Jump to content

2008R2 SMTP TLS // Zertifikatsname?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

ich kämpfe heute schon den ganzen Tag und bin noch nicht wirklich weiter gekommen.

Folgende Umgebung (die bis auf _dies_ Problem auch schon seit Jahren so,unverändert läuft):

Server 2008R2 mit Exchange 2010 auf Server "mail.kunde.de"
Server 2008R2 mit 2 vSMTP Instanzen auf Server "vpn.kunde.de" (AntiSpam GateWay das Mails vom Internet annimmt und dann an den Exchange weiterleitet und die 2. Instanz über die Exchange ins Internet versendet).

 

Auf dem Server "vpn.kunde.de" sollte nun SMTP-TLS aktiviert werden um zu versch. ext. Domains die Kommunikation zu verschlüseln.

Wir haben ein offizielles SAN EV Zertifikat:

cn   = mail.kunde.de

san = vpn.kunde.de

4 weitere SAN Namen, die hier aber irrelevant sind

 

Auf beiden vSMTP Instanzen auf dem vpn.kunde.de ist unter Eigenschaften->Zustellung-> Erweitert "mail.kunde.de" als FQDN eingetragen (da er sich auch im HELO so meldet und dies auch dem offizielle MX Record entspricht).

Trotzdem weigern sich beide SMTP Instanzen das Zertifikat "anzuerkennen" => "TLS ist ohne Zertifikat nicht verfügbar" und korrespondierender Eintrag im Event-Log: "Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert"

 

Installiert ist das Zertifikat unter "Computer -> Eigene Zertifikate" (war auch schon im Dienstekonto des SMTP usw.)

 

Nach jeder Änderung natürlich ein IISReset durchgeführt.

Frage(n):
- Welche Namen werden "wo" (cn / sanName) erwartet?
- Funktioniert SMTP-TLS möglicherweise mit SAN Zertifikaten generell nicht?

 

- unterstützt der SMTP Dienst ein "Fallback" auf unverschlüsselt, wenn die Gegenstelle kein TLS unterstützt, oder muss ich für jede "TLS-enabled-RemoteDomain" eine eigene RemoteDomain mit TLS-aktivert erstellen?

- gleiche Frage wie vor, jedoch für eingehende Mail

 

Das Zertifikat "als solches" ist OK, das es auf dem Exchange (OWA) und 2 anderen Masch. (https-Webseiten) bereits installiert und aktiviert ist.

 

Vielen Dank schon einmal überhaupt fürs Lesen und einen noch größeren Dank für einen hilfreichen Tip.

 

Gruß Uwe

bearbeitet von UKortkamp
Link zu diesem Kommentar

Die kleine Schrift kann ich selbst bei Vergrößerung vom Browser nicht lesen.

 

Was ist vSMTP?

 

;)

Bei mir wird die kleine Schrift "gut" angezeigt - werde aber beim nächsten mal drauf achten :-)

 

vSMTP = virtual SMTP = mehrere Instanzen (von mir kreiertes Kunstwort :D )

Wenn du SAN Einträge nutzt, _muß_ der CN auch als SAN eingetragen werden.

 

Hallo NorbertFe,

du meinst damit AUCH  als SAN-Name? - Also im/als CommonName UND SAN-Name?

 

Danke und Gruß

Uwe

bearbeitet von UKortkamp
Link zu diesem Kommentar

Inzwischen kann ich ein kleines Update hierzu geben:
Ich habe mir testweise ein einfaches "Single-Zertifikat" ausstellen lassen mit einem cn="mail.kunde.de" (kein SAN) und das installiert: funktioniert sofort.

 

Das eigenartige ist, das das SAN-Zertifikat ebenfalls einen cn="mail.kunde.de" hatte - allerdings eben auch noch weitere SAN-Einträge (und nicht mail.kunde.de nochmal als SAN-Name) -- dies scheint NorbertFe's Aussage (durchaus) zu untermauern

Sicher ist jedenfalls, das der DNS-Name des Systems (vpn.kunde.de) irrelevant hierfür ist - einzig der eingetragene FQDN im SMTP unter "Eigenschaften->Zustellung-> Erweitert" ist entscheidend (sobald ich diese abändere funktioniert auch das "neue" SingleName Zertifikat nicht).

Bevor ich jetzt das Original Zertifikat nochmal abändere und mail.kunde.de zusätzlich als SAN Name mit aufnehme...

Kann jemand SICHER bestätigen, das SMTP-TLS überhaupt mit SAN Zertifikaten funktioniert?

 

Danke und Gruß
Uwe

bearbeitet von UKortkamp
Link zu diesem Kommentar

Wenn du mir nicht glaubst, dann lies die entsprechenden rfc. Arbeite mit singlename cert oder schreib den cn auch als san rein. Was man da so lange rumpopeln muss.

Ein einfaches: "Ja, SAN Zertifikate funktionieren für diese Fragestellung wenn der CN auch als SAN eingetragen ist", hätte mir durchaus gereicht.

 

... auch wenn man schon 20 Jahre in der IT arbeitet, ist jedes Thema irgendwann für jeden mal Neuland (gewesen) - und die Konstellation hatte ich vorher eben auch noch nie.

 

Danke Dir und ein schönes WE

Uwe

bearbeitet von UKortkamp
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...