pixfreak 10 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Hi zusammen, ich lesen hier schon etwas mit, aber nun stellt sich mir auch ein Problem, wo ich nach Hilfe suche, aber noch nicht fündig geworden bin. Ich setze gerade zu Testzwecken einen SBS auf, um auf diesem Gebiet Erfahrung zu sammeln, im Herbst kommt da ein Projekt auf mich zu. Nun zu meinem Problem: Ich möchte ausgehende Mails über einen Smarthost versenden, einen Mailserver den ich selber betreibe (Rootserver im Netz). Auf dem Mailserver erlaube ich zum einliefern (zu relayenden Mails) nur eine Authentisierung mit TLS. Klappt alles wunderbar. Nun soll Exchange seine Mails ebenfalls dort einliefern. Es wird eine Verbindung aufgebaut und direkt wieder gekappt:( Im Ereignisprotokoll finde ich dann das untrusted root Problem. Klar, die eingesetzten Zertifikate stammen aus der eigenen Schmiede, sorry CA. (Für meinen Mailverkehr sehe ich es nicht ein, ein Zertifikat zu kaufen...) Wie bringe ich aber Exchange nun dazu, dieses Zertifikat zu akzeptieren? Ich habe mein RootCA Zertifikat im certmgr.msc bereits unter "Vertrauenswürdige Stammzertifizierungsstellen" importiert. (Damit habe ich Outlook immer ruhig gestellt...) Aber der Fehler bleibt. Nehme ich in der Config TLS raus und erlaube meinem Mailserver auch Plain Auth, dann funktionierts. Aber so möchte ich es nicht haben. Kennt von Euch einer einen Weg, wie ich meine Zertifikate vertrauensvoll bekomme? Vielen Dank! VG Pixfreak Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 Das Root-Cert befindet sich im Store des Computers, oder? Normalerweise sollten Fehler im Eventlog auftauchen zum Thema Start-TLS oder so ähnlich schau mal nach und poste die hier. Bye Norbert Zitieren Link zu diesem Kommentar
pixfreak 10 Geschrieben 16. Juni 2010 Autor Melden Teilen Geschrieben 16. Juni 2010 Hups, prompte Antwort, Danke! Ok, in der Ereignisanzeige bekomme ich folgende Fehlermeldung: "Das TLS-Zertifikat (Transport Layer Security) des Smarthosts für den Connector 'mxx.xxx.de' konnte nicht überprüft werden. Der Zertifikatüberprüfungsfehler für das Zertifikat ist UntrustedRoot. Wenn das Problem weiterhin besteht, wenden Sie sich an den Administrator des Smarthosts, um das Problem zu beheben." Im Connectorlog sehe ich: >,STARTTLS, <,220 2.0.0 Ready to start TLS, *,,Sending certificate *,CN=remote.xxx.xx,Certificate subject *,CN=xxxnet-SERV1-CA,Certificate issuer name *,xxxxx274000000000004,Certificate serial number *,xxxxxxxxx9379D59A6F809FB986D64488A6C359,Certificate thumbprint *,remote.xxx.xx;xxxxxx.de;SERV1.xxxxx.local,Certificate alternate names *,,Received certificate *,xxxxxxxEDD45FD220DA176DFFECE2F09CA2CE,Certificate thumbprint *,UntrustedRoot,Chain validation status >,QUIT, <,221 2.0.0 Bye, Also wenn ich das richtig deute, Exchange sagt STARTTLS, dann kommt es zur Zertifikatsprüfung und dann sendet er Quit... Gibt es noch einen anderen Weg zur Hinterlegung des Zertifikates? VG Pixfreak Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 16. Juni 2010 Melden Teilen Geschrieben 16. Juni 2010 hast du denn das von dir ausgestellte Zertifikat auch mittels [url="http://technet.microsoft.com/de-de/library/aa997231(EXCHG.80).aspx"]enable-exchangecertifikate[/url] dem SMTP Service zugewiesen? Bye Norbert Zitieren Link zu diesem Kommentar
pixfreak 10 Geschrieben 17. Juni 2010 Autor Melden Teilen Geschrieben 17. Juni 2010 Hi, ich hab mich heute mal etwas mit den Zertifikaten bei Exchange beschäftigt. Ich hab da aber ein kleines Denkproblem. Wenn ich das Zertifikat Exchange bekannt machen will, meckert er, dass es keinen privaten Schlüssel gibt. Imho gehört der private Schüssel doch meinem Smarthost, eg dem Mailserver im netz und nicht Exchange. Der Connector soll doch mit dem öffentlichen Schlüssel verschlüsseln und mein Mailserver macht dies dann mit dem Privatkey wieder rückgängig..... VG Pixfreak Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 17. Juni 2010 Melden Teilen Geschrieben 17. Juni 2010 Ich denke du siehst das falsch. Starttls wird zwischen den Servern auf Bedarf durchgeführt und ausgehandelt. Das bedeutet, dass beide ein mit private Key versehenes eigenes Zertifikat benötigen. Bye Norbert Zitieren Link zu diesem Kommentar
pixfreak 10 Geschrieben 17. Juni 2010 Autor Melden Teilen Geschrieben 17. Juni 2010 Hi, nun bin ich weiter.... Ich hatte das CA Zert im Ornder der vertrauensvollen Certanbietern abgelegt, allerdings im Userbereich und nicht im local machine Bereich. Nun wird das CA Cert zwar gefunden, nun kommt das Problem mit NorevocationCheck. Allerdings habe ich im CA Cert die URL für die CRL-Liste angegeben, die dort auch liegt. Wie nun weiter? Wegen START-TLS. Mein Rootserver bietet es an, also muss der auch den private Key haben, anders machts ja kein Sinn (wenn ich Daten von Exchange zum Root schicken will, umgekehrt muss Exchange auch einen private Key haben.) VG Pixfreak Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 17. Juni 2010 Melden Teilen Geschrieben 17. Juni 2010 Hi, nun bin ich weiter.... Ich hatte das CA Zert im Ornder der vertrauensvollen Certanbietern abgelegt, allerdings im Userbereich und nicht im local machine Bereich. War das nicht meine erste Frage?` Nun wird das CA Cert zwar gefunden, nun kommt das Problem mit NorevocationCheck. Welche Meldung genau bekommst du? Allerdings habe ich im CA Cert die URL für die CRL-Liste angegeben, die dort auch liegt. Wie nun weiter? Also haben dein Gateway und dein Exchange jetzt jeweils ein eigenes Zertifikat mit private Key von der selben CA, oder? Wegen START-TLS. Mein Rootserver bietet es an, also muss der auch den private Key haben, anders machts ja kein Sinn (wenn ich Daten von Exchange zum Root schicken will, umgekehrt muss Exchange auch einen private Key haben.) Ähm, hab ich was anderes behauptet? Beide Server benötigen ein eigenes Zertifikat mit private Key. Bye Norbert Zitieren Link zu diesem Kommentar
pixfreak 10 Geschrieben 18. Juni 2010 Autor Melden Teilen Geschrieben 18. Juni 2010 Hi NorbertFe, komme erst jetzt wieder zum "basteln". Ja du hast Recht, ich hatte das Rootserver Zertifikat mit certmgr importiert und nicht mit dem Certsnappin in der MMC. Das Snappin fragt halt, welcher Certstore verwendet werden soll und ich dachte bis heute, es gibt nur einen globalen, wieder was gelernt:) Meine CRL habe ich gerade ebenfalls mit dem Certsnappin importiert und nun klappt doch alles... Exchange kann die Mails verschlüsselt mit TLS an meinen Rootserver einliefern :):) Und nun kommt der umgekehrte Weg an die Reihe... Aber eine Frage bleibt: Wenn in meinem CACert der Link zur CRL liegt, holt SBS bzw. Exchange diese nun selber ab oder muss ich die immer per Hand importieren? Zu den privaten Schlüsseln: Natürlich braucht jeder Verbindungspartner einen eigenen privaten Schlüssel, sonst geht es ja nicht. VG Pixfreak Zitieren Link zu diesem Kommentar
pixfreak 10 Geschrieben 19. Juni 2010 Autor Melden Teilen Geschrieben 19. Juni 2010 Hi zusammen, hat sich erledigt, klappt alles (nach dem ich einen Buchstabendreher im Zertifikat entfernt habe :o)) VG Pixfreak Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.