Jump to content

Zertifikatsproblem bei den Outlook Clients

Michi777

Von Michi777
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Michi777 Experienced

Michi777   12

Geschrieben
Geschrieben (bearbeitet)

  Liebe Community!

 
am Mailserver haben wir eine neue Domäne hinzugefügt (Alte behalten, aber neue Domäne als Antwortadresse genommen).
Nun kommt eine Woche nach der Umstellung ein Zertifikatsfehler bei allen Clients (Domäne\Outlook 2013).
...merkwürdig dass nicht sofort nach Umstellung auftauchte?
Just4Info, einen DNS Eintrag beim Domänenprovider für den Mailserver haben wir im Zuge der Umstellung auch erstellt mail.neuedomäne.at.
 
In der Zertifikatsmeldung steht (siehe Anhang):
webmail.domäne_alt.at
  • Zertifikat stammt von vertrauenswürdiger Stelle
  • Datum ist gültig
  • Name stimmt nicht überein 
 
 
Ich habe vor einiger Zeit bereits nach Ablauf des Zertifikates erstmallig ein Selbstsigniertes erstellt (weil ja nur Clients in Domäne Mails abrufen, keine externe Zertifizierung notwendig), finde mich da grad aber nicht mehr zurecht.
 
Er möchte ein Zertifikat für webmail.domäne.at, eines ausgestellt wurde damals für remote.domäne.at.
 
Wie muss ich da nochmal vorgehen und was eingeben, damit das Zertifikatsproblem wieder gelöst ist?
 
Vielen Dank im Voraus!
 
Greetz

post-61878-0-93609100-1413204164_thumb.jpg

bearbeitet von Michi777
Link zu diesem Kommentar
Alith Anar Veteran

Alith Anar   40

Geschrieben
Geschrieben (bearbeitet)

Mit welchem Namen meldet sich den dein ExchangeServer nach extern?

Get-OwaVirtualDirectory -Server <deinservername> | fl InternalUrl, ExternalUrl

Du schreibst oben das du die DNS Domain mail..domäne_alt.at genannt hast, das neue Zertifikat läuft jetzt auf webmail.domäne_alt.at und das alte auf remote.domäne_alt.at . Da solltest du erst mal Ordnung reinbringen und dann feststellen welche Namen du im Zertifikat benötigst.
 

bearbeitet von Alith Anar
Link zu diesem Kommentar
Michi777 Experienced

Michi777   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Wo kann ich diesen Befehl eingeben (CMD, war es mal nicht, meinst du Exchange Console)?

...Ich kann doch einfach wieder ein selbstsigniertes Zertifikat ausstellen auf den neuen DNS Name mail.domäne_neu.at, ist am Wahrscheinlichsten, oder?

Aber wo mache ich das nochmals, in der SBS Konsole will er eine externe Zertifizierungsstelle und eine Datei, das war wohl nicht der Weg für die selbstsignierten Zertifikate...?

 

Und ist in dieser Kommunikation Domänenclient im LAN (selbes wie Server) nicht der externe DNS Eintrag mail.domände_neu.at nicht außen vor, da direkt kommuniziert wird?

d.h. nur Servername wichtig und der hat sich ja durch die Ergänzung einer neuen Exchangedomäne nicht geändert, oder?

...denn die Widows Domäne heißt nach wie vor gleich...

bearbeitet von Michi777
Link zu diesem Kommentar
Alith Anar Veteran

Alith Anar   40

Geschrieben
Geschrieben

Wie man bei einem SBS ein Zertifikat erneuert findest du zuhauf im Internet

 

z.B. https://www.mos-computer.de/pages/posts/sbs-2011-und-zertifikate-160.php oder hier https://www.mo-company.com/ueber-uns/it-blog/160-sbs-2011-outlook-zertifikat-abgelaufen-erneuern  oder hier: http://www.security-blog.eu/sbs-2011-mulitdomain-zertifikat-fr-exchange-und-remote-access-selbst-erstellen-subject-alternate-name-certificate/ oder über die interne Forensuche

Wenn es ein SBS ist, dann lautet der richtige Name vermutlich remote.domäne_alt.at (das ist zumindest der Standard). Aber das kannst du mit dem Powershellbefehl herausfinden.
 

Link zu diesem Kommentar
Michi777 Experienced

Michi777   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Mache nun laut dieser Anleitung ein neues selbstsigniertes Zertifikat für den neuen DNS Name mail.domäne_neu.at, müsste so lauten, oder?
 
Jedoch kann ich die Webansicht des AD Zertifizierungsbla nicht öffnen, habe dann via Zertifizierungsstelle (certsrv) die .reg Datei von Schritt 1 als "Neue Anforderung einreichen" angegeben, jedoch kommt dann nichts...
 

Wo liegt das Problem gerade und muss ich das nun in der SBS Konsole oder Exchange Konsole machen, ist je nach Anleitung anders angegeben?

