Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OWA 2007 SSL Verschlüsselung

Frage Microsoft Exchange Server

Mitglied: Simon-MCP

Simon-MCP (Level 1) - Jetzt verbinden

09.10.2009, aktualisiert 18.10.2012, 10738 Aufrufe, 23 Kommentare, 1 Danke

Zugriff auf OWA soll nur über eine verschlüsselte Verbindung möglich sein... (Redirect)

Hallo zusammen,

vor kurzem habe ich einen neuen Windows Server 2008 R2 inkl. Exchange Server 2007 aufgesetzt.

Allerdings habe ich nun ein Problem mit der Konfiguration des OWA mit SSL-Verschlüsselung.

Egal was ich auch versuche, ich bekomme es nicht hin die SSL-Verschlüsselung korrekt zum laufen zu bekommen. (Unter W2K3 und Exchange Server 2003 war das kein Problem)

Hat hier jemand vielleicht eine Idee was ich falsch machen könnte?

Der Zugriff über http://domain/owa funktioniert ohne Probleme... Allerdings ist dies von mir nicht gewünscht!
Ich hätte gerne das der Zugriff nur über https://domain/owa möglich ist und das der User trotzdem nur http://domain/owa eintippen muss... Also ein Redirect auf die https... aber das geht nicht?


cu
Crus
Mitglied: ollembyssan
10.10.2009 um 09:53 Uhr
Hallo Crus,

du musst im IIS-Manager SSL zuerst aktivieren und zwar unter "SSL-Einstellungen" der Site /owa.
Außerdem brauchst du noch die entsprechende Bindung über HTTPS.
Schau mal hier:

http://www.administrator.de/OWA_Zertifikat_unter_Server_2008.html
Bitte warten ..
Mitglied: Simon-MCP
10.10.2009 um 11:33 Uhr
Hallo ollembyssan,

danke erst mal für den Link.

Aber muss ich die dort genannten Schritte wirklich noch alle ausführen? Da der Zugriff bei mir ja funktioniert wenn ich meine OWA-Seite direkt über https:// besuche. Das Zertifikat wird dann auch abgerufen (Warnhinweiß im IE7), dieses wurde wohl bei der Exchange 2007 - Installation erstellt automatisch erstellt...

Früher bei W2K3 musste man solch eine Zertifizierungsstelle ja erst installieren, aber die Option habe ich bei W2k8 nicht mehr gefunden und da das Zertifikat auch abgerufen wird gehe ich davon aus da so etwas in der Art schon installiert ist?

cu
Crus

EDIT:
O.K die Option doch gefunden... werde dies mal über den Server-Manager Roles installieren und schauen wie weit ich komme... Danke noch mal!
Bitte warten ..
Mitglied: ollembyssan
10.10.2009 um 11:40 Uhr
Hallo Crus,

nach der Installation von E2007 wird ein Zertifikat erstellt, was allerdings selbstsigniert ist, da hast du mit deiner Frage recht!
Ansonsten kannst du die Zertifizierungsstelle bzw. die Zertifikatdienste unter "Rollen hinzufügen" installieren.

Da jetzt der Zugriff über "https" funktioniert, müsstest du meinen Tip befolgt haben, da der Zugriff zuvor doch nicht funktioniert hatte!? Du willst nun auch zusätzlich über "http" zugreifen, was allerdings nicht möglich ist und durchaus NICHT gewünscht, wenn Sicherheit und das ist immer so, Vorrang hat!
Ich empfehle dir allerdings die Zertifikatdienste zu installieren, da du sonst nicht im Besitz einer Zertifizierungsstelle und somit keine Zertifikate erstellen und für deine User veröffentlichen kannst.
Bitte warten ..
Mitglied: Simon-MCP
10.10.2009 um 11:54 Uhr
Hallo ollembyssan,

der Zugriff auf meine OWA-Seite hat eigentlich immer funktioniert. Über "http://" und "https://". Aber mein Wunsch ist es eigentlich das wenn der User nur "http://" eingibt wie es in den meisten Fällen ist, auf die "https://" Seite umgeleitet wird wegen den von Dir auch erwähnten Sicherheitsbedenken... (Sicherheit hat Vorrang!)

