2
Exchange 2007 - Zertifkatswarnung bei WAN und LAN Zugriff auf den Server
Clients melden sich bspw. via WAN an mail.domain.com beim dort erreichbaren Exchange Server.
Für die domain.com gibt es auch ein Wildcard Zertifikat.
Der Server ist im ActiveDirectory jedoch als exsrv.domain2.de konfiguriert und hat sich selbst ein Zertifikat für exsrv.domain2.de ausgestellt.
Wenn sich der Client nun via mail.domain.com beim Server anmeldet, bekommt der User eine Zertifikatswarnung, da der authentifizierende Server (in diesem Fall dann exsrv.domain2.com) nicht mit dem Zertifikat (*.domain.com) übereinstimmt. Wenn der Benutzer das akzeptiert, kann er auch normal arbeiten, leider kommt diese Meldung jedoch immer wieder und nervt die User.
Leider habe ich noch keinen Weg gefunden, dem Ex-Server auf das Wildcard-Zertifikat zu ändern oder ähnliches.
Da Zertifikate auch nicht zu meinen Steckenpferden gehört, wollte ich mal das Forum befragen, was euch dazu einfällt.
Vielen Dank im Voraus.
basst
Für die domain.com gibt es auch ein Wildcard Zertifikat.
Der Server ist im ActiveDirectory jedoch als exsrv.domain2.de konfiguriert und hat sich selbst ein Zertifikat für exsrv.domain2.de ausgestellt.
Wenn sich der Client nun via mail.domain.com beim Server anmeldet, bekommt der User eine Zertifikatswarnung, da der authentifizierende Server (in diesem Fall dann exsrv.domain2.com) nicht mit dem Zertifikat (*.domain.com) übereinstimmt. Wenn der Benutzer das akzeptiert, kann er auch normal arbeiten, leider kommt diese Meldung jedoch immer wieder und nervt die User.
Leider habe ich noch keinen Weg gefunden, dem Ex-Server auf das Wildcard-Zertifikat zu ändern oder ähnliches.
Da Zertifikate auch nicht zu meinen Steckenpferden gehört, wollte ich mal das Forum befragen, was euch dazu einfällt.
Vielen Dank im Voraus.
basst
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105189
Url: https://administrator.de/contentid/105189
Printed on: April 23, 2024 at 12:04 o'clock
2 Comments
Latest comment
Hi,
das wird so auch nicht funktionieren. Verstehe ich das richtig dass Ihr direkt aus dem Internet ins LAN auf den Exchange zugreift?
Würd ich lieber nicht machen.
Lösungsansatz1:
ISA Server als Firewall einsetzen oder, sofern schon andere Firewall vorhanden, ISA in die DMZ stellen. Dort kannst Du dann das *.domain.com Zertifikat installieren. Dann von dort auf den internen Exchnange auf exsrv.domain2.com; dann passt auch die Zertifikatskette.
Zweiter Ansatz:
Exchange 2007 Edge-Server in die DMZ mit dem Zert *.domain.com; der kennt dann seinen internen Server.
Beide Ansätze erhöhen die Sicherheit und lösen Dein Zert-Problem.
Gruss
Randy
das wird so auch nicht funktionieren. Verstehe ich das richtig dass Ihr direkt aus dem Internet ins LAN auf den Exchange zugreift?
Würd ich lieber nicht machen.
Lösungsansatz1:
ISA Server als Firewall einsetzen oder, sofern schon andere Firewall vorhanden, ISA in die DMZ stellen. Dort kannst Du dann das *.domain.com Zertifikat installieren. Dann von dort auf den internen Exchnange auf exsrv.domain2.com; dann passt auch die Zertifikatskette.
Zweiter Ansatz:
Exchange 2007 Edge-Server in die DMZ mit dem Zert *.domain.com; der kennt dann seinen internen Server.
Beide Ansätze erhöhen die Sicherheit und lösen Dein Zert-Problem.
Gruss
Randy
Ich würde das fragliche Zertifikat exportieren und am DC zu den vertrauenswürdigen Zertifikaten als Teil einer Zertifikatsvertrauensliste hinzufügen (bei "Organisationsvertrauen" unterhalb von GPO-Comp. - Konfig. - Sicherheitseinstellungen Richtlinien öffentlicher Schlüssel ) welches dann für alle Clients gilt.
