Exchange Server Zertifikat

[Peterzz 11]

Hallo,

 

ich habe eine Frage zu Windows 7 Clients mit Office 2010 und Exchange 2007.

Wir haben auf den Clients ein Serverauthentifizierung Zertifikat von unserem Exchange Server welches bald ausläuft.  

Meine Wissens ist dieses Zertifikat für das Outlook wichtig, damit der Hinweis: 

"

Sicherheitshinweis
Informationen, die Sie mit dieser Website austauschen, können von anderen nicht angezeigt oder geändert werden. Es besteht jedoch ein Problem mit dem Sicherheitszertifikat der Website.

...
"

nicht mehr erscheint.

Wie kann ich das Zertifikat auf den Clients aktualisieren und wo bzw wie bekomme ich das Zertifikat? 
 

Danke schon mal.

[RobertWi 81]

Moin,

 

technisch korrekt umgesetzt, solltest Du kein oder höchstens ein internes Root-CA-Zertifikat auf dem Server Client haben.

 

Um Dir zu helfen, müsste man also erst mal genau wissen, wie der aktuelle Stand bei Dir ist.

bearbeitet 5. November 2014 von RobertWi

[Dukel 454]

Das Zertifikat ist wichtig, dass die Verbindung verschlüsselt passieren kann, und nicht das eine Fehlermeldung weg geht.

Wenn irgendwas mit dem Zertifikat nicht stimmt kommt diese Meldung.

 

Habt ihr eine CA? Kommt diese Fehlermeldung jetzt schon? Wie lautet der Fehler genau?

[Peterzz 11]

Wir haben keine CA.

Das Zertifikat wurde bei der Office Installation (Installation durch .msp Datei, welche durch das Office Anpassungstool erstellt wurde) auf den Clients mitinstalliert.

Wir haben noch keine Fehlermeldung, das Zertifikat ist noch ca. 4 Wochen gültig.

bearbeitet 5. November 2014 von Peterzz

[Dukel 454]

Wenn du ein Selbst signiertes Zertifikat hast musst du dieses auf die Clients kopieren. Dies geht z.B. per GPO.

[RobertWi 81]

Immer diese dämlichen Self-Signed Zertifikate.

 

Daher mal wieder: Die sind grundsätzlich unsupported. Sie können also funktionieren, müssen aber nicht. Und bei den aktuellen Themen in Bezug auf SSL/TLS/SHA1 usw. würde es mich nicht wundern, wenn die Dinger in absehbarer Zeit nicht mehr Vertrauenswürdig gemacht werden können.

 

Daher: Installier eine CA. Dauert 5 Minuten und bei einer AD-integrierten wird Dir das Root-CA automatisch in die Domain-GPO gesteckt.

 

Und dann bezieh das Exchange-Zertifikat darüber.

 

Das ganz ist nicht nur Standard, sondern bringt auch andere Vorteile, wenn man z.B Macros signieren will, irgendwelche internen Webseiten absichern will oder einfach weniger Ärger möchte.

[Doso 77]

Besser: Zertifikat von externer CA kaufen, dann gibt es auch keine Fehlermeldungen mit dem Webmail oder bei Smartphones. Aber ja, das kostet Geld.

[RobertWi 81]

Das muss man nicht mal kaufen. Einjährige gibt es bei einigen Anbietern kostenlos (www.startssl.com).

 

Trotzdem scheint mancher Admin davor Angst zu haben und nimmt lieber eine Bastellösung in Kauf, als es richtig zu machen.

[DocData 85]

Daher mal wieder: Die sind grundsätzlich unsupported.

 

Robert, hast du dazu eine Quelle?

[RobertWi 81]

Moin,

 

Gegenfrage: Findest Du irgendwo die Aussage, dass es erlaubt wäre? Wenn man den Exchange-Entwicklern diese Frage stellt, dann kommt also Antwort zurück: Findest Du von uns (Exchange) irgendwo einen Hinweis, dass dieses Vorgehen supported ist -> Nein, also ist es unsupported. Solche Diskussionen hatten wir schon mehrfach mit der PG.

 

Denn das Problem ist ein wenig vielschichtiger.