Nichts desto trotz habe ich nun eine Zertifizierungsstelle installiert. Kann ich nun das von der Exchange Server 2007 erstellte Zertifikat damit benutzen oder sollte ich ein komplett neues erstellen?


cu
Crus
Bitte warten ..
Mitglied: ollembyssan
10.10.2009 um 12:35 Uhr
Hallo Crus,

du kannst im IIS unter dem Reiter Default Web Site -> HTTP Umleitung (engl. Redirect) die Site von /owa (https://server.domain.tld/owa) angeben.

So geben z.B. deine User http://server.domain.tld ein und landen auf https://server.domain.tld/owa

Wäre das eine Lösung für dich?


Wegen dem Zertifikat:
Erstelle ein Domänenzertifikat auf den FQDN deines Servers wie im Link angegeben.
Bitte warten ..
Mitglied: Simon-MCP
10.10.2009 um 12:44 Uhr
Zitat von ollembyssan:
Hallo Crus,

du kannst im IIS unter dem Reiter Default Web Site -> HTTP
Umleitung (engl. Redirect) die Site von /owa
(https://server.domain.tld/owa) angeben.

So geben z.B. deine User http://server.domain.tld ein und landen auf
https://server.domain.tld/owa

Wäre das eine Lösung für dich?

Hi,

das mit dem Zertifikat habe ich nun soweit geregelt. Habe nun eine eigene Zertifizierungsstelle angelegt + eigenes Zertifikat für den OWA-Zugriff.

Das mit der Umleitung über die Default-WebSite habe ich mir auch schon überlegt, allerdings kann dann ja nicht mehr auf die Default Website zugreifen, da man immer zur HTTPS-OWA Seite umgeleitet wird... Ist also keine wirkliche Lösung für mich.

Ich habe nun versucht über die default.aspx im OWA-Verzeichniss eine Umleitung einzubauen was mir aber leider nicht gelungen ist...

Nun habe ich aber eine andere Lösung gefunden... (Ob das so aber die "feine englische Art" ist bin ich mir nicht sicher ;-D)
Ich habe anstatt der Fehlerseite die angezeigt wird wenn man versucht die OWA-Seite nur über "http://" zu besuchen (403.3) einen weiterführenden Link zur "https://" Seite angegeben...

So funktioniert das ganze nun für mich ;-D


cu
Crus
Bitte warten ..
Mitglied: DerWoWusste
10.10.2009 um 12:59 Uhr
Hallo.
Darf ich eine ketzerische Frage loswerden? Warum setzt Du ein so wichtiges Produkt wie Exchange auf einem OS ein, das für 2007 nicht supportet ist?
Bitte warten ..
Mitglied: Simon-MCP
10.10.2009 um 13:09 Uhr
Hallo DerWoWusste,

vielen Dank für dein Interesse.
Selbstverständlich hast du damit absolut recht, aber bei mir handelt es sich hier nur um ein kleines Home-Office und um keine größere Firma oder so.

Deshalb bin ich dieses Risiko eingegangen ;-D
Aber natürlich hast du mit deiner Frage sonst recht!


cu
Crus
Bitte warten ..
Mitglied: ollembyssan
10.10.2009 um 13:14 Uhr
Darf ich eine ketzerische Gegenfrage stellen?

Warum sollte er Exchange 2007 nicht auf Server 2003 64bit einsetzen?

Bitte Thread noch als gelöst markieren,
Danke
Bitte warten ..
Mitglied: Simon-MCP
10.10.2009 um 13:20 Uhr
Zitat von ollembyssan:
Darf ich eine ketzerische Gegenfrage stellen?

