bergmanncm
Goto Top

Clients kriegen ein falsches Zertifikat

Hallo,
ich bin neu hier im Forum und habe auch gleich eine Frage.
Wir haben folgendes Problem. Outlook wirft nach dem Start einen Sicherheitshinweis aus:
3552100c1ec42c67b334662b0621ebd9

Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
32e968cbcfc9c4155c128a4133808dd7
7bb2811e8bb9fab538d4ad547178e2c7
860e6043a0c8141ed7a19db373d2fc9c

Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt. Hier nochmal der Autokonfigurations-Test:
a2286d60ba65a8fbac73790567e8b614
84948de0ca27233111cb9c833bc6313c
Und hier ein Screenshot der MX-Records:
5b0a647eb108c91bcdf2cd60d147d411

Für eine Lösung oder ein Tipp wäre ich sehr dankbar.

Hier noch ein paar Hintergrund Informationen:
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Outlook wird in den Versionen 2007 und 2010 verwendet.

Gruß
Waldemar

Content-ID: 204582

Url: https://administrator.de/contentid/204582

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

bennnib
bennnib 08.04.2013 um 09:46:21 Uhr
Goto Top
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?
keine-ahnung
keine-ahnung 08.04.2013 um 10:11:20 Uhr
Goto Top
Zitat von @BergmannCM:
Hi,
Das „Falsche“ Zertifikat kommt anscheinend von unseren Hoster.
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?

Nun stellt sich uns die Frage von wo Outlook das Flasche Zertifikat bekommt.
Flasche leer?
Benutzt wird ein Windows SBS-Server 2011 + Exchange 2010
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?

Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?

LG, Thomas
BergmannCM
BergmannCM 08.04.2013 um 10:24:31 Uhr
Goto Top
Zitat von @bennnib:
Wie siehts denn mit den Bindungen des Zertifikats aus? Im IIS oder unter
Exchange-Verwaltungskonsole -> Serverkonfiguration -> Exchange-Zertifikate.
Sind dort die Dienste für SMTP und IIS auf deinem Zertifikat?

Wie es aussieht sind die Dienste drauf.
3ffe9a1a35fc816aa766e52d5b99fc0e
BergmannCM
BergmannCM 08.04.2013 um 10:49:57 Uhr
Goto Top
Zitat von @BergmannCM:
Ihr müsst doch wissen, ob Euch Euer Hoster ein Zertifikat zur Verfügung stellt? Habt Ihr das gekauft?
Das müsste eigentlich doch egal sein. Der Client soll ja nur das Zertifikat vom Server und nicht vom Hoster nehmen.
Ihr habt auf einen SBS2011 noch einen Exchange draufgebügelt?
Nein, selbstverständlich enthält der "Windows Small Buisness Server 2011" den "Exchange Server 2010 SP1".
Seit wann läuft der SBS? Hat der "Installateur" ein wenig Ahnung davon gehabt?
Der Server läuft seit November 2012 und der "Installateur" hatte eine Schulung für den SBS 2003 gemacht. Er kennt sich nicht so gut mit Zertifikaten aus.
Ausserwoeger
Ausserwoeger 08.04.2013 um 10:56:05 Uhr
Goto Top
Hi

Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?

Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.

Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.

Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.

Es gibt also mehrere möglichkeiten das zu unterbinden.

1.) Erstelle ein Multidomain Zertifikat das für beide Domain gültig ist intern und extern. Das kannst du einfach in der Exchnage console beantragen und dir selbst Freischalten indem du es genemigst. http://servername/certsrv im IE eingeben und Freischalten.

2.) Ein Öffenliches Multidomain Zertifikat kaufen und einbinden.

3.) Das Zertifikat für die Externe Domain lassen und bei den Internen Outlook clients den Hacken für die Verbindung über HTTPs herausnehmen.

LG Andy
BergmannCM
BergmannCM 08.04.2013 um 11:29:55 Uhr
Goto Top
Zitat von @Ausserwoeger:
Hi

Eine Frage welches Outlook macht den die Fehlermeldung, nur Interne clients die über LAN mit dem Server komunizieren oder
Externe Clients die über das Internet (autodiscover) mit dem Server verbunden sind ?

Es steht ja gleich am ersten bild was hier am zertifikat nicht passt. Der Name stimmt nicht überein.

Beispiel: Ich habe eine Interne Domain: Test.intern und eine Externe Domain test.extern. Ich erstelle mir ein SSL Zertifikat
für meinen OWA zugang und gebe den Namen der Externen Domain an also. test.extern.

