4
SBS 2008 rpc over http Zertifikatsfehler
Hallo liebe Admin-Gemeinde!
Ich habe einen SBS 2008 aufgesetzt und ein Problem mit dem Zertifkat beim Zugriff von aussen (rps over http).
Beim Aufruf (IE8 / Vista) von https://meinserver.dynalias.net/owa
erhalte ich folgende Fehlermeldung:
"Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen. "
Zertifikatsinfo:
"Dieses Zertifikat kann nicht bis zu einer Zert. stelle verifiziert werden.
Ausgestellt für: remote.meinserver.dynalias.net"
Das Zertifikat habe ich bereits einmal automatisch importieren lassen und einmal manuell
in den Store "Vertrauenswürd. Stammzertifizierungsstellen".
Auch im IE8 habe ich unter Sicherheit sämtliche Zert. prüfung - vorübergehend - abgeschaltet.
Leider kein Erfolg. Der Zert. fehler bleibt.
Outlook Webaccess klappt natürlich, wenn ich die Warnung wegklicke, Outlook 2007 klappt nicht von extern.
Da ich gerne Outlook 2007 rpc over http betreiben möchte und ein gültiges Zertifikat wohl dafür unumgänglich zu sein scheint,
setze ich auf Eure kompetente Hilfe :-.).
Viele Grüße,
Marc
Ich habe einen SBS 2008 aufgesetzt und ein Problem mit dem Zertifkat beim Zugriff von aussen (rps over http).
Beim Aufruf (IE8 / Vista) von https://meinserver.dynalias.net/owa
erhalte ich folgende Fehlermeldung:
"Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen. "
Zertifikatsinfo:
"Dieses Zertifikat kann nicht bis zu einer Zert. stelle verifiziert werden.
Ausgestellt für: remote.meinserver.dynalias.net"
Das Zertifikat habe ich bereits einmal automatisch importieren lassen und einmal manuell
in den Store "Vertrauenswürd. Stammzertifizierungsstellen".
Auch im IE8 habe ich unter Sicherheit sämtliche Zert. prüfung - vorübergehend - abgeschaltet.
Leider kein Erfolg. Der Zert. fehler bleibt.
Outlook Webaccess klappt natürlich, wenn ich die Warnung wegklicke, Outlook 2007 klappt nicht von extern.
Da ich gerne Outlook 2007 rpc over http betreiben möchte und ein gültiges Zertifikat wohl dafür unumgänglich zu sein scheint,
setze ich auf Eure kompetente Hilfe :-.).
Viele Grüße,
Marc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 119155
Url: https://administrator.de/contentid/119155
Printed on: April 19, 2024 at 08:04 o'clock
4 Comments
Latest comment
Hallo Marc,
hast Du eine Lösung gefunden.
Habe das gleich Problem
.
Vielen Dank für kurze Antwort.
hast Du eine Lösung gefunden.
Habe das gleich Problem
.Vielen Dank für kurze Antwort.
Ist zwar ne weile her, das die Frage gestellt wurde - aber da ich selbiges Problem eben lösen musste - hier meine Antwort.
Der IE8 hat recht. Falsches Zertifikat. Du sprichst den Rechner mit der URL meinserver.dynalias.net an. Dieser weist sich allerdings mit einem Zertifikat aus, das für remote.meinserver.dynalias.net ausgestellt ist. Dieses Zertifikat ist aber auch nicht das Selbst-Zertifikat der Zertifizierungsstelle (CA) sondern ein von dieser ausgestelltes.
Dir ist ein Fehler beim Eintragen deines externen Domänennamens passiert: der externe Name ist normalerweise NUR dynalias.net mit dem PRÄFIX meinserver. Wird stattdessen meinserver.dynalias.net verwendet setzt der SBS "remote" automatisch als Präfix - diese entstehende Adresse remote.meinserber.dynalias.net kann aber gar nicht aufgelöst werden (ich denke mal es handelt sich nur um eine normale dynamische Hostauflösung ohne Wildcards)
An allen Clients ist weiterhin das Selbstzertifikat der CA als vertrauenswürdige Stammzertifizierungsstelle einzufügen. Und kann z.B. unter anderem am SBS im certsrv exportiert werden.
