Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2007 Zertifikate

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: HeinrichXII

HeinrichXII (Level 1) - Jetzt verbinden

19.12.2009 um 12:36 Uhr, 9781 Aufrufe, 15 Kommentare

Hallo,
wir nutzen bei uns in der Firma einen Small Business Server 2008 mit Exchange 2007, auf den Clienten läuft Windows 7 Pro zusammen mit Outlook 2007. Nun zu meiner Frage:

seit ein paar Tagen erscheint beim Start von Outlook auf den Clienten 2 Sicherheitshinweise, mit dem Text "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein.". Ich habe es schon soweit verstanden, dass ich ein neues Zertifikat auf den Clienten brauche. Die Frage ist bloss: Wie bekomme ich vom Server ein solches und wei importiere ich es.

MfG Heinrich
Mitglied: Stefan12
19.12.2009 um 13:50 Uhr
Hallo,

dieser Fehler tritt auf, wenn der Name des Servers nicht mit dem Namen, für den das Zertifikat ausgestellt wurde übereinstimmt. Das ist zum Beispiel auch der Fall, wenn das Zertifikat für "meinserver" ausgestellt wurde, du allerdings im Outlook als Exchangeserver beispielsweise die IP oder "meinserver.meinedomain.tld" einträgst. Ich nehme mal an es geht lediglich um das interne Zertifikat. Nutzt ihr ein selbst signiertes oder habt ihr eine CA in eurer Domain installiert? Ich würde dir empfehlen eine CA zu installieren (falls ihr das noch nicht habt http://www.msxfaq.de/howto/setupca.htm). Hier ein How-To wie du ein Zertifikat für deinen Exchangeserver erstellst http://www.msxfaq.de/howto/e2k7ssl.htm.

Gruß
Bitte warten ..
Mitglied: HeinrichXII
19.12.2009 um 16:01 Uhr
Hallo,

danke erstmal für die schnelle Antwort! Es ist ein CA installiert, zumindestens wurde besagtes Zertifikat von einem ausgestellt. Müsste der die Zertifikate nicht selbst erneuern?
Zum HowTo: kann mir das mal jemand am Beispiel unseres Servers erklären, ich weiss nicht, wie ich die Befehle anpassen muss (hab da noch keine Erfahrungen). Der Server heisst GTW-SERVER und die Domain lautet gtw.local. Wäre ich sehr dankbar dafür!

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
19.12.2009 um 18:47 Uhr
Moin,

nein abgelaufene Zertifikate müssen nach Ablauf selbst erneuert werden.
In der Exchange-Verwaltungsshell folgenden Befehl ausführen:

New-ExchangeCertificate -GenerateRequest -Path c:\MsxCert.csr -KeySize 2048 -SubjectName "c=DE, s=Dein Bundesland, l=Deine Stadt, o=Der Name deiner Firma, ou=Deine Abteilung, cn=GTW-SERVER.gtw.local" -DomainName GTW-SERVER, IP -IncludeAcceptedDomains -IncludeAutoDiscover -PrivateKeyExportable $True

Dein Bundesland, etc. natürlich ersetzen und IP durch die IP deines Exchangeservers ersetzen.

Anschließend auf die Weboberfläche deiner CA gehen und das Zertifikat signieren lassen. Falls du nicht weißt wie das geht, da finden sich zahlreiche How-Tos bei google.

Das signierte Zertifikat abspeichern und in der Exchange-Verwaltungsshell folgenden Befehl ausführen:

Import-ExchangeCertificate -Path Pfad\zum\signierten\Zertifikat.cer

Danach mittels Get-ExchangeCertificate alle Zertifikate auflisten lassen und das soeben importierte raussuchen und den Thumbprint kopieren (diesen benötigst du zum Aktivieren des Zertifkats).
Jetzt muss das Zertifikat nur noch aktivieren:

Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IMAP,POP,UM,IIS

Gruß
Bitte warten ..
Mitglied: HeinrichXII
19.12.2009 um 19:33 Uhr
Hallo,

vielen Dank für deine Antwort. Ich hab das gerade probiert, es kommt die Antwort: "Der Domänenname 'MeinIPAdresse' ist für ein Zertifikat ungültig." Ich habe alles so übernommen und einzelne Angaben angepasst. Was mach ich falsch?
Edit: Ich habe die IP mal durch den Domänennamen ersetz. Es hat soweit funktioniert. Das Zertifikat habe ich auf C gefunden. im internet les ich aber immer nur "Bei Zertifizierungsstelle einreichen", aber wie geht das? (Sry für mein Nicht-Wissen , ich mach das zum ersten mal.

