SBS2011 Exchange Zertifikatsfehler

[derandi 10]

Guten Morgen zusammen,

 

ich benötige ein bisschen Hilfe. Ich habe schon google bemüht und auch die Suche im Forum, wurde allerdings daraus nicht schlau.

 

Folgende Umgebung:

SBS2011 Standard mit AD,DNS,DHCP,Exchange 2010,..

Angeschlossen sind daran Win7 Prof. Clients mit Outlook 2010.

 

Die PCs bekommen alle beim Starten von Outlook eine Zertifikatswarnung (Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein).

Eingespielt ist ein selbstsigniertes Zertifikat. Zugriff von außen erfolgt nicht.

In der Zertifikatswarnung steht oben der FQDN vom Server testserver.mydoain.local. In den Zertifikatsdetails steht bei Ausgestellt für "testserver-sbs2011-ca".

 

Bei Ausgestellt von: "testserver-sbs2011-ca".

 

 

Wenn ich in der Exchange Console den Befehl "Get-ExchangeCertificate | fl" absetze erhalte ich "CertificateDomains : testserver-SBS2011-CA}"

 

Meine Frage ist folgende: Worin liegt genau das Problem und wie stelle ich es ab? Ich vermute, dass bei "CertificateDomains" der FQDN vom Server stehen sollte?

Inwiefern spielt autodiscover da mit rein?

 

Ich hoffe ihr könnt mir helfen. Es funktioniert zwar alles, aber die Zertifikatsfehler sind nervig.

 

Viele Grüße & Danke für eure Unterstützung.

[testperson 1.728]

Hi,

 

konfiguriere SplitDNS und kaufe ein SAN Zertifikat einer öffentlichen CA mit autodiscover.<deine-Domain>.<tld> sowie <eintollerhostname>.<deine-domain>.<tld>.

 

Gruß

Jan

[Nobbyaushb 1.484]

Ergänzend - Exchange 2010 ist bereits im Extendet Support, mal zeitnah über einen Umstieg nachdenken.

 

Speziell die SBS-Kunden sind meist Ideal für O365

[derandi 10]

Hi,

 

vielen Dank für die Antworten. Der Umstieg ist in Planung.

Wie kann ich das Problem denn ohne ein öffentliches Zertifikat beheben? Wo liegt das Problem bei dem jetzigen?

 

Viele Grüße

[testperson 1.728]

In dem du, vermutlich, ein neues Zertifikat bei der SBS CA beantragst, welches die konfigurierten Hosts der virtuellen Verzeichnisse inkl. autodiscover.<deine-domains>.<tld> beinhaltet.

Sollte dein Root Zertifikat der SBS CA noch SHA1 sein, müsstest du evtl. vorher noch auf SHA2 migrieren.

 

Das evtl. jetzt gekaufte Zertifikat kannst du ja bei / nach dem Umstieg weiter nutzen. Dürfte ebenfalls wesentlich einfacher und schneller gehen.

[derandi 10]

Hi,

 

vielen Dank für deine Antwort.

Ich werde erstmal ein neues Zertifikat bei der CA am SBS beantragen und aktivieren.

Damit ich es jetzt völlig verstehe.. was ist denn jetzt genau das Problem mit dem jetzigen Zertifikat? Ist es so, wie ich im ersten post geschildert habe?

 

Viele Grüße

[tesso 375]

Evtl. ist das Zertifikat abgelaufen?

Schau dir doch das Zertifikat an.

[derandi 10]

Hi,

 

nein ist leider nicht abgelaufen. Wenn es abgelaufen wäre könnte man es evtl. Über den Assistenten vom sbs verlängern. 

 

Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein.

 

viele grüsse

 

[tesso 375]

Welchen Namen rufst du auf und welcher Name steht im Zertifikat?

 

[derandi 10]

Hi,

 

vielen Dank für die schnellen Antworten

Die Meldung kommt beim Starten von Outlook und dann alle paar Minuten. Ich hänge zwei Bilder an.

In Bild 1 bei der Zertifikatswarnung steht oben (geschwärzt) sbs2011.mydomain.local

In Bild 2 bei Ausgestellt für mydomain-sbs2011-ca / Bei Ausgestellt von: mydomain-sbs2011-ca

 

Wenn ich in der Exchange Console den Befehlehl "Get-ExchangeCertificate | fl" absetze erhalte ich "CertificateDomains : mydomain-SBS2011-CA}"

 

Viele Grüße

 

 

[tesso 375]

Gibt es alternative Namen im Zertifikat?

 

Ansonsten ist doch alles klar. Du rufst irgendwas mit einem Namen auf der nicht im Zertifikat steht.

[derandi 10]

Hi,

 

nein gibt es nicht. Genau das vermute ich ja

Ich denke, dass Outlook den SCP sucht und dieser Name nicht stimmt. Also Lösung -> neues Zertifikat erstellen.

Ich werde es morgen oder übermorgen testen und dann nochmal schreiben!

 

VG

[tesso 375]

SCP anpassen würde auch gehen.

 

Oder für Exchange ein eigenes Zertifkat erstellen und im Exchange nutzen.

[derandi 10]

Guter Ansatz. Ich betreue normalerweise keine SBS und nutze normal auch keine selbstsignierten Zertifikate.

Ich schaue mir morgen mal die autodiscover.xml an und gucke mal wie es am einfachsten zu lösen ist. Der OS ist eh EOL.

Ich berichte, sobald ich es umgesetzt habe.

 

Vielen Dank fürs mitdenken.

 

[derandi 10]

Guten Morgen,

 

habe nun beim Exchange ein neuen CertRequest erstellt. Hab dann mit diesem Request im IIS ein neues Zertifikat beantragt. Die *.req Datei ausgewählt. Nichts passiert. Es erscheint kein neues Zertifikat bei Ausgestellte Zertifikate und auch bei Ausstehenden Anforderungen oder bei Fehlgeschlagenen Anforderungen steht nichts drin.

 

Jemand eine Idee?

Nachtrag:

Ich meine nicht im IIS sondern bei der Zertifizierungsstelle am SBS.