10
Exchange 2007 Name von Zertifikat nicht gültig
Hallo zusammen,
ich betreibe einen kleinen abgeschotteten Exchange 2007 Server mit OWA und einigen Outlook 2003 Clients.
Nun ist aber der erste Outlook 2010 Client dazugestoßen und es gibt Probleme.
Beim öffnen von Outlook wird angemäkelt das der Name des Zertifikats nicht mit dem Server übereinstimmt.
Das ist soweit auch korrekt weil eine Eingabe von:
get-exchangecertificate |ft
XXXXXX ...W. CN=mail.extern.de
XXXXXX ..... CN=interner.mailserver.name
angibt. Leider brauche ich aber für den internen traffic nun die Möglichkeit das Outlook auch dieses Zertifikat frisst.
Wie sage ich ihm nun also das er auch jenes bereits vorhandene Zertifikat akzeptiert, obowhl es auf eine externe Domain lautet?
Gruß
ich betreibe einen kleinen abgeschotteten Exchange 2007 Server mit OWA und einigen Outlook 2003 Clients.
Nun ist aber der erste Outlook 2010 Client dazugestoßen und es gibt Probleme.
Beim öffnen von Outlook wird angemäkelt das der Name des Zertifikats nicht mit dem Server übereinstimmt.
Das ist soweit auch korrekt weil eine Eingabe von:
get-exchangecertificate |ft
XXXXXX ...W. CN=mail.extern.de
XXXXXX ..... CN=interner.mailserver.name
angibt. Leider brauche ich aber für den internen traffic nun die Möglichkeit das Outlook auch dieses Zertifikat frisst.
Wie sage ich ihm nun also das er auch jenes bereits vorhandene Zertifikat akzeptiert, obowhl es auf eine externe Domain lautet?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197437
Url: https://administrator.de/contentid/197437
Printed on: April 16, 2024 at 05:04 o'clock
10 Comments
Latest comment
Dann musst du dir ein Offizielles Multidomain Zertifikat kaufen.
Oder das bereits vorhandene Zertifikat auf den Clients installieren und als vertrauenswürdig einstufen.
LG
Oder das bereits vorhandene Zertifikat auf den Clients installieren und als vertrauenswürdig einstufen.
LG
Hi,
Ich habe das Zertifikat auf den Clients bereits per GPO wie folgt installiert:
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
Klicken Sie auf Importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten, um die Zertifikate zu importieren.
Der Import hat auch funktioniert und das Zertifikat wird auch angezeigt. Aber irgendetwas scheint da nicht zu stimmen.
Edit:
Ich denke das Problem ist folgendes: Der interne Mailserver intern-mx.local versucht auch als intern-mx.local sich beim Client zu melden mit dem selbstgenerierten SSL Zertifikat. Das Zertifikat ist zwar installiert, aber die Namen stimmen natürlich nicht überein. extern-mx.local untesrscheidet sich von intern-mx.local und das meckert er mir hier an. Aber das Zertifikat ist importiert.
Ich habe das Zertifikat auf den Clients bereits per GPO wie folgt installiert:
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
Klicken Sie auf Importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten, um die Zertifikate zu importieren.
Der Import hat auch funktioniert und das Zertifikat wird auch angezeigt. Aber irgendetwas scheint da nicht zu stimmen.
Edit:
Ich denke das Problem ist folgendes: Der interne Mailserver intern-mx.local versucht auch als intern-mx.local sich beim Client zu melden mit dem selbstgenerierten SSL Zertifikat. Das Zertifikat ist zwar installiert, aber die Namen stimmen natürlich nicht überein. extern-mx.local untesrscheidet sich von intern-mx.local und das meckert er mir hier an. Aber das Zertifikat ist importiert.
Ja wenn du dir die details des Zertifikats ansiehst wirst du feststellen das bei einem Selfsignd Zertifikat nur eine Domain eingetragen ist und das ist meistens die Interne.
Deshalb meckert er wenn man von Extern drauf zugreift weil die Interne Domain im Zertifikat steht. Zumindest Standardmässig ist das so.
LG
Deshalb meckert er wenn man von Extern drauf zugreift weil die Interne Domain im Zertifikat steht. Zumindest Standardmässig ist das so.
LG
Genau nur ist es bei mir genau umgekehrt. Die externe steht im Zertifikat.
Was kann ich da tun?
Was kann ich da tun?
Wie ich bereits geschrieben habe ein Multi Domain Zertifikat kaufen und dieses in den Exchange einspielen.
Ich kann dir http://www.godaddy.com/ empfehlen.
Selbst erstellen mit deiner CA und einspielen ? Ich weiss ja nicht was du da hast ? SBS 2008 ??? oder einen Normalen 2008 R2 mit Exchnage 2007 und selbst erstellter CA ????
Allerdings kannst du die Selbst erstellten Zertifikate nicht per GPO nach aussen spielen und meiner meinung nach ist für deine Verwendung ein Öffentliches Zertifikat sinvoller als ein selbst erstelltest da du immer Arbeit damiit hast und jeder der das Zertifikat nicht drin hat seine Meldung bekommt. Mit öffenlichem Zertifikat kann man von jedem Rechner ordentlich zugreifen und wenn es einer aus einem Internetcafe ist.