Wenn jetzt ein Client von intern eine verbindung aufbauen will kommt er über die Domain test.intern zum Server da er ja im
Lan hängt. Was macht also der Client ? Er sagt das Zertifikat kann nicht stimmen den ich bin nicht die Domain test.extern.

Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch "*.your-server.de"
Ausserwoeger
Ausserwoeger 08.04.2013 um 11:36:46 Uhr
Goto Top
Zitat von @BergmannCM:
Hallo Andy,
die Clients sind nur Intern angebunden. In den Einstellungen von Outlook ist die https Verbindung auch deaktiviert.
wenn die Interne Domäne test.local heißt und die Externe Domäne test.de dann steht im Zertifikat immer noch
"*.your-server.de"

Hi

Sei mir nicht böse aber wenn Https auf den clients deaktiviert ist warum suchen sie dann über autodiscover (Https) eine verbindung zum Server.

Dann würde ich sagen du änderst das indem du überprüftst ob der Autodiscover eintrag auf deinen Server also auf deine Externe IP zeigt und er auch deinen Server kontaktieren will und nicht den des Hosters.

Dann würde ich das Zertifikat überprüfen das im Exchange aktiv ist. Ist es gültig ? Ist es richtig ausgestellt ?

LG Andy
keine-ahnung
keine-ahnung 08.04.2013 um 12:10:09 Uhr
Goto Top
Moin nochmal,

die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen Motivation, installiert haben)??

LG, Thomas
Ausserwoeger
Ausserwoeger 08.04.2013 um 12:24:09 Uhr
Goto Top
Zitat von @keine-ahnung:
Moin nochmal,

die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
Motivation, installiert haben)??

LG, Thomas

Hi

Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem Zertifikat meldet.

Der Autodiscovertest kann somit auch nicht funktionieren.

LG Andy
BergmannCM
BergmannCM 08.04.2013 um 13:59:05 Uhr
Goto Top
Zitat von @Ausserwoeger:
> Zitat von @keine-ahnung:
> ----
> Moin nochmal,
>
> die Gretchenfrage ist doch ersteinmal: Wo kommt das Zertifikat her (jemand muss es doch, vermutlich auch mit einer gewissen
> Motivation, installiert haben)??
>
> LG, Thomas

Hi

Meistens der Internet anbieter oder der Domainhoster. Allerdings wissen ja beide nicht ob du einen Exchnageserver hast also gehen
sie davon aus das sie Autodiscover übernehmen müssen. Deswegen denke ich auch das sich ein Server des Hosters mit diesem
Zertifikat meldet.

Der Autodiscovertest kann somit auch nicht funktionieren.

LG Andy

Das ist ein guter Ansatz. Dafür sind aber die MX-Records da um diese Anfrage umzuleiten. In dem rot markierten Bereich sieht man das alle Anfragen die "mail.domäne.de" heißen, an die feste IP-Adresse des Exchange-Servers weitergeleitet werden.
313809c63f490cd313e5c16df0dcf275
No.INI
Lösung No.INI 17.01.2014, aktualisiert am 21.01.2014 um 02:10:46 Uhr
Goto Top
Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche Problem...

Grüße

FMS
BergmannCM
BergmannCM 21.01.2014 um 02:16:01 Uhr
Goto Top
Zitat von @No.INI:

Schade, dass da offensichtlich keine Lösung gefunden wurde, denn ich habe so ziemlich (wenn auch nicht ganz) das gleiche
Problem...

Grüße

FMS

Hallo FMS,

ich habe damals keine richtige Lösung zum Problem gefunden. Es gibt aber eine Lösung die lediglich die Fehlermeldung ausblendet. Da unser Kunde eine sofortige Lösung haben wollte, haben wir den Fehler auf diese Art kaschiert:

http://www.hosting-hilfe.eu/index.php?title=SSL_Fehler_Exchange

Ich denke es hat was mit den MX-Records zu tuen. Falls du auf ne Lösung kommst, kannst du diese ja hier reinschreiben.
Ausserwoeger
Ausserwoeger 21.01.2014 aktualisiert um 10:19:02 Uhr
Goto Top
Hi

Warum es gibt doch eine Lösung einfach ein multidomain Zertifikat erstellen oder Kaufen. Meine 30 Kunden mit SBS Servern haben das Problem auch nicht.

Wenn der DNS Richtig konfiguriert ist und die Zertifikate passen gibt es auch keine Meldung

LG