Exchange 2010 TLS zum SmartHost

[-= Brummbär =- 10]

Hallo zusammen,

 

ich möchte gerne ausgehend zum SmartHost (nicht von mir betrieben) TLS aktivieren. Wenn ich dies im Connector einschalte, dann erhalte ich den Fehler 11005 untrustedroot. Auf meinem Exchange habe ich ein gekauftes SSL Zertifikat. Eingehend klappt auch TLS wunderbar.

 

Ich weiß, dass der SmartHost mit einem selbst signierten Zertifikat arbeitet. Gibt es eine Möglichkeit, dass ich die Überprüfung des RootZertifikats für den SmartHost ausschalte? Kann ich alternativ mir selber die komplette Zertifikatskette herunterladen und dann das Root Zertifikat im Zertifikatespeicher ablegen.

 

Viele Grüße

[RobertWi 81]

Moin,

 

was hast Du da genau aktiviert.

 

Normalerweise nimmt ein Sendeconnector automatisch TLS, wenn der Smarthost das anbietet ("opportunistisch").

 

Erste Kontrolle ist via SMTP-Log möglich.

[NorbertFe 2.041]

Was genau hast du denn aktiviert? Normalerweise nutzt Exchange ab 2007 per default tls. Man kann natürlich noch etwas mehr konfigurieren, deswegen meine Frage...

[Doso 77]

Wollte das vor ein paar Monaten auch anschalten und durfte erfreut feststellen das man da nix anschalten muss und unser Exchange das sowieso schon die ganze zeit macht.

[-= Brummbär =- 10]

Danke für die vielen Antworten. Ich war irgendwie noch im Glauben, dass ich bei einer

Antwort eine Mail bekomme. Daher erst jetzt meine Reaktion: Sorry.

 

Mein Problem ist wie folgt:

Wir verwenden einen extern Relaydienst. Auf dem Weg dorthin möchte ich gerne TLS einsetzen.

Sendeconnector => Smarthost => Standardauth über TLS

Nun hat unser Dienstleister ein selbst signiertes Zertifikat. Mittlerweile habe ich sein CA Zertifikat

was mich von der Fehlermeldung: untrustedroot zur NoRevocationCheck bringt. Die Zertifikate

haben nicht mal eine CRL und es wird auch keine betrieben. Wie kann ich dem Exchange beibringen,

dass er die Zertifikate nicht prüfen soll? Ich habe es schon über die IE Einstellungen versucht in der

Hoffnung, dass diese sich auch auswirken... leider nein.

 

Ich weiß: der einfachste Weg wär ein gekauftes Zertifikat. Aber das liegt nicht in meiner Hand.

Und ohne CRL dafür mit TLS finde ich besser als gar nichts.

 

Ich hoffe auf Tipps!

[zahni 554]

Etwas  OT:  Bei einem selbst signierten Zertifikat gibt auch keine  CRL. Wer sollte  das Teil auch zurückziehen?  ;)

 

Beim Rest helfen sicher die Exchange-Profis.

[RobertWi 81]

Danke für die vielen Antworten. Ich war irgendwie noch im Glauben, dass ich bei einer

Antwort eine Mail bekomme. Daher erst jetzt meine Reaktion: Sorry.

 

Und wir glauben noch daran, dass Du unsere Fragen beantwortest. Wenn wir nicht wissen, was und warum Du da konfiguriert hast, wird Hilfe von uns schwer werden.

 

@zahni: Ein Self-Signed hat keine CA. Da Brummbär ein CA-Zertifikat bekommen hat, ist es also eher ein intern signiertest und das hätte technisch auch ein CRL. Ist aber wie Eingangs von Norbert und mir gar nicht notwendig, weil Exchange auch ohne irgendeine Konfig TLS nimmt, wenn der Gegenüber mitspielt. Daher wollen wir ja wissen, was dort konfiguriert wurde.

[-= Brummbär =- 10]

Ich habe im Sendeconnector beim Smarthost die Standardauthentifizierung per TLS aktiviert.

Mehr habe ich ausgehend gar nicht gemacht. Oder verwechsel ich da was?

 

Dann kam im Eventlog erst der untrustet Root und nach dem importierten Zertifikat der CRL Fehler.

 

Wo kann ich denn genau sehen was er per TLS versucht?

[-= Brummbär =- 10]

Guten Morgen,

 

habt ihr vielleicht noch einen Tipp für mich wie ich die TLS Geschichte abschließen kann.