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
19.12.2009 um 19:58 Uhr
Hallo,

Das mit der IP war Blödsinn, sry.
Du gehst einfach über den Browser auf die Weboberfläche deiner CA. Dafür gibst du folgende Adresse im Browser ein: https://DeinServerAufDemSichDieCABefindet/CertSrv
Anschließend auf "Ein Zertifikat anfordern" klicken. Nun auf "erweiterte Zertifikatanforderung einreichen" klicken. In das erste Feld den Inhalt aus dem csr-File reinkopieren, dass du über die Exchange-Verwaltungsshell erstellt hast (C:\MsxCert.csr). Als Zertifikatsvorlage "Webserver" auswählen und auf einsenden klicken. Danach kannst du das signierte Cert downloaden.

Gruß
Bitte warten ..
Mitglied: HeinrichXII
19.12.2009 um 21:57 Uhr
Hallo,

danke für deine Antwort, bei mir kommt unter der Adresse ein 404er, und wenn ich versuch den physikalischen Pfad zu öffnen ist dort nicht die entsprechende Datei. Ist der CA vielleicht doch noch nicht installiert und wenn ja, was muss ich tun, um ihn zu installieren?

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
19.12.2009 um 23:52 Uhr
Hallo,

es ist durchaus möglich, dass eine CA installiert ist aber der Rollendienst Zertifizierungsstellen-Webregistrierung nicht mit installiert wurde.
Starte mal den Server-Manager und schau ob unter Rollen "Active Directory-Zertifikatsdienste" zu finden sind. Falls ja anklicken und anschließend über "Rollendienste hinzufügen" die Zertifizierungsstellen-Webregistrierung nachinstallieren. Andernfalls auf Rollen klicken und die Rolle "Active Directory-Zertifikatsdienste" hinzifügen.

Gruß
Bitte warten ..
Mitglied: HeinrichXII
21.12.2009 um 19:52 Uhr
Hallo,

danke für die Antwort. Ich habe den Webdienst installiert. Es lässt sich nun zumindestens der CertSrv via http erreichen, allerdings nicht mit https, was ich ja für eine zertifizierung brauche. Ich habe mir mal ein Zertifikat direkt aus der Weboberfläche heruntergeladen. Dies habe ich erfolgreich importiert und konnte auch den Thumbprint auslesen, doch wie kopiere ich diesen in der ExchangeShell?

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
21.12.2009 um 20:00 Uhr
Einfach in der Shell markieren -> kopieren mit Rechtsklick -> und durch erneuten Rechtsklick auch wieder an der gewünschten Stelle einfügen.

Gruß
Bitte warten ..
Mitglied: HeinrichXII
21.12.2009 um 20:26 Uhr
Hallo,

danke, habs jetzt hinbekommen zu kopieren. Ich kopiere den Thumbprint vom Zertifikat mit dem Subject CN=gtw-GTW-SERVER-CA. Dann Füge ich Ihn ein, mit folgender Syntax Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP usw., doch dann kommt, dass das Zertifikat mit dem Thumprint soundso nicht gefunden wurde - wie kann das sein?
Bitte warten ..
Mitglied: Stefan12
21.12.2009 um 20:45 Uhr
Das kann eigentlich nicht sein. Überprüfe mal, ob du irgendwo ein Leerzeichen oder so zu viel hast. Importiert hast du das Zerifikat (Import-ExchangeCertificate)? Falls es nicht klappt mach mal ein Screen von dem Zertifikat mit Get-ExchangeCertificate inklusive den Befehl den du eingetippt hast zum Aktivieren des Zertifikats und poste diesen.
Bitte warten ..
Mitglied: HeinrichXII
21.12.2009 um 21:07 Uhr
Hallo,