LG
Ich kann dir http://www.godaddy.com/ empfehlen.
Selbst erstellen mit deiner CA und einspielen ? Ich weiss ja nicht was du da hast ? SBS 2008 ??? oder einen Normalen 2008 R2 mit Exchnage 2007 und selbst erstellter CA ????
Allerdings kannst du die Selbst erstellten Zertifikate nicht per GPO nach aussen spielen und meiner meinung nach ist für deine Verwendung ein Öffentliches Zertifikat sinvoller als ein selbst erstelltest da du immer Arbeit damiit hast und jeder der das Zertifikat nicht drin hat seine Meldung bekommt. Mit öffenlichem Zertifikat kann man von jedem Rechner ordentlich zugreifen und wenn es einer aus einem Internetcafe ist.
LG
Ja habe einen 2008 R2 mit Exchange 2007. Ein ordentliches Zertifikat kommt für die paar User aus Kostengründen leider nicht in Frage.
Das Problem habe ich damit ja auch leider immer noch nicht gelöst. Die Meldung taucht nach wie vor auf.
Gibt es da keine andere Lösung?
Was passiert wenn ich das Zertifikat mit der externen Domain vom Exchange lösche? Wird dann standardmäßig ein anderes verwendet?
Das Problem habe ich damit ja auch leider immer noch nicht gelöst. Die Meldung taucht nach wie vor auf.
Gibt es da keine andere Lösung?
Was passiert wenn ich das Zertifikat mit der externen Domain vom Exchange lösche? Wird dann standardmäßig ein anderes verwendet?
77€ für 5 Jahre für 5 verschiedene Domains ist zu teuer ????????
Die Zeit die du hier verbringst kostet schon fast mehr als das zetifikat.
Aber wie gesagt du kannst dir ja auch ein zertifikat über deine CA erstellen und das dann verteilen.
Aber der Aufwand übersteigt 77€ zu 100%.
LG
Die Zeit die du hier verbringst kostet schon fast mehr als das zetifikat.
Aber wie gesagt du kannst dir ja auch ein zertifikat über deine CA erstellen und das dann verteilen.
Aber der Aufwand übersteigt 77€ zu 100%.
LG
Aber das habe ich ja schon gemacht. Das Zertifikat wird per GPO verteilt, nur ist es dummerweise nicht Multidomain.
Müsste also ein neues Multidomain Zertifikat erstellen und das dann verteilen, ok verstanden.
Was passiert denn wenn ich das aktuelle Zertifikat aus dem Exchange lösche, welches ja mit der externen ausgeliefert wird?
Müsste also ein neues Multidomain Zertifikat erstellen und das dann verteilen, ok verstanden.
Was passiert denn wenn ich das aktuelle Zertifikat aus dem Exchange lösche, welches ja mit der externen ausgeliefert wird?
Dann verwendet er kein Zertifikat und du bist intern wie extern nicht Zertifiziert also kommt intern und extern die Meldung.
Das einzige das dir hilft ist ein SSL Zertifikat das beide Domains beinhaltet und das ist ein Multi Domain Zertifikat.
Ich würde dir wirklich empfehlen eines zu kaufen. Die vorteile sind einfach zu gross und so Teuer sind die nicht.
Nehmen wir mal an der chef kommt auf die Idee sich ein Nokia Handy zu kaufen und seine Mails abzurufen von Exchange Server.
Was machst du nun beim Selbst erstellten Zertifikat ? Per GPO verteilen geht da nicht. Du musst mühsam das Zertifikat aufs handy übertragen und einspielen. Beim Öffenlichen muss man NIX machen.
Oder ein Tablet mit Android oder der Chef fährt auf Urlaub und will über einen Rechner im Hotel zugreifen. Oder aus einem Internetcafe oder oder .......
LG
Das einzige das dir hilft ist ein SSL Zertifikat das beide Domains beinhaltet und das ist ein Multi Domain Zertifikat.
Ich würde dir wirklich empfehlen eines zu kaufen. Die vorteile sind einfach zu gross und so Teuer sind die nicht.
Nehmen wir mal an der chef kommt auf die Idee sich ein Nokia Handy zu kaufen und seine Mails abzurufen von Exchange Server.
Was machst du nun beim Selbst erstellten Zertifikat ? Per GPO verteilen geht da nicht. Du musst mühsam das Zertifikat aufs handy übertragen und einspielen. Beim Öffenlichen muss man NIX machen.
Oder ein Tablet mit Android oder der Chef fährt auf Urlaub und will über einen Rechner im Hotel zugreifen. Oder aus einem Internetcafe oder oder .......
LG
Nun was ist aber wenn ich keine eigene .de Domain für diesen Standort habe und nur eine dyndns Adresse verwende?
Kann ich mir dafür auch ein Zertifikat erstellen lassen?
Kann ich mir dafür auch ein Zertifikat erstellen lassen?