14
Exchange 2007 RPC over HTTPS, SSL Zertifikat
Hi Leute,
ich habe eine Microsoft 2008SBS mit Exchange 2007 drauf und wollte nun RPC over HTTPS konfigurieren, habe dafür diese http://www.msxfaq.de/clients/rpchttp.htm Anleitung zu rate gezogen und alles soweit eingestellt. Ich habe kein gekauftes SSL Zertifikat, sondern nur das "normale" von Exchange, wenn ich nun das OWA über https aufrufe kommt immer die Meldung das das Zertifikat ungültig ist, auch wenn ich die Seite als vertrauenswürdig hinzufüge und das Zertifikat installiere. Die Meldung kommt dann immer noch.
Wenn ich auf dieser https://www.testexchangeconnectivity.com Seite den " Microsoft Office Outlook 2003 RPC/HTTP Connectivity Test" ausführe, kommt als Ergebnis das er das SSL Zertifikat nicht verifizieren kann. Wie kann ich das Zertifikat als "vertrauenswürdig" kennzeichnen? Dadurch das ich kein gültiges Zertifikat habe, geht (wahrscheinlich) auch die Verbindung vom Outlook zum Exchange nicht. Kann mir jemand weiterhelfen? Was gibt es noch bei RPC over HTTPS zu beachten?
Grüße ckbaxter
ich habe eine Microsoft 2008SBS mit Exchange 2007 drauf und wollte nun RPC over HTTPS konfigurieren, habe dafür diese http://www.msxfaq.de/clients/rpchttp.htm Anleitung zu rate gezogen und alles soweit eingestellt. Ich habe kein gekauftes SSL Zertifikat, sondern nur das "normale" von Exchange, wenn ich nun das OWA über https aufrufe kommt immer die Meldung das das Zertifikat ungültig ist, auch wenn ich die Seite als vertrauenswürdig hinzufüge und das Zertifikat installiere. Die Meldung kommt dann immer noch.
Wenn ich auf dieser https://www.testexchangeconnectivity.com Seite den " Microsoft Office Outlook 2003 RPC/HTTP Connectivity Test" ausführe, kommt als Ergebnis das er das SSL Zertifikat nicht verifizieren kann. Wie kann ich das Zertifikat als "vertrauenswürdig" kennzeichnen? Dadurch das ich kein gültiges Zertifikat habe, geht (wahrscheinlich) auch die Verbindung vom Outlook zum Exchange nicht. Kann mir jemand weiterhelfen? Was gibt es noch bei RPC over HTTPS zu beachten?
Grüße ckbaxter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114542
Url: https://administrator.de/contentid/114542
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
herrausgeber unter vertrauenswürde zertifikate auch eingetragen in IE?
Ich kenne das Cert nicht und SBS is sowieso absoluter Sh** - aber wenn das Cert keine Certificate Chain zur Root CA hat bzw. der Client dadurch nicht feststellen kann das es getrusted ist - is es nat. als nicht vertrauenswürdig Eingestuft - da helfen auch die Security Zones nichts im Browser.
Du kannst das Cert aber einfach deiner RootCA des Users/Computers hinzufügen auf dem lokalen Client dann sagst du deinem Browser somit auch das ihm vertraut wird und die Meldung ist weg.
Gekaufte Certs sind halt so teuer weil Ihnen die leute trauen weil Sie von einer getrusteten Certificate Authority kommen.
Sollte aber die Funktionalität nicht einschränken - ist natürlich weniger Sicher - wenn du ein eigenes Zert benutzt.
DU kannst selbst eins über eine eigene CA im Netz ausstellen der getraut wird wo die Cert Chain auflösbar ist.
Oder du setzt es eben als Root Cert zur lokalen Root CA dann hast du die Meldung auch weg.
Gruß,
Flow
Du kannst das Cert aber einfach deiner RootCA des Users/Computers hinzufügen auf dem lokalen Client dann sagst du deinem Browser somit auch das ihm vertraut wird und die Meldung ist weg.
Gekaufte Certs sind halt so teuer weil Ihnen die leute trauen weil Sie von einer getrusteten Certificate Authority kommen.
