aeigb 11 Geschrieben 22. Oktober 2009 Melden Geschrieben 22. Oktober 2009 Hallo an alle, ich habe mal wieder ein ganz tolles Problem: ich habe eine Windows 2008 SBS installiert und diverse Clients mit Outlook angebunden. Danach habe ich OWA aktiviert und für den SSL einen auf den dyndns-Namen erstelltes Zertifikat erstellt. Seitdem können die Mitarbeiter von unterwegs ohne Probleme auf OWA sowie auch per RPC-over-HTTP zugreifen (vorher natürlich das Root- sowie das dyndns-Zertifikat installieren). Seit dieser Umstellung haben aber die lokalen Clients einen "Fehler". Beim starten von Outlook erscheint die Meldung "Sicherheitshinweis" mit dem Titel "sites". Er moniert, dass das Sicherheitszertifikat sowie das Datum vertrauenswürdig ist, aber der Name des Zertifikats nicht mit dem Namen der Webseite übereinstimmt. Nun meine Vermutung: Outlook intern spricht den Server mit "Server" an, das SSL-Zertifikat heisst aber "firmenname.dyndns.org". Wie kann ich dieses Problem lösen? Ein SSL-Zertifikat mit dem interen Namen erstellen ist ja kein Ausweg da die externen Clients ja weiterhin Zugriff auf den Server, wahlweise über HTTPS oder RPC-over-HTTP, brauchen. Ich bin für jeden Hinweis dankbar, hab nämlich selbst keine Idee mehr. Gruß aeigb Zitieren
olc 18 Geschrieben 22. Oktober 2009 Melden Geschrieben 22. Oktober 2009 Hi aeigb, Du benötigst beide DNS-Namen im Zertifikat, einen beispielsweise als Subject, den anderen als Subject Alternative Name. Schau einmal hier hinein: MSXFAQ.DE - SANZertifkate Viele Grüße olc Zitieren
aeigb 11 Geschrieben 27. Oktober 2009 Autor Melden Geschrieben 27. Oktober 2009 Hallo olc, also ich habe mir das mal angesehen, ist schon sehr "fortgeschritten" und so richtig schlau geworden bin ich auch nicht. Ich habe das auf meinem SBS2008-Server probiert, habe aber dem Server kein "/certsrv". Nun meine Frage: wie kann ich auf einem SBS2008-Server ein SAN-Cert erstellen? Geht das evtl. auch über die Powershell? Und wenn ja, wie würde das gehen. Alternativ würde mich interessieren, ob man den neuen Assistenten des MSX2010 auch auf einem SBS2008-Server installieren kann. Und eine abschließende Frage: hab ich es richtig verstanden, dass das SSL-Zertifikat ins Exchange importiert werden muss? Ich dachte, dass wäre "nur" für den IIS. Danke auf jeden Fall für Deine Hilfe. Gruß aeigb Zitieren
fluehmann 10 Geschrieben 28. Oktober 2009 Melden Geschrieben 28. Oktober 2009 Hallo aeigb Geht das evtl. auch über die Powershell? Ja klar, das geht mit der New-ExchangeCertificate command: New-ExchangeCertificate: Exchange 2007-Hilfe Bei Digicert kannst du die Angaben mal Eingeben, daraus wird dir dann die Powershell Command für den Zertifikatsantrag generiert: https://www.digicert.com/easy-csr/exchange2007.htm hab ich es richtig verstanden, dass das SSL-Zertifikat ins Exchange importiert werden muss? Ja das ist richtig. Auch dazu gibt es ein Powershell Command: Import-ExchangeCertificate: Exchange 2007-Hilfe Alternativ würde mich interessieren, ob man den neuen Assistenten des MSX2010 auch auf einem SBS2008-Server installieren kann. Nur alleine der Assistent wird sicher nicht gehen. Gruss fluehmann Zitieren
aeigb 11 Geschrieben 29. Oktober 2009 Autor Melden Geschrieben 29. Oktober 2009 Hallo fluehmann, danke für Deine Antwort. Das werde ich am Wochenende direkt mal auf meinem Testserver ausprobieren. Gruß aeigb Zitieren
aeigb 11 Geschrieben 2. November 2009 Autor Melden Geschrieben 2. November 2009 Hallo fluehmann, ich habe nun dank der Powershell das CSR-File erstellt und wollte es laut Anweisung auf der Homepage importieren, aber das geht wohl nur mit einem CER-File. Wie kann ich mich denn selbst mit einem CSR-File glücklich machen? Gruß aeigb Zitieren