 

Exchange und Outlook  verlassen sich bei der Zertifikatsüberprüfung auf Windows. Daher gibt es in Outlook auf keine Funktion, ein Zertifikat als vertrauenswürdig zu betrachten. Andersrum kann man damit wunderbar den IE zum Testen verwenden, der wenn der einem Zertifikat vertraut, tut es auch Outlook.

 

Folglich können die Entwickler von Exchange keine 100% Support-Aussage zu Zertifikaten sagen. In diesem Punkt können Sie nur Empfehlungen aussprechen, aber was da letztendlich geht, entscheiden die Windows-Entwickler.

 

Es gibt hier einen langen Technet-Artikel zu Zertifikaten: Klick

 

Kernaussagen in Bezug auf Self-Signed: Es gibt Geräte, da funktionieren sie gar nicht und es gibt Geräte, da machen sie Ärger. Offiziell wird da gesagt, dass sie mit Outlook Anywhere nicht funktionieren - und das ist seit 2013 immerhin die Standard-Verbindung zu Exchange. Ich weiß, dass hier noch 2010 im Gespräch ist, aber ein totes Pferd bleibt ein totes Pferd und wer sich einmal ein schlechtes Vorgehen angewöhnt hat, ist nur schwer davon anzubringen.

 

Außerdem gibt es diesen alten Support-Artikel, der den Import des Self-Signed ausdrücklich als "Work Around" kennzeichnet und die Verwendung eines echten Zertifikates mit "you must install" festlegt: Klick

 

Und dann bleibt ja am Ende immer noch die aktuelle Entwicklung im Zertifikatsbereich. Da hier die Sicherheitsschraube in den vergangenen Monaten sehr angezogen wurde, ist es für mich nur eine Frage der Zeit, bis Windows importierten Self-Signed auch nicht mehr vertraut.

 

Nach der Welle der Anfragen bei "E-Mail made in Germany" ist die nächste Problem Welle schon am Horizont, wenn Windows SHA1-signierten Zertifikaten nicht mehr vertraut. Die sind leider heute noch Standard bei Exchange, was daran liegt, dass Windows vor 2012 noch gar keine SHA2-Zertifikate kann und der Versuch von Microsoft, das im Oktober zu implementieren, leider schief gegangen ist. Ich denke, es wird eine Menge Exchange-Admins geben, die sich dieses Problem nicht bewusst sind und eines Morgens aufwachen und feststellen, dass sich kein Windows-Rechner mehr verbinden kann. Ich finde, das muss sich ein Admin nicht auch noch mit den potentiellen Problemen von Self-Signed herumschlagen.

[Peterzz 11]

Hallo Robert,  

 

ich habe noch keine CA installiert. Gibt es vielleicht ein HowTo, damit ich mein Exchange Server Zertifikat an die Client verteilt bekomme. 

 

Gruß Peter

[NorbertFe 2.041]

Welches willst du denn verteilen? Kauf doch einfach ein Zertifikat (bzw. Robert hat dir sogar ne kostenlose Variante mitgeteilt), dann mußt du gar nix machen am Client.

 

Bye

Norbert

[Peterzz 11]

Genau das will ich machen, ich will eine AD-integrierte Root-CA erstellen.

 

und bei einer AD-integrierten wird Dir das Root-CA automatisch in die Domain-GPO gesteckt.

 

Unsere DCs laufen noch auf Windows Server 2008.

[NorbertFe 2.041]

Ich meinte eigentlich

Einjährige gibt es bei einigen Anbietern kostenlos (www.startssl.com).

Nur für ein Exchangeserverzertifikat braucht man doch keine CA installieren. Schon gar nicht, wenn man nicht weiß, wie so ein Teil wirklich funktioniert. ;)

 

Bye

Norbert

[Peterzz 11]

Ist es denn aufwendig, kompliziert, pflegebedürftig eine Root-CA zu implementieren?

Irgendwann ist es immer das erste mal ;)

Und jedes Jahr das Zertifikat zu erneuern oder eins zu kaufen, muss ja  auch nicht sein, außer meine Frage oben wird mit "ja, ja, ja beantwortet :confused:  

 

Peter