Warum sollte er Exchange 2007 nicht auf Server 2003 64bit
einsetzen?

Bitte Thread noch als gelöst markieren,
Danke

Weil ich das ganze auf W2K8 R2 einsetze und nicht auf W2K3 ;-D

Und für W2K8 R2 ist erst die kommende Exchange 2010 Version oder so full supportet ;-D

Ich lasse den Thread noch bis heute Abend offen um zu sehen, ob jemand vielleicht noch eine bessere Lösungsmöglichkeit hat!


cu
Crus
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 02:18 Uhr
Hallo zusammen,

leider habe ich seit der Erstellung meines eigenen Zertifikats nun ein anderes Problem:
Wenn ich an einem meiner Windows-Clients das "Outlook 2007" starte erhalte ich einen Sicherheitshinweis über ein Zertifikat und ob ich den Vorgang fortsetzen möchte...

Klicke ich mit "Ja" auf fortsetzen scheint soweit auch alles zu funktionieren... aber beim nächsten Start von Outlook erscheint die selbe Meldung wieder...

Auch über Zertifikat anzeigen + installieren war es mir nicht möglich diese Meldung weg zu bringen...

Irgendjemand eine Idee dazu?


cu
Crus
Bitte warten ..
Mitglied: ollembyssan
11.10.2009 um 11:44 Uhr
Hallo Crus,

beim Zertifikat anzeigen und installieren, installierst du nur das Zertifikat,
welches von deiner Root CA auf den jew. Server ausgestellt worden ist.

Du musst allerdings das Zertifikat deiner Root CA (!) (bzw. eine Kopie) in den Zertifikatspeicher installieren
und zwar zu den "vertrauenswürdigen Stammzertifizierungsstellen".
Anscheinend hast du den User nicht in der Domäne angemeldet, ansonsten würde ihm dieses Zertifikat
automatisch zugeteilt werden.
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 11:59 Uhr
vielen Dank für deine Antwort, aber ich bin mit einem Domänen-Benutzer an dem PC angemeldet und ich bekomme die Fehlermeldung trotzdem?

Details der Meldung:
- Das Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle --> O.K
- Das Datum des Sicherheitszertifikat ist gültig --> O.K
- Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein --> X

Neustart des Clients und Servers konnte leider Abhilfe schaffen...
OWA-Zugriff funktioniert ohne Probleme... Nur der interne Zugriff funktioniert nun nicht mehr ohne diese Fehlermeldung ;-/
Bitte warten ..
Mitglied: ollembyssan
11.10.2009 um 12:05 Uhr
Ok, da hast du doch deine genaue Fehlerbeschreibung.

- Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein

Heißt dein Server: "server.domain.local"
so muss das Zertifikat auch auf "server.domain.local" ausgestellt werden.

Rufst du allerdings deinen Server mit "server1.domain.ext" auf,
so muss das Zertifikat auch auf "server1.domain.ext" ausgestellt sein.
Kannst du mir soweit folgen?

Starte bitte einmal "E-Mail Autokonfiguration testen", ohne Guessmart und poste das Ergebnis hier.

Es sieht allerdings so aus, als hättest du das Zertifikat wie die Fehlermeldung schon besagt, auf den falschen Namen ausgestellt.
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 12:42 Uhr
ich habe das Ergebnis mal als Screenshot hochgeladen: http://www.crus-online.de/problems/Auto_Config_OU2007.jpg

Leider kann man das von der Exchange-Server 2007 erstellte Zertifikat nicht richtig öffnen um anzusehen was genau dort den eingestellt ist...

EDIT:
Bestätige ich die Zertifikatsmeldung mit "Nein" erscheint beim dem Auto Konifigurationstest nur das die Daten nicht ermittelt werden konnten!
Bitte warten ..
Mitglied: ollembyssan
11.10.2009 um 12:44 Uhr
Das Ergebnis ist in Ordnung!

Wie gesagt, es liegt am Zertifikat, welches auf den falschen Namen erstellt worden ist.