leider habe ich keine Ahnung, wie man jetzt hier Bilder hochlädt . Ich muss vielleicht noch zwei Sachen dazu sagen: Das Zertifikat (die *.cer-Datei) habe ich auf folgende Weise erhalten, ich habe den Zertifizierungsdienst über den Browser aufgerufen, Download eines Zertifizierungsstellenzertifikats... -> Download des Zertifizierungsstellenzertifikats. (Bis hierhin richtig?). Diese Datei habe ich dann Importiert, hat auch funktioniert. Mit Get-ExchangeCertificates habe ich mir die Zertifikate anzeigen lassen und das mit dem o.g. Subject gewählt, von dem Ich dann den Thumbprint kopiert habe. (Bis hierhin richtig?). Dann habe ich folgende Syntax angewendet: Enable-ExchangeCertificate -derkopierteThumprint -Services SMTP,IMAP und erhalte den Fehler, dass das Zertifikat nicht vorhanden ist. Ich habe mal noch einen Versuch gemacht mit folgender Syntax Enable-ExchangeCertificate -Thumbprint derkopierteThumprint -Services SMTP,IMAP und erhalte da den Fehler, dass der Dienst nicht installiert ist. Ich hoffe Du kannst mir weiterhelfen.

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
21.12.2009 um 21:52 Uhr
Ja natürlich nur die Services angeben dir installiert sind ;).
Ich nehme mal an SMTP und IIS. Ob ihr POP, IMAP und Unified Messaging nutzt musst du selbst wissen.
Enable-ExchangeCertificate -Thumbprint fingerabdruck des Zertifikats -Services SMTP,IIS

Das mit dem Zertifikat hast du falsch gemacht. Ich habe dir doch oben erklärt, was du machen musst auf der Weboberfläche der CA. Falls du über HTTPS nicht drauf kommst, ist nehme ich an am IIS etwas falsch konfiguriert. -> Du hast also ein falsches Zertifikat importiert.

Die restliche Vorgehensweise ist richtig.
Bitte warten ..
Mitglied: HeinrichXII
21.12.2009 um 22:08 Uhr
Hallo,

zumindestens mit dem "falschen" Zertifikat hat das jetzt funktioniert - Vielen Dank erstmal für Deine Hilfe! Ich hab jedoch da noch die Frage, was man denn am IIS falsch konfigurieren kann. Bei uns haben wir noch nichts daran geändert, ist also praktisch auf "werkseinstellungen" gestellt. Er zeigt mir bei https wieder nen 404er und auf den physikalischen pfad gibt es keine Datei. Wo liegt aber der physikalische Pfad der https Verbindung? Vielleicht könnte man sie dann über den Windows Explorer aufrufen. Ich hoffe Du kannst mir da noch mal helfen

MfG Heinrich
Bitte warten ..
Mitglied: Stefan12
21.12.2009 um 23:14 Uhr
Hi,

der physikalische Pfad liegt unter %systemroot%\system32\CertSrv\de-DE (aber nein die Seite kannst du darüber nicht aufrufen).
Geh mal in den Internetinformationsdienste-Manager -> Sites -> Default Web Site -> CertSrv dann auf SSL-Einstellungen. Da sollte eigentlich ein Häkchen bei SSL erforderlich sein (per HTTP solltest du eigentlich gar nicht auf diese Seite kommen).
Danach gehe mal mit Rechtsklick auf der linken Seite auf "Default Web Site" dann auf Bindungen bearbeiten und schau ob da https 443 * drin steht, falls nicht füge es hinzu. Sonst fällt mir jetzt gerade auch nichts ein.
Hoffe das hilft dir weiter.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Exchange 2007 Datenbank restore ohne Exchange zu verändern - SBS2008

Frage von pitamerica zum Thema Exchange Server ...

DSL, VDSL
Fritzbox Exchange 2007 UM Gateway mit Freetz (2)

Frage von Herbrich19 zum Thema DSL, VDSL ...

Exchange Server
gelöst Zertifikatsfehler nach Migration von Exchange 2007 zu Exchange 2013 (2)

Frage von Tommy1983 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2007 Migration auf Exchange 2016 (3)

Frage von Tommy1983 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...