstellen. Ich weiß nicht, ob das was damit zu tun hat, das Problem besteht nämlich erst seit ca. einer Woche.
Es fing damit an, das beim öffnen von Outlook der Sicherheitshinweis "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein." immer zweimal hintereinander aufpoppt. Nach bestätigen mit "Ja" funktionierte Outlook ohne Einschränkung, soweit wir wissen. Warum soweit wir wissen? Kommt noch, seit nicht so ungeduldig...
Jetzt ist es so, das zusätzlich nach der Bestätigung des Sicherheitshinweises mit "Ja" Outlook immer mal wieder zum Passwort eingeben auffordert.
Nach einigen Recherchen im Internet bin ich dann auf einen Eintrag mit ähnlichem Problem gestoßen, in dem stand das bei dem Kollegen auch der Abwesenheitsassistenten nicht funktioniert hat.
Ich habe das dann auch bei uns getestet und musste feststellen bei uns geht der Assistent auch nicht mehr. Ich weiß allerdings nicht ob das Problem schon bestand als die Abfrage des Passworts noch nicht kam. (
)Auf meinem weiteren Weg dieses Problem zu beheben, habe ich dann festgestellt, das in dem Zertifikat, wo der Name nicht stimmt oder ungültig ist, auf den Cients immer die IP Adresse des Servers angezeigt wird. Auf dem Server gibt es aber kein Zertifikat in dem die IP Adresse steht, sondern nur der Name des Servers. Es gibt auch nur ein Zertifikat auf dem Server, das von dem Erstell und Ablaufdatum passt. Ich nehme mal an, das ist schon das Problem.
Das Zertifikat mit der IP Adresse des Servers war auf dem Server und den Clients in den Stammzertifikaten hinterlegt. Ich habe das Zertifikat dann mal von allen Clients und vom Server aus dem Stamm gelöscht. Jetzt kommt beim öffnen von Outlook immer noch der Sicherheitshinweises, aber die Abfrage des Passworts bleibt aus.
Dann stellte ich fest, dass sich der ESET wohl einmischt, da als Pfad übergeordnet "ESET SSL Filter CA" steht und sich auch der "Ausgestellt von" so schimpft.
Wenn das IP Zertifikat auf dem Client in den Vertrauenswürdigen Stammzertifizierungstellen importiert ist und ich bei ESET "SSL/TLS-Protokollfilterung" deaktiviere kommt zwar der Sicherheitshinweis beim start von Outlook aber der Abwesenheitsassistent funktioniert und die Passwort abfrage kommt auch nicht. Das deaktiviert zu lassen finde ich aber nicht ideal.
Da mir Zertifikate schon immer ein großes Rätsel waren bitte ich euch nun um Hilfe.
Viel Dank
Gruß
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 298053
Url: https://administrator.de/contentid/298053
Printed on: April 26, 2024 at 15:04 o'clock
1 Comment
Hallo,
verwende eine richtige Zertifikatstruktur, bei der das Zertifikat vom Server nicht von sich selbe rsondern von der CA signiert wird.
Das CA Zertifikat wird dann per GPO in der Domäne verteilt und fertig.
Ganz einfach mit openssl selbst gemacht.
Und das Zertifikat muss dann beim Exchange auch richtig ausgewählt werden.
Auf diese Weise kannst Du auch SAN Zertifikate erstellen.
Gruß
Chonta
verwende eine richtige Zertifikatstruktur, bei der das Zertifikat vom Server nicht von sich selbe rsondern von der CA signiert wird.
Das CA Zertifikat wird dann per GPO in der Domäne verteilt und fertig.
Ganz einfach mit openssl selbst gemacht.
Und das Zertifikat muss dann beim Exchange auch richtig ausgewählt werden.
Auf diese Weise kannst Du auch SAN Zertifikate erstellen.
Gruß
Chonta