Auf welchen Namen ist denn das Zertifikat ausgestellt, wenn du Outlook öffnest und die Fehlermeldung erscheint und/oder bei OWA?
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 12:47 Uhr
Die Fehlermeldung erscheint nur bei dem internen Zugriff über Outlook.
OWA funktioniert ohne Fehlermeldung.

Was genau muss ich den beim erstellen des Zertifikats eingeben wenn meine Umgebung folgendermaßen aussehen würde:

Intern:
Server: home-server
Domain: test.de
Bitte warten ..
Mitglied: ollembyssan
11.10.2009 um 12:51 Uhr
Zertifikat muss dann auf folgenden CNAME ausgestellt sein:
(zu *.de = intern, sag ich jetzt mal nichts zu )

home-server.test.de

Schau mal hier:

ee8e496df5b300ca6b3dc4dfe70b23fa-cs_3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 13:04 Uhr
argh... entschuldige bitte das ich mich etwas doof anstelle, aber nach der Anleitung (Screenshot) bin ich eigentlich vorgegangen, habe aber nicht bemerkt, das mit s1 = der Name des Servers gemeint ist ;-D

Ich habe es nun so eingetragen und jetzt funktioniert es auch wieder! Vielen Dank schon mal hierfür.

Jetzt habe ich nur noch ein kleines Problem:
Da ich aktuell noch keinen gültigen Domain-Namen besitze realisiere ich meinen OWA-Zugriff über einen DynDNS-Provider.
Das bedeutet das mein Server von außen über eine andere Domain erreichbar ist.

Besuche ich nun wieder meine OWA-Seite erscheint ein Zertifikatsfehler da das Zertifikat für eine andere Seite ausgestellt ist. (was ja nun wieder klar ist)

Kann man irgendwie 2 Zertifikate anlegen? Für den internen Zugriff (wo ich sowieso nicht verstehen kann warum die das mit OU2007 eingeführt haben) und für den externen Zugriff?


cu
Crus

PS: Ist das mit dem *.de wirklich so schlimm ;-D
Bitte warten ..
Mitglied: ollembyssan
11.10.2009 um 13:12 Uhr
Das mit dem Zertifikat hatte ich mir gedacht

Lies dir folgenden Artikel durch, das ist die Lösung für dein Problem:
http://www.msxfaq.de/produkte/sancert.htm

Gruß,
Ole
Bitte warten ..
Mitglied: Simon-MCP
11.10.2009 um 13:19 Uhr
Zitat von ollembyssan:
Das mit dem Zertifikat hatte ich mir gedacht

Lies dir folgenden Artikel durch, das ist die Lösung für
dein Problem:
http://www.msxfaq.de/produkte/sancert.htm

Gruß,
Ole

Hallo Ole,

vielen, vielen Dank noch mal für deine Mühe.
So etwas ähnliches habe ich auch schon gefunden allerdings mit der Bedingung, dass das Zertifikat auf jedem internen Client einzeln angefordert werden muss...

Ich werde mich bei deinem Link mal durchforsten und schau, ob es damit auch anders funktioniert.


cu
Crus
Bitte warten ..
Mitglied: Simon-MCP
17.10.2009 um 13:17 Uhr
*Hiermit möchte ich noch mal ein großes Dankeschön an ollembyssan ausrichten für sein sehr großes Engagement!*
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Druckprozess End2End Verschlüsselung mit IPP SSL (1)

Frage von Niels63 zum Thema Verschlüsselung & Zertifikate ...

Exchange Server
gelöst SBS2011 Owa und Activesync funktionieren nach V2V Umzug nicht mehr (2)

Frage von Anulu1 zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
Veracrypt: Welcher Algorithmus ist bei der Verschlüsselung zu empfehlen? (6)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Verschlüsselung: Mit Veracrypt lässt sich nur eine Partition verschlüsseln (1)

Frage von NCCTech zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...