Sollte aber die Funktionalität nicht einschränken - ist natürlich weniger Sicher - wenn du ein eigenes Zert benutzt.
DU kannst selbst eins über eine eigene CA im Netz ausstellen der getraut wird wo die Cert Chain auflösbar ist.
Oder du setzt es eben als Root Cert zur lokalen Root CA dann hast du die Meldung auch weg.
Gruß,
Flow
Du kannst das Cert aber einfach deiner RootCA des Users/Computers
hinzufügen auf dem lokalen Client dann sagst du deinem Browser
somit auch das ihm vertraut wird und die Meldung ist weg.
hinzufügen auf dem lokalen Client dann sagst du deinem Browser
somit auch das ihm vertraut wird und die Meldung ist weg.
Hi Danke für die Antwort,
kannst du mir kurz erklären wie ich das anstelle, über die gpedit.msc?
DU kannst selbst eins über eine eigene CA im Netz ausstellen der getraut wird wo die Cert Chain auflösbar ist.
Oder du setzt es eben als Root Cert zur lokalen Root CA dann hast du die Meldung auch weg.
Oder du setzt es eben als Root Cert zur lokalen Root CA dann hast du die Meldung auch weg.
Und wie würde das gehen? Hab bis jetzt noch nie was mit Zertifikaten gemacht.
herrausgeber unter vertrauenswürde zertifikate auch eingetragen in IE?
Ja ist auf dem Client eingetragen, aber der Browser sagt halt trotzdem noch das es nicht sicher ist, aber das kommt ja daher das er das Zertifikat, bei keiner Zertifizierungsstelle überprüfen kann.
Wenn du das SSL Zertifikat im IIS Manager eingerichtet hast und auf den CN vergeben, auf welchen deine Anwender später zugreifen sollen, dann öffnest du am Client den IE und gibst https://servername.domain.xyz/certsrv ein.
Das Zertifikat bestitzt du noch nicht, deswegen öffnest du die Seite trotz der Sicherheitswarnung.
Authentifizierst dich durch Eingabe von Benutzer und Passwort und forderst das Zertifikat von deiner Internen Zertifikatsstelle an.
Dieses Zertifikat installierst du und achtest darauf, dass die Seite im IE als vertrauenswürdig eingestuft ist.
Nun steht dein Zertifikat im IE unter "Eigenschaften - Inhalte - Zertifikat" -> Eigene Zertifikate
Nun musst du deine Interne Zertifikatsstelle noch zu den vertrauenswürdigen Stammzertifizierungsstellen hinzufügen.
Das kannst du tun, indem du noch einmal den /certsrv im IE aufrufst und das Stammzertifizierungszertifikat anforderst. Du speichert dieses Zertifikat und importierst es im IE unter Vertraunswürde Stammzertifizierungsstellen.
Das Zertifikat bestitzt du noch nicht, deswegen öffnest du die Seite trotz der Sicherheitswarnung.
Authentifizierst dich durch Eingabe von Benutzer und Passwort und forderst das Zertifikat von deiner Internen Zertifikatsstelle an.
Dieses Zertifikat installierst du und achtest darauf, dass die Seite im IE als vertrauenswürdig eingestuft ist.
Nun steht dein Zertifikat im IE unter "Eigenschaften - Inhalte - Zertifikat" -> Eigene Zertifikate
Nun musst du deine Interne Zertifikatsstelle noch zu den vertrauenswürdigen Stammzertifizierungsstellen hinzufügen.
Das kannst du tun, indem du noch einmal den /certsrv im IE aufrufst und das Stammzertifizierungszertifikat anforderst. Du speichert dieses Zertifikat und importierst es im IE unter Vertraunswürde Stammzertifizierungsstellen.
Zitat von @ollembyssan:
Wenn du das SSL Zertifikat im IIS Manager eingerichtet hast und auf
den CN vergeben,
Wenn du das SSL Zertifikat im IIS Manager eingerichtet hast und auf
den CN vergeben,
Was ist damit gemeint? Sry wenn ich mich gerade so doof anstelle, kannst du mir vllt Schritt für Schritt erklären wie ich das SSL Zertifikat erstelle und auf den CN vergebe?
