SaschaVolk 2 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 Hallo Mir ist gestern das selbstsignierte Exchange Zertifikat abgelaufen. Erneuern ging leider nicht und ich mußte ein neues erstellen. Ich habe es dann über eine GPO an die Clients verteilt. Das funktioniert auch. Bei den Macs mußte ich den Mail Account löschen und nochmal anlegen. Auch hier hat es funktioniert. Was nicht funktioniert sind die Iphones mit der Apple Mail App. Die zeigen mir an das die Serveridentität nicht überprüft werden kann. Ich kann das Zertifikat aber nicht annehmen. Da es vorher mit einem Selbstsignierten Zertifikat funktioniert hat - frage ich mich was da noch falsch ist. Im moment komme ich da nicht so richtig weiter. Ich möchte zwar in vier Wochen mit der Migration auf Exchange 2019 anfangen und ein Offizielles Zertifikat kaufen aber es wäre schön wenn ich den fehler da finden würde. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 Kommt auf die iOS Version an. Irgendwann (ich meine, mit V 13.x.x) wurden selbssignierte Zertifikate nur zugelassen, wenn sie über den Browser installiert werden. Kaufe doch jetzt schon eines, brauchst du eh... Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 21. Februar 2020 Autor Melden Teilen Geschrieben 21. Februar 2020 (bearbeitet) Ja könnte ich auch machen. Welchen nimmt man da am besten ?? Mich würde es trotzdem intressieren wieso es vorher funktioniert hat. Dafür muß es ja einen Grund geben. Ich habe übrigends das Zertifikat über den Browser installiert und aktiviert auf dem Iphone. geht aber auch nicht bearbeitet 21. Februar 2020 von SaschaVolk Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 vor 1 Minute schrieb SaschaVolk: Ja könnte ich auch machen. Welchen nimmt man da am besten ?? Wen du magst, psw ist OK - es gibt ein paar bezahlbare inzwischen. Meist braucht man ja nur 2 Namen im SAN-Zert, autodiscover und webmail (oder owa oder was auch immer) Man muss nur alle URL sauber durchkonfigurieren. vor 3 Minuten schrieb SaschaVolk: Mich würde es trotzdem intressieren wieso es vorher funktioniert hat. Dafür muß es ja einen Grund geben. Wenn das migrierte Konten waren, hat iOS das Zert mitgenommen... Ergänzend der Hinweis zum Cross-Posting bei mir: https://www.msxforum.de/community/index.php?thread/16648-exchange-2013-zertifikat-abgelaufen-und-erneuert-ios-clients-können-sich-nicht-a/&postID=93671#post93671 Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 21. Februar 2020 Autor Melden Teilen Geschrieben 21. Februar 2020 Ich habe Gerade gesprochen. Die haben mir jetzt das Multidomain Zertifikat empfohlen https://www.psw-group.de/ssl-zertifikate/detail/c7-sectigo-positivessl-multidomain/ Jetzt frage ich mich ob ich wirklich alle SubDomains brauche im Zertifikat. Die wollen für jede weitere Subdomain 29 Euro / Jahr webmail.domaene.de AutoDiscover.domaene.de Autodiscover.ad.domaene.de Mail-SRV01 domaene.de ad.domaene.de Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 vor 1 Minute schrieb SaschaVolk: webmail.domaene.de AutoDiscover.domaene.de Du brauchst 2 Namen, s.o. Mehr nicht - interne Namen haben im externen Zertifikat nichts zu suchen. Dafür hat man Split-DNS Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 21. Februar 2020 Autor Melden Teilen Geschrieben 21. Februar 2020 (bearbeitet) ok danke dir . Habe auch gerade gesehen das was mit dem Autodiscover nicht richtig funktioniert Habe es mit Test-OutlookWebServices -identity: user@domaene.de –MailboxCredential (Get-Credential) Bekomme da bei Autoermittlung ein Failure zurück. Was mich etwas wundert - mit Get-AutodiscoverVirtualDirectory | fl internalurl,externalurl bekomme ich zurück InternalURL: ExternalURL: Die einträge sind leer bearbeitet 21. Februar 2020 von SaschaVolk Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 Ja und das is vollkommen korrekt. Warum sollte die autodiscover auch was zurückliefen? Da bist du doch schon. ;) Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 21. Februar 2020 Autor Melden Teilen Geschrieben 21. Februar 2020 Meinst du jetzt beim ersten oder zweiten Befehl Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 21. Februar 2020 Melden Teilen Geschrieben 21. Februar 2020 vor 2 Stunden schrieb SaschaVolk: Get-AutodiscoverVirtualDirectory | fl Der... Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 24. Februar 2020 Autor Melden Teilen Geschrieben 24. Februar 2020 Am 21.2.2020 um 14:16 schrieb Nobbyaushb: Kommt auf die iOS Version an. Irgendwann (ich meine, mit V 13.x.x) wurden selbssignierte Zertifikate nur zugelassen, wenn sie über den Browser installiert werden. Kaufe doch jetzt schon eines, brauchst du eh... Ich habe hier ein Iphone mit 12.4 . Das zeigt mir den selben fehler . Er gibt mir einen Accountfehler an mit der Mail App von IOS Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 24. Februar 2020 Autor Melden Teilen Geschrieben 24. Februar 2020 Ich habe heute das Zertifikat gekauft . Root CA Certificate - AddTrustExternalCARoot.crt Intermediate CA Certificate - USERTrustRSAAddTrustCA.crt Intermediate CA Certificate - SectigoRSADomainValidationSecureServerCA.crt Your PositiveSSL Multi-Domain Certificate Für den Exchange brauche ich das MultiDomain Zertifikat . Was mache ich den mit den anderen Zertifikaten ?? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 vor 2 Minuten schrieb SaschaVolk: Ich habe heute das Zertifikat gekauft . Root CA Certificate - AddTrustExternalCARoot.crt Intermediate CA Certificate - USERTrustRSAAddTrustCA.crt Intermediate CA Certificate - SectigoRSADomainValidationSecureServerCA.crt Your PositiveSSL Multi-Domain Certificate Für den Exchange brauche ich das MultiDomain Zertifikat . Was mache ich den mit den anderen Zertifikaten ?? Welche meinst du? Die Root-Certs sollten Windows-Rechner so kennen. Ich brauchte bislang immer nur das SAN Zitieren Link zu diesem Kommentar
SaschaVolk 2 Geschrieben 24. Februar 2020 Autor Melden Teilen Geschrieben 24. Februar 2020 Ja die Root-Certs kennt mein Rechner. Das SAN kennt er nicht . "webmail.domäne.de ist nicht vertrauenswürdig". Das müßte doch jetzt eigentlich auch erkannt werden oder ?? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 vor 3 Minuten schrieb SaschaVolk: Ja die Root-Certs kennt mein Rechner. Das SAN kennt er nicht . "webmail.domäne.de ist nicht vertrauenswürdig". Das müßte doch jetzt eigentlich auch erkannt werden oder ?? Wenn es an die dazu gehörenden Exchange-Dienste gebunden wurde und der IIS neu gestartet wurde ja. Die internen / externen URL müssen natürlich zum Zertifikat passen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.