Der IE8 hat recht. Falsches Zertifikat. Du sprichst den Rechner mit der URL meinserver.dynalias.net an. Dieser weist sich allerdings mit einem Zertifikat aus, das für remote.meinserver.dynalias.net ausgestellt ist. Dieses Zertifikat ist aber auch nicht das Selbst-Zertifikat der Zertifizierungsstelle (CA) sondern ein von dieser ausgestelltes.
Dir ist ein Fehler beim Eintragen deines externen Domänennamens passiert: der externe Name ist normalerweise NUR dynalias.net mit dem PRÄFIX meinserver. Wird stattdessen meinserver.dynalias.net verwendet setzt der SBS "remote" automatisch als Präfix - diese entstehende Adresse remote.meinserber.dynalias.net kann aber gar nicht aufgelöst werden (ich denke mal es handelt sich nur um eine normale dynamische Hostauflösung ohne Wildcards)
An allen Clients ist weiterhin das Selbstzertifikat der CA als vertrauenswürdige Stammzertifizierungsstelle einzufügen. Und kann z.B. unter anderem am SBS im certsrv exportiert werden.
Aha. Prima, danke Dir. Genau das wird es wohl gewesen sein.
Über companyweb kann man ja das Zertifikat downloaden und dann auf den Remote-Clients installieren.
Mein Problem ist nun, dass anscheinend keine neues Zertifikat "zum download" angeboten wird. Obwohl es erstellt worden ist. Kann man den Prozess irgendwie anstarten, so dass
das korrekte Zertifikat über das Companyweb gedownloaded werden kann?
Über companyweb kann man ja das Zertifikat downloaden und dann auf den Remote-Clients installieren.
Mein Problem ist nun, dass anscheinend keine neues Zertifikat "zum download" angeboten wird. Obwohl es erstellt worden ist. Kann man den Prozess irgendwie anstarten, so dass
das korrekte Zertifikat über das Companyweb gedownloaded werden kann?
Welches neue Zertifikat wurde erstellt? Und wie wurde es erstellt?
Das über das Companyweb verfügbare Zertifikat ist das Selbstzertifikat des SBS (bei mir die Datei \\<servername>\public\Downloads\Certificate Distribution Package\SBSCertificate.cer ). Das wird bei Einrichtung der Zertifizierungsstelle erstellt und dann nicht mehr geändert.
Alle anderen Zertifikate müssen nicht am Server exportiert und am Client importiert werden, da diesen immer vertraut wird wenn das SBSCertificate als Vertrauenswürdige Stammzertifizierungsstelle eingerichtet ist.
Das Selbstzertifikat kann man auch im certsrv nachschauen (Zertifizierungsstelle-MMC-SnapIn / Zertifizierungstellenmanagementkonsole --> Rechtsklick auf die CA (i.d.R. localdomain-servername-CA) und dann auf Eigenschaften --> Zertifizierungsstellenzertifikate). Bei mir gibts da nur ein "Zertifikat Nr. 0" und das ist o.g. Selbstzertifikat. Wenn es bei Dir mehrere gäbe wäre interessant zu wissen warum.
Das Selbstzertifikat ist 5 Jahre gültig, die anderen (für SSL z.B.) ausgestellten Zertifikate nur 2 Jahre.
Das über das Companyweb verfügbare Zertifikat ist das Selbstzertifikat des SBS (bei mir die Datei \\<servername>\public\Downloads\Certificate Distribution Package\SBSCertificate.cer ). Das wird bei Einrichtung der Zertifizierungsstelle erstellt und dann nicht mehr geändert.
Alle anderen Zertifikate müssen nicht am Server exportiert und am Client importiert werden, da diesen immer vertraut wird wenn das SBSCertificate als Vertrauenswürdige Stammzertifizierungsstelle eingerichtet ist.
Das Selbstzertifikat kann man auch im certsrv nachschauen (Zertifizierungsstelle-MMC-SnapIn / Zertifizierungstellenmanagementkonsole --> Rechtsklick auf die CA (i.d.R. localdomain-servername-CA) und dann auf Eigenschaften --> Zertifizierungsstellenzertifikate). Bei mir gibts da nur ein "Zertifikat Nr. 0" und das ist o.g. Selbstzertifikat. Wenn es bei Dir mehrere gäbe wäre interessant zu wissen warum.
Das Selbstzertifikat ist 5 Jahre gültig, die anderen (für SSL z.B.) ausgestellten Zertifikate nur 2 Jahre.