BrainStorm 10 Geschrieben 2. November 2009 Melden Geschrieben 2. November 2009 Hallo aeigb, eine CSR-Datei ist ein Certificate Signing Request. Diese musst du entweder bei einer Unternehmens-CA oder bei einer offiziellen Zertifizierungsstelle einreichen. Zurück bekommst du dann die .CER - also das eigentliche Zertifikat welches du dann importieren und aktivieren kannst. Zitieren
LukasB 10 Geschrieben 2. November 2009 Melden Geschrieben 2. November 2009 Das ist ein SBS - Benutze die SBS-Wizards für die Zertifikate, und fummele nicht manuell an Exchange- oder IIS-Einstellungen herum. Zitieren
aeigb 11 Geschrieben 3. November 2009 Autor Melden Geschrieben 3. November 2009 Hallo LukasB, ich würde ja gerne den SBS-Wizard benutzen, nur unterstützt der keine SAN-Zertifikate (wie oben von fluehmann geschrieben). Deshalb muss ich halt jetzt von Hand ein SAN Zertifikat erstellen (klappt laut Anleitung von fluehmann) und es dann importieren - und da hänge ich momentan. Mit dem Wizard habe ich schon mehrere Zertifikate erstellt und installiert, aber leider immer nur mit einem Namen. Und ich brauche eines mit dem internen Namen, der Firmendomain und dem DynDNS-Namen - und das leistet der Wizard leider nicht. Gruß aeigb Zitieren
BrainStorm 10 Geschrieben 3. November 2009 Melden Geschrieben 3. November 2009 ... und da hänge ich momentan ... Meinen Beitrag drüber hast du gesehen - und verstanden? Zitieren
Stephan Betken 43 Geschrieben 3. November 2009 Melden Geschrieben 3. November 2009 ...aber der Name des Zertifikats nicht mit dem Namen der Webseite übereinstimmt. Nun meine Vermutung: Outlook intern spricht den Server mit "Server" an, das SSL-Zertifikat heisst aber "firmenname.dyndns.org". Aber beim SBS haben manche Sachen ihren Grund! In the default certificate Microsoft includes the following name by default, externaldomain.com, remote.externaldomain.com and server.internaldomain.local Mach es doch so, wie es vorgesehen ist. Entweder einen ALIAS für REMOTE im externen DNS anlegen, der auf den DynDNS-Namen verweist (wegen meiner auch eine Subdomain, die direkt auf den DynDNS-Namen geht). Solltest du dann doch noch SANs im Zertifikat brauchen: Outlook 2007 Auto discover feature and SBS2008 & EBS2008 - Mike's Tech Head Blog Zitieren
aeigb 11 Geschrieben 3. November 2009 Autor Melden Geschrieben 3. November 2009 Hallo BrainStorm, hallo Stephan, @BrainStorm: hatte Deinen Eintrag leider überlesen, habe es aber direkt ausprobiert. Ich habe nun mit der Zertifizierungsstelle das Zertifikat authorisiert und eingelesen. Jetzt wird aber angezeigt, dass die Zertifizierungsstelle nicht geprüft werden konnte und das Zertifikat heisst im Zertifizierungspfad "Microsoft Exchange", aber meine CA steht nicht darüber. Wie kann ich das Zertifikat (habe es laut Anweisung im SBS Wizard "Wie importiere ich ein Zertifikat" gemacht). @Stephan: der SBS 2008 samt Wizard ist für mich noch neu, kannte bisher nur den SBS 2003. Und diese ganze SSL-Problematik ist eine Sache für sich. Aber dank Deines Hinweises habe ich mir mal bei 1&1 die Domain-Einträge angeschaut und gesehen, dass man einen CNAME eintragen kann und das mein Problem somit lösen kann. @All Nichtsdestotrotz würde ich gerne wissen (für die Zukunft) wie ich selbst erstellte SAN Zertifikate erstellen und auch korrekt importieren kann. Vielen Dank für Eure Hilfe, bin jetzt an einem Punkt, der die Sache zum laufen bringt und ich kann das Portal laufen lassen. Gruß aeigb Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.