UKortkamp 13 Geschrieben 22. April 2016 Melden Teilen Geschrieben 22. April 2016 (bearbeitet) Hallo zusammen, ich kämpfe heute schon den ganzen Tag und bin noch nicht wirklich weiter gekommen.Folgende Umgebung (die bis auf _dies_ Problem auch schon seit Jahren so,unverändert läuft): Server 2008R2 mit Exchange 2010 auf Server "mail.kunde.de"Server 2008R2 mit 2 vSMTP Instanzen auf Server "vpn.kunde.de" (AntiSpam GateWay das Mails vom Internet annimmt und dann an den Exchange weiterleitet und die 2. Instanz über die Exchange ins Internet versendet). Auf dem Server "vpn.kunde.de" sollte nun SMTP-TLS aktiviert werden um zu versch. ext. Domains die Kommunikation zu verschlüseln. Wir haben ein offizielles SAN EV Zertifikat: cn = mail.kunde.de san = vpn.kunde.de 4 weitere SAN Namen, die hier aber irrelevant sind Auf beiden vSMTP Instanzen auf dem vpn.kunde.de ist unter Eigenschaften->Zustellung-> Erweitert "mail.kunde.de" als FQDN eingetragen (da er sich auch im HELO so meldet und dies auch dem offizielle MX Record entspricht).Trotzdem weigern sich beide SMTP Instanzen das Zertifikat "anzuerkennen" => "TLS ist ohne Zertifikat nicht verfügbar" und korrespondierender Eintrag im Event-Log: "Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert" Installiert ist das Zertifikat unter "Computer -> Eigene Zertifikate" (war auch schon im Dienstekonto des SMTP usw.) Nach jeder Änderung natürlich ein IISReset durchgeführt.Frage(n):- Welche Namen werden "wo" (cn / sanName) erwartet?- Funktioniert SMTP-TLS möglicherweise mit SAN Zertifikaten generell nicht? - unterstützt der SMTP Dienst ein "Fallback" auf unverschlüsselt, wenn die Gegenstelle kein TLS unterstützt, oder muss ich für jede "TLS-enabled-RemoteDomain" eine eigene RemoteDomain mit TLS-aktivert erstellen? - gleiche Frage wie vor, jedoch für eingehende Mail Das Zertifikat "als solches" ist OK, das es auf dem Exchange (OWA) und 2 anderen Masch. (https-Webseiten) bereits installiert und aktiviert ist. Vielen Dank schon einmal überhaupt fürs Lesen und einen noch größeren Dank für einen hilfreichen Tip. Gruß Uwe bearbeitet 22. April 2016 von UKortkamp Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 22. April 2016 Melden Teilen Geschrieben 22. April 2016 Die kleine Schrift kann ich selbst bei Vergrößerung vom Browser nicht lesen. Was ist vSMTP? ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 22. April 2016 Melden Teilen Geschrieben 22. April 2016 Wenn du SAN Einträge nutzt, _muß_ der CN auch als SAN eingetragen werden. Zitieren Link zu diesem Kommentar
UKortkamp 13 Geschrieben 23. April 2016 Autor Melden Teilen Geschrieben 23. April 2016 (bearbeitet) Die kleine Schrift kann ich selbst bei Vergrößerung vom Browser nicht lesen. Was ist vSMTP? ;) Bei mir wird die kleine Schrift "gut" angezeigt - werde aber beim nächsten mal drauf achten :-) vSMTP = virtual SMTP = mehrere Instanzen (von mir kreiertes Kunstwort :D ) Wenn du SAN Einträge nutzt, _muß_ der CN auch als SAN eingetragen werden. Hallo NorbertFe, du meinst damit AUCH als SAN-Name? - Also im/als CommonName UND SAN-Name? Danke und Gruß Uwe bearbeitet 23. April 2016 von UKortkamp Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Naja so eigenkreiert ist das auch nicht, da jeder Exchange 2003 und jeder Windows SMTP Server sowas hat und auch so bezeichnet afair. ;) Zitieren Link zu diesem Kommentar
UKortkamp 13 Geschrieben 23. April 2016 Autor Melden Teilen Geschrieben 23. April 2016 (bearbeitet) Inzwischen kann ich ein kleines Update hierzu geben:Ich habe mir testweise ein einfaches "Single-Zertifikat" ausstellen lassen mit einem cn="mail.kunde.de" (kein SAN) und das installiert: funktioniert sofort. Das eigenartige ist, das das SAN-Zertifikat ebenfalls einen cn="mail.kunde.de" hatte - allerdings eben auch noch weitere SAN-Einträge (und nicht mail.kunde.de nochmal als SAN-Name) -- dies scheint NorbertFe's Aussage (durchaus) zu untermauernSicher ist jedenfalls, das der DNS-Name des Systems (vpn.kunde.de) irrelevant hierfür ist - einzig der eingetragene FQDN im SMTP unter "Eigenschaften->Zustellung-> Erweitert" ist entscheidend (sobald ich diese abändere funktioniert auch das "neue" SingleName Zertifikat nicht).Bevor ich jetzt das Original Zertifikat nochmal abändere und mail.kunde.de zusätzlich als SAN Name mit aufnehme...Kann jemand SICHER bestätigen, das SMTP-TLS überhaupt mit SAN Zertifikaten funktioniert? Danke und GrußUwe bearbeitet 23. April 2016 von UKortkamp Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Wenn du mir nicht glaubst, dann lies die entsprechenden rfc. Arbeite mit singlename cert oder schreib den cn auch als san rein. Was man da so lange rumpopeln muss. Zitieren Link zu diesem Kommentar
UKortkamp 13 Geschrieben 23. April 2016 Autor Melden Teilen Geschrieben 23. April 2016 (bearbeitet) Wenn du mir nicht glaubst, dann lies die entsprechenden rfc. Arbeite mit singlename cert oder schreib den cn auch als san rein. Was man da so lange rumpopeln muss. Ein einfaches: "Ja, SAN Zertifikate funktionieren für diese Fragestellung wenn der CN auch als SAN eingetragen ist", hätte mir durchaus gereicht. ... auch wenn man schon 20 Jahre in der IT arbeitet, ist jedes Thema irgendwann für jeden mal Neuland (gewesen) - und die Konstellation hatte ich vorher eben auch noch nie. Danke Dir und ein schönes WE Uwe bearbeitet 23. April 2016 von UKortkamp Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Häh? Ich zitiere: Wenn du SAN Einträge nutzt, _muß_ der CN auch als SAN eingetragen werden. Wie deutlich willst du es denn noch? Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.