Den REst von den Text hab ich verstanden und klingt auch logisch, aber ich glaub ich hab noch Fehler im SSL Zertifikat...
Ich hab auch schon die Zertifikate über certsrv installiert und die stehen jetzt auch im IE unter eigene Zertifikate.
Bei den Zertifikat steht auch Ausgestellt für: testbenutzer und Ausgestellt von: test.test.local-CA.
Erstmal vielen Dank das mir so gute Hilfe leistet
P.S.: das Zertifikat von https://diedomain.de/rpc wird von test.test.local-CA ausgestellt, das is ja soweit richtig und diese Stelle is auch in den Vertrauten Stammzertifikatsstellen drin, aber bei Antragsstelle steht remote.test.local, da müsste aber eigentlich dann mein Benutzer stehen oder? ICh glaube da liegt das Problem, kann das sein? Wie stelle ich denn ein das bestimmte Benutzerzertifikate bzw Benutzer auf https://diedomain.de/rpc zugreifen können?
Guggst du hier 
Gruß,
Ole
Gruß,
Ole
Installiert ist er doch schon, aber trotz befolgen deiner Schritte aus dem Beitrag davor, kommt immer noch der Zertifikatsfehler wenn ich z.B. https://diedomain.de/rpc aufrufe..
Im IIS Manager stehen auch schon insgesamt 6 Zertifikate standardmäßig drin, muss ich da was ändern?
Mit certsrv kann ich ja nur Benutzerzertifikate anfordern das klappt ja auch einwandfrei, aber wenn ich https://diedomain.de/rpc gehe und mir das Zertifikat angucke steht "Dieses Zertifikat ist für folgende Zwecke beabsichtig: Garantiert die Identität eines Remotecomputers". Das is doch falsch?
Im mein Beitrag zuvor hab ich ja auch geschrieben was wahrscheinlich noch mein Problem ist.
Hast du das Zertifikat auf den richtigen CN ausgegeben?
Wenn du OWA über " https://owa.mydomain.local " aufrufst, dann musst du auch das Zertifikat auf den CN " owa.mydomain.local " erstellen!
Hast du das Zertifikat den "Vertrauenswürdigen Stammzertifizierungsstellen" im IE am Client importiert?
Das mit dem "Garantiert die Indendität des Remotecomputers" ist schon richtig, das Zertifikat ist für mehrere Zwecke!
Wenn du dir ds Zertifikat unter Zertifikatvorlagen in deiner Zertifizierungsstelle anschaust, dann steht da folgendes:
Zertifikatszwecke:
-Clientauthentifizierung
-Sichere E-Mails
-Verschlüsselndes Dateisystem
Wenn du OWA über " https://owa.mydomain.local " aufrufst, dann musst du auch das Zertifikat auf den CN " owa.mydomain.local " erstellen!
Hast du das Zertifikat den "Vertrauenswürdigen Stammzertifizierungsstellen" im IE am Client importiert?
Das mit dem "Garantiert die Indendität des Remotecomputers" ist schon richtig, das Zertifikat ist für mehrere Zwecke!
Wenn du dir ds Zertifikat unter Zertifikatvorlagen in deiner Zertifizierungsstelle anschaust, dann steht da folgendes:
Zertifikatszwecke:
-Clientauthentifizierung
-Sichere E-Mails
-Verschlüsselndes Dateisystem
Ja aber wenn ich das Zertifikat erstelle kann ich gar nit angeben welchen CN er nehmen soll.
Mein Server wird auch über dyndns angesteuert muss ich dann den CN angeben? oder den eigentlichen Servernamen, test.test.local/rpc?
meinst du das?
http://img17.imageshack.us/img17/4376/certlpt.jpg
Mein Server wird auch über dyndns angesteuert muss ich dann den CN angeben? oder den eigentlichen Servernamen, test.test.local/rpc?
meinst du das?
http://img17.imageshack.us/img17/4376/certlpt.jpg
Ich muss doch ein älteres Image aufsetzen, um das