3
Problem mit ext. OWA Zertifikat
Hallo Zusammen, ich habe einen Exchange in meiner Organisation aufgesetzt, und diesem ein externes gekauftes SSL Zertifikat verpasst.
Dieses Zertifikat deckt unter "alternative Antragsstellername" lediglich:
mail.externen-domäne.de
ab.
Möchte ich jetzt über einen lokalen Outlook Client via Autodiscover einrichten, bekommen ich die Zertifikatswarnung "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein".
Logisch - er möchte auch die Autodiscover.xml über den FQDN des Exchange zugreifen, demzufolge kommt wohl der Fehler. Ich kann hier zwar bestätigen, allerdings kommt die Zertifikatswarnung dann bei jedem (!) Outlook Start.
Wie kann ich das Problem lösen, ohne dass ich ein neues Zertifikat kaufen muss, und welchen Fehler habe ich gemacht, als ich den CSR generiert habe?
Generiert habe ich über den Exchange Wizard, und ich hatte extra darauf geachtet dass der fqdn mit aufgenommen wird.
Danke für Eure Hilfe!
Dieses Zertifikat deckt unter "alternative Antragsstellername" lediglich:
mail.externen-domäne.de
ab.
Möchte ich jetzt über einen lokalen Outlook Client via Autodiscover einrichten, bekommen ich die Zertifikatswarnung "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein".
Logisch - er möchte auch die Autodiscover.xml über den FQDN des Exchange zugreifen, demzufolge kommt wohl der Fehler. Ich kann hier zwar bestätigen, allerdings kommt die Zertifikatswarnung dann bei jedem (!) Outlook Start.
Wie kann ich das Problem lösen, ohne dass ich ein neues Zertifikat kaufen muss, und welchen Fehler habe ich gemacht, als ich den CSR generiert habe?
Generiert habe ich über den Exchange Wizard, und ich hatte extra darauf geachtet dass der fqdn mit aufgenommen wird.
Danke für Eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217130
Url: https://administrator.de/contentid/217130
Printed on: April 19, 2024 at 04:04 o'clock
3 Comments
Latest comment
Hallo,
hatte bei uns neulich ein ähnliches Problem. Wir hatten in unserem public Zertifikat unser.local mit eingetragen. Dadurch war das Problem damals behoben. Allerdings bekommst du aktuell keine .local mehr in öffentlichen Zertifikaten approved. Ich musste zwangsläufig unser Zertifikat als es vor ca 4 Wochen ablief ersetzen. Im Nachgang habe ich alle AutoDiscover URLs angepasst und intern einen Split DNS eingerichtet.
Ich habe es für die Beste Möglichkeit gehalten.Falls ihr eine eigene CA habt, kannst Du intern auch ein eigenes Zertifikat verwenden.
Mir hat dieser Artikel dabei geholfen:
http://social.technet.microsoft.com/Forums/exchange/en-US/e73dbab3-3430 ...
hatte bei uns neulich ein ähnliches Problem. Wir hatten in unserem public Zertifikat unser.local mit eingetragen. Dadurch war das Problem damals behoben. Allerdings bekommst du aktuell keine .local mehr in öffentlichen Zertifikaten approved. Ich musste zwangsläufig unser Zertifikat als es vor ca 4 Wochen ablief ersetzen. Im Nachgang habe ich alle AutoDiscover URLs angepasst und intern einen Split DNS eingerichtet.
Ich habe es für die Beste Möglichkeit gehalten.Falls ihr eine eigene CA habt, kannst Du intern auch ein eigenes Zertifikat verwenden.
Mir hat dieser Artikel dabei geholfen:
http://social.technet.microsoft.com/Forums/exchange/en-US/e73dbab3-3430 ...
Zitat von @Marco-83:
Ich habe es für die Beste Möglichkeit gehalten.Falls ihr eine eigene CA habt, kannst Du intern auch ein eigenes
Zertifikat verwenden.
Ich habe es für die Beste Möglichkeit gehalten.Falls ihr eine eigene CA habt, kannst Du intern auch ein eigenes
Zertifikat verwenden.
Wir haben keine interne CA, und eigentlich wollte ich auch keine aufsetzen. Lediglich wenn es die letzte Möglichkeit ist, würde ich das in betracht ziehen.
Zum Split- DNS: hört sich interessant an. Werde mir den Artikel mal anschauen!
@all: Gibt es sonst noch Möglichkeiten?
Hallo,
In Exchange kannst du für OWA und EWS und Autodiscover und... hm.. jeweils einen externen und einen internen Hostnamen (bzw. URL) angeben. Und da darfst du nur Hostnamen verwenden, die auf dem Zertifikat stehen.
Theoretisch reicht für alle internen und externen Zugriffe (inkl. Autodiscover) ein Zertifikat mit einem Hostname... Versuchmal die diversen internal URLs anzupassen...
Grüße
Filipp
Dieses Zertifikat deckt unter "alternative Antragsstellername" lediglich:
mail.externen-domäne.de
ab
Okay. Und was ist als Subject (primärer Name) eingetragen?mail.externen-domäne.de
ab
In Exchange kannst du für OWA und EWS und Autodiscover und... hm.. jeweils einen externen und einen internen Hostnamen (bzw. URL) angeben. Und da darfst du nur Hostnamen verwenden, die auf dem Zertifikat stehen.
Theoretisch reicht für alle internen und externen Zugriffe (inkl. Autodiscover) ein Zertifikat mit einem Hostname... Versuchmal die diversen internal URLs anzupassen...
Grüße
Filipp
