snoopy16 1 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Hallo, Ich habe folgendes Problem: Outlook 2016 ist mit einem Exchange Server 2016 Standard außerhalb der Domäne verbunden. Der Exchange Server verwendet ein selber ausgestelltes Zertifikat. Um den Assistenten im Outlook 2016 auszutricksen und mich per autodiscover mit dem Exchange Account zu verbinden, habe ich die Hosts Datei des Client (ausserhalb der Domäne) folgendermaßen angepasst (ja, ich weiß, es ist schmutzig, aber eine schnelle wenn auch keine dauerhafte Lösung). 192.168.4.10 SERVERNAME.domain.local 192.168.4.10 autodiscover.domain.de Nun kann ich mich zwar per Autodiscover verbinden und alles funktioniert wunderbar, bis auf den nun erscheinenden Sicherheitshinweis: Sicherheitshinweis: autodiscover.domain.de Das Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle. (OK) Das Sicherheitszertifikat ist gültig (OK) Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein. (NICHT OK) Möchten Sie den Vorgang fortsetzen? Bestätige ich mit ja, kann man auch wunderbar mit Outlook arbeiten, bis nach einiger Zeit ja wieder der Sicherheitshinweis aufpoppt. Das ist logisch, der Fehlergrund steht ja auch in der Fehlermeldung (Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein) Schaue ich mir das Zertifikat an, steht dort Antragsteller: SERVERNAME Alternativer Antragsstellername: DNS-Name=SERVERNAME DNS-Name=SERVERNAME.domain.local Der öffentliche Domainname taucht nirgends auf. habe das Serverzertifikat auch in den Stammzertifizierungspfad des lokalen Computer kopiert, aber das ändert ja auch nichts an der Sachlage. Wie umschiffe ich nun das Problem. Möglichst ohne öffentliches Zertifikat? (Server ist sowieso nicht öffentlich zugängig, nur per VPN ins interne Netz) Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Moin, beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL. Gruß, Nils Zitieren Link zu diesem Kommentar
snoopy16 1 Geschrieben 9. Januar 2020 Autor Melden Teilen Geschrieben 9. Januar 2020 vor 8 Minuten schrieb NilsK: beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. würde es gerne "richtig" machen, sobald am Standort Internet angekommen ist. vor 9 Minuten schrieb NilsK: Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL. kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 vor 10 Minuten schrieb snoopy16: kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet? Nennt sich Split-DNS und ist Best-Practice Ob der Server Internet hat oder nicht spielt keine Rolle, alle URL zeigen auf die öffentlichen Namen / URL. Bitte minimum eine interne CA verwenden, Self-signed Cert sind nicht supportet... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 Vielleicht ist diese Anleitung hilfreich: https://www.psw-group.de/newsletter/splitDNS.pdf Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 9 minutes ago, Nobbyaushb said: Bitte minimum eine interne CA verwenden, Self-signed Cert sind nicht supportet... Wo findest du das diese nicht Supportet sind? Sie sind nicht empfolen, aber nicht Supportet habe ich noch nie gelesen. https://docs.microsoft.com/en-us/exchange/digital-certificates-and-ssl-exchange-2013-help Zitieren Link zu diesem Kommentar
snoopy16 1 Geschrieben 9. Januar 2020 Autor Melden Teilen Geschrieben 9. Januar 2020 Danke für Eure Tips, besonders für die PDF. Werde das mal ausprobieren mit SplitDNS. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 (bearbeitet) Moin, rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.) Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist. Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen. Gruß, Nils bearbeitet 9. Januar 2020 von NilsK 1 Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 9. Januar 2020 Melden Teilen Geschrieben 9. Januar 2020 In Ergänzung zu Nils: ein Mittelweg zwischen einer "richtigen" Windows-CA und mittels OpenSSL erstellten selbst signierten Zertifikaten wäre eine einfache CA. Deren Zertifikat könnte man auf allen Clients als vertrauenswürdig hinterlegen und für die Server dann von ihr signierte Zertifikate ausstellen. Eine einfach bedienbare Software wäre zum Beispiel https://hohnstaedt.de/xca/. (Geht alles mit OpenSSL auch, aber wenn man es nicht so häufig braucht, ist es etwas mühsam mit den Befehlen.) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.