 
PS:
Wenn ich alle drei verschiedenen DNS Namen (remote.domäne_alt.at, webmail.domäne_alt.at und mail.domäne_neu.at) mit https und \owa versehe komme ich bei allen zu unserem Webmailstandort;
bearbeitet von Michi777
Link zu diesem Kommentar
Michi777 Experienced

Michi777   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Nach Innen und außen sieht der Mailserver laut Konsolenabfrage so aus:



 

Habe nun in der Exchange Konsole ein neues Exchange Zertifikat erstellt und Name webmail.domäne_alt.at angegeben.

Wo kann ich nun die ausstehende Zertifikatssignierung dafür abschließen (brauche dafür eine .cer Datei, habe aber nur eine .req Datei) und bei certsrv passiert nichts wenn ich eine Anforderung einreiche und das Web AD certsrv funktioniert nicht (siehe Anhang).

 

Jetzt kommt zwar der Zertifikatsfehler für webmail.domäne_alt.at nicht mehr, jedoch nun mit den Internal Url "servername.domäne_alt.local", wieso das und liegt das daran, dass wir im Exchange bei allen Postfächern die domäne.local Mailadressen rausgenommen haben?

post-61878-0-80248700-1413208922_thumb.jpg

bearbeitet von Michi777
Link zu diesem Kommentar
Alith Anar Veteran

Alith Anar   40

Geschrieben
Geschrieben (bearbeitet)

Wie ich vorher schon schrieb: Die Webseite für den Zertifikatsservice wird im SBS nicht mit installiert. Du kannst also entweder die MMC nutzen, oder die Powershell.

 

Deine Fehlermeldung kommt daher, das sich der Server mit der Internal URL meldet und die (vermutlich) nicht im Zertifikat vorhanden ist. (Ich keine dein Zertifikat nicht)

 

Guckst du auch mal in die Links rein die man postet?

http://www.security-blog.eu/sbs-2011-mulitdomain-zertifikat-fr-exchange-und-remote-access-selbst-erstellen-subject-alternate-name-certificate/

 

PS:

Evtl lohnt auch mal ein Blick in das Zertifikat mit dem alles lief. Nur weil es abgelaufen ist, enthält es immer noch alle URLs die hinterlegt waren. Evtl benötigst du noch weitere Namen.

bearbeitet von Alith Anar
Link zu diesem Kommentar
Michi777 Experienced

Michi777   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)
Nun nach einigen Minuten, kommt die Zertifikatsmeldung nicht mehr und wie es scheint, reichte es einfach ein neues Exchangzertifikate (in der EMC) mit dem richtigen Namen webmail.domäne_alt.at zu erstellen und ein paar Minuten zu warten.

Ohne SBS Konsole oder Abschließen einer Zertifikatsanmeldung - diese zwei Schritte haben mich verunsichert, war aber wohl garnicht nötig für diesen selbstsignierten Fall.

Warum sich dieser Name nun geändert hat (hat ja nichts mit unserer neuen Maildomäne oder dem DNS Eintrag bei diesem Domainprovider zu tun) ist aber fraglich?

 


Der Ablauf war so:

Zertifikatsmeldung mit webmail.domäne_alt.at tauchte auf

Neues Exchange Zertifikat mit Name "webmail.domäne_alt.at erstellt (Dienste: None & Selbstsigniert: Falsch)

Zertifikatsmeldung mit servername.domäne_alt.local tauchte nun auf

Neues Exchange Zertifikat mit Name "servername.domäne_alt.local erstellt (Dienste: None & Selbstsigniert: Falsch)

5 Minuten gewartet - keine Zertfikatsmeldung tritt mehr auf


 

Was sagt ihr dazu?

bearbeitet von Michi777
Link zu diesem Kommentar
Michi777 Experienced

Michi777   12

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Habe nun laut Anleitung unter dem IIS-Manager (war bis jetzt ja nicht klar ob in Exchange Konsole oder IIS Manager) ein selbstsigniertes Zertikat für webmail.domäne_alt.at & servername.domäne_alt.local erstellt, das ist soweit nur je ein Schritt und Fertig.

http://technet.microsoft.com/de-at/library/ff710475(v=ws.10).aspx

Dann ist wohl dieser Schritt (IIS und nicht in Exchange Konsole), der springende Punkt zur Lösung?

Vorhin kam bei jedem Outlook Öffnen und im Intervall diese Zertifikatsmeldung, vor allem wenn man ein neues Outlookkonto anlegte, jetzt seit 50min kommt in keinem dieser Szenarien diese Meldung, somit wohl erfolgreich?

bearbeitet von Michi777
Link zu diesem Kommentar
Alith Anar Veteran

Alith Anar   40

Geschrieben
Geschrieben (bearbeitet)

Die Vorlage dazu findest du hier:
 

http://technet.microsoft.com/en-us/library/ff625722(v=WS.10).aspx

 

-------------- Neues Post -----------------------

 

Wenn du nicht die Textdatei verwenden möchtest, kannst du natürlich auch die Exchange Management Console verwenden:

http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/

 

Auch hier kannst du sämtliche URLS eingeben.

 

PS: Ja ich weis das hier in der Mitte wieder über die Webseite gegangen wird, das kannst du dann in der Shell erledigen (oder MMC verwenden)

 

bearbeitet von Alith Anar
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...