Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SSL-Zertifikat - Teilweise probleme

Frage Microsoft Exchange Server

Mitglied: D46505Pl

D46505Pl (Level 1) - Jetzt verbinden

20.07.2014, aktualisiert 10.08.2014, 3351 Aufrufe, 3 Kommentare

Hallo Zusammen,

ich habe einen Exchange Server mit Domain Controller (AD).
Der Exchange Server läuft auf der Domain server.domain.tld
Für diese Domain habe ich ein SSL Zertifikat bestellt und eingebunden. Im Webaccess klappt alles hervorragend.
Im Outlook verbindet er sich mit servername.server.domain.tld und meldet das das Zertifikat nicht korrekt ist.

Wie kann ich dieses Problem lösen, dass der Server auf server.domain.tld hört, wie es auch im Zertifikat steht?
Mitglied: keine-ahnung
20.07.2014 um 17:41 Uhr
Moin,

Dein Zertifikat wird die Subdomain nicht mit abdecken, für solche Zwecke eignen sich Multidomain- oder wildcard-Zertifikate. Oder halt noch ein zweites, eventuell auch selbst generiertes Zertifikat .

LG, Thomas
Bitte warten ..
Mitglied: TomTest
20.07.2014, aktualisiert um 20:43 Uhr
Wie Thomas schon schrieb benötigst du SAN Zertifikate oder auch "multidomain" genannten Zertifikaten.

Dabei kommt es darauf an, welche Version von Exchange du laufen hast und auch ,was für ne Server Edition, also ob Enterprise oder Standard usw. Hier wird dies gut erklärt: http://www.msxfaq.de/signcrypt/privatca.htm

Ich geh jetzt davon aus das du die Zertifikatsdienste und auch die Zertifikatsdienste-Webregistrierungs Rollen/Features installiert hast und ne Standard AD integrierte Stamm CA hast. (Servermanger / Startseite der Rollen)

Hatte gerade das gleiche Problem mit SBS 2008+Exchange 2007 und bei einem anderen Kunden mit einem SBS 2011 + Exchange 2010.

Bei Exchange 2007 mit einem Standard Server geht nur der Weg über die Exchange-Powershell. Zudem wird das Zertifikat nur für ein Jahr ausgestellt. Versucht man den Weg über ein Template und die mmc Zertifizierungsstelle, werden die requests nicht angenommen.

Mit einem Enterprise Server und ner AD Stamm CA kann man auch die Zertifikattemplates verwenden und dann auch für Jahre bis zur Rente + 5 ausstellen. Aber Importieren sollte man nur über die ExchangeManagment-Shell machen und nicht über die GUI, den Dienste zuweisen auch.

Hier: http://www.msxfaq.de/howto/e2k7ssl.htm unter Kurzfassung und zur Verdeutlichung.

Und hier zum Thema SAN´s allgemein: http://www.msxfaq.de/signcrypt/sancert.htm

allerdings habe ich nicht die Syntax übernehmen können so wie sie bei msxfaq angegeben ist.

Mein Weg ist/war:

Set-Content -path "C:\certnew.req" -Value (New-ExchangeCertificate -GenerateRequest -KeySize 2048
-SubjectName "c=DE, o=firmenname, cn=remote.domäne.de" -DomainName remote.domäne.de, SERVERNAME.domäne.local, SERVERNAME, domäne.dyndns.org, owa.domäne.de,
autodiscover.domäne.de -PrivateKeyExportable $True)

nach dem erstellen des Zertifikat-Requests über die Zertifikats-Webregistrierung Https://servername/certsrv das Zertifikat erstellen und runterladen.

Dann der Import wieder über die exchange managment shell, adminrechte nicht vergessen,:

Import-ExchangeCertificate -Path C:\certnew.cer

An der Stelle den Thumbprint des Zertifikats aufheben weil du den gleich brauchen wirst.

Get-ExchangeCertificate | fl

zeig dir alle Zertifikate an und auch die dazugehörigen Thumbprints

Und am wichtigsten zum Schluss das zuweisen zu den Diensten:

Enable-ExchangeCertificate -Thumbprint XYZ1234567890KJI UIUUN56HHGH -Services IIS,POP,IMAP,UM,SMTP

Dabei aufpassen welchen Diensten du es zuweist. Hast du z.b. Unified Messeging nicht installiert bzw aktiv bekommst du eine Fehlermeldung. Daher rausnehmen was du an Diensten nicht brauchst. Ich brauchte den UM z.b. nicht.

Aus Sicherheitsgründen würde ich die Zertifikats-Webregistrierung Rolle/Feature nach der Aktion deinstallieren. Eine potentielle Sicherheitslücke weniger.

Mit Exchange 2010 gibt es wie erwähnt den Assistenten der dich bequem zum SAN Zertifikat führt. Solltest du die Shell zum importieren und zuweisen der Dienste verwenden, darauf achten das der Importbefehl für Exchange 2010 so ausgeführt wird : Zitat msxfaq:
"In Exchange 2010 funktioniert das so nicht mehr. Statt dessen hilft folgende komplizierterer Aufruf
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\cert.crt -Encoding byte -ReadCount 0))"

Den Diensten zuweisen wie bei 2007 auch: Enable-ExchangeCertificate -Thumbprint XYZ1234567890KJI UIUUN56HHGH -Services IIS,POP,IMAP,UM,SMTP

Exchange 2013 geht Vollständig über Assistenten und die GUI und funktioniert auch Habs gleich mit überprüft.

Beim Einfügen in die Shell auf falsche Formatierung achten , wie Zeilenumbrüche u.ä

Zum Thema PKI, Zertifikate und Zertifizierungsstellen gibt es noch viel mehr zu wissen und auch ne menge was man falsch machen und auch ganz sicher zig weiter Möglichkeiten die Aufgabe zu lösen, kann aber das würde den Rahmen hier sprengen.

Wenn man z.B. bloß für einen Client, eine Testumgebung oder auch just for fun ein Zertifikat braucht, kann man auch mit Tools wie makecert.exe sich mal, eben eins "selbstsigniertes Zertifikat" erstellen und dies stumpf in den Speicher für vertrauenswürdige Zertifikate installieren. Dann sind die Fehlermeldungen auch weg. Aber dies würde ich nicht empfehlen.

Mit Gruß

TomTest
Bitte warten ..
Mitglied: An-dir
LÖSUNG 03.08.2014, aktualisiert 10.08.2014
Guten Morgen.
Lösung ohne neues Zertifikat:
Wenn owa ohne Zertifikatsfehler klappt dann hört der Server schon richtig. Stelle im Exchange external und internal urls auf die owa Adresse.

Damit du dann auch mit autodiscover keine Probleme bekommst informiere dich über die autodiscover Redirect Methode.

Gruß
Andi


Vom iPhone geschrieben
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
gelöst Wie bekomme ich ein kostenloses SSL Zertifikat? (13)

Frage von Yanmai zum Thema Verschlüsselung & Zertifikate ...

Hosting & Housing
gelöst SSL-Zertifikat: IP statt FQDN (3)

Frage von mrserious73 zum Thema Hosting & Housing ...

Verschlüsselung & Zertifikate
SSL Zertifikat Verschlüsseln - PKCS12 Erstellung (1)

Frage von cuilster zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...