Outlook Anywhere mit SBS2003 und Outlook 2007: Zertifikatwechsel nötig?

[Bumbum 11]

Hallo,

 

ich weiß das Thema ist leidig und schon oft diskutiert. Aber ich habe schon die Suchfunktion benutzt, aber zu meinen speziellen Fragen keine passenden Antworten gefunden.

 

Wir haben einen SBS2003 mit Outlook 2007 Clients, die mit Outlook Anywhere über HTTPS auf die Postfächer zugreifen.

Wir haben eine Zeitlang eine dyndns-Adresse genutzt, da unser ISP keine feste IP zur Vergüfung stellen konnte. Für den Zugriff via Outlook Anywhere habe ich ein selbsterstelltes Zertifkat auf die dyndns-Adresse erstellt und bei allen Clients installiert.

Seit einiger Zeit haben wir wieder eine feste IP, aber die Konfiguration von Outlook Anywhere ist immer noch auf der dyndns-Adresse. Das wollte ich nun ändern.

Ich habe eine Subdomain für die feste IP eingerichtet und wollte bei einem Outlook-Client diese eintragen. Leider erhalte ich dann von Outlook die Fehlermeldung, dass das Zertifikat nicht gültig ist.

Der Grund liegt auf der Hand: Die Adresse des selbst erstellten Zertifkats stimmt nicht mehr überein.

 

Wie gehe ich jetzt am besten vor? Einfach ein neues selbsterstelltes Zertifkat auf die neue Sub-Domain erstellen und an alle Clients verteilen? Kann man übergangsweise das alte Zertifikat weiter nutzen, damit man nach und nach umstellen kann?

 

Wie verteilt man so ein Zertifikat am besten? Es sind nicht alle (Outlook-) Clients in der Domäne. Fast jeder Mitarbeiter hat auf sein Exchange Konto auch Zugriff von Zuhause aus via Outlook Anywhere. Das heißt ich müsste jeden Besuchen und das Zertifikat wieder installieren. Gibt es da eine einfache Möglichkeit? (Mir ist nur die über den IE bekannt: Seite aufrufen, Zertifikatfehler anzeigen und das Zertifikat dann installieren)

 

Viele Grüße

Andreas

[RobertWi 81]

Moin,

 

Ich habe eine Subdomain für die feste IP eingerichtet und wollte bei einem Outlook-Client diese eintragen. Leider erhalte ich dann von Outlook die Fehlermeldung, dass das Zertifikat nicht gültig ist.

 

Das ist korrekt. Der Name stimmt ja nun nicht mehr.

 

Wie gehe ich jetzt am besten vor? Einfach ein neues selbsterstelltes Zertifkat auf die neue Sub-Domain erstellen und an alle Clients verteilen?

 

Ja. Wobei echte "Self-Signed" offiziell nicht supported sind. Sie funktionieren zwar, aber das kann sich theoretisch mit jedem Update ändern. Eindeutig besser wäre daher ein intern signiertes Zertifikat. Die eigene CA wird dann an die Clients verteilt (GPO) und dann kannst Du beliebig neue Zertifikate ausstellen - ohne auf dem Client was ändern zu müssen.

 

Kann man übergangsweise das alte Zertifikat weiter nutzen, damit man nach und nach umstellen kann?

 

Nein, da der IIS pro IP-Adresse nur ein Zertifikat kennt. Eine zweite IP-Adresse ist extrem aufwendig und beim SBS imho gar nicht erlaubt.

 

Wie verteilt man so ein Zertifikat am besten? Es sind nicht alle (Outlook-) Clients in der Domäne.

 

Warum dann den Krampf mit selbstsignierten Zertifikaten?

 

Echte Zertifikate mit einem Jahr Laufzeit bekommt man kostenlos, und auch mit mehr Jahren kosten die nicht die Welt (5 Jahre, 59 Euro).

 

Und da Dir Dir ja eh in nächster Zeit Gedanken über einen Austausch machen musst, würde ich mir keinen Stress machen. Kostenloses Zertifikat für ein Jahr und dann in die saubere Planung für SBS 2011 oder Windows 2012 gehen. Und da Du für Exchange > 2003 sowieso zwingend Zertifikate brauchst, musst Du Dir dann eh sinnvolle Gedanken machen, wie Du das sinnvoll machst.

[GuentherH 61]

Hallo.

 

Für den SBS 2003 in Kurzform:

 

1) Du erstellst mit dem Assistenten "Verbindung mit dem Internet herstellen" ein neues Zertifikat

2) Clients die in der Domäne sind bekommen automatisch dieses Zertfikat

3) Clients, die nicht in der Domäne sind schickst du das Zertifikat. Es liegt am Server unter ClientApps\SBScert

 

LG Günther

[Bumbum 11]

Hallo Günther,

 

ich wollte kurz eine Rückmeldung geben dass alles so geklappt hat wie von dir beschrieben. Danke dafür!

 

Ich habe noch eine zusätzliche Frage, die genau dieses Thema betrifft. Die externen Outlook-Clients (keine Domänen-Mitglieder) müssen bei jedem Outlook-Start ihr Passwort eingeben. Der Hacken "Kennwort speichern" bleibt dabei ohne Funktion.

 

Ich meine gelesen zu haben, dass dies am selbsterstellten Zertifikat liegt. Mit einem gekauften würde das Speichern des Kennwortes funktioniert. Ich finde allerdings den entsprechenden Beitrag nicht mehr.

 

Stimmt das, oder gibt es eine andere Lösung für das Problem?

 

Viele Grüße

Andreas

[GuentherH 61]

Bitte sehr, gerne geschehen. :)

 

 

Der Hacken "Kennwort speichern" bleibt dabei ohne Funktion.

Ich meine gelesen zu haben, dass dies am selbsterstellten Zertifikat liegt

 

Kann ich nicht bestätigen. Ich habe selbst einige Postfächer bei meinem Outlook 2010 aus unterschiedlichen Domänen eingebunden ohne mich ständig authentifizieren zu müssen.

 

Welche Authentifizierungsmethode hast du den am Exchange Proxy eingestellt?

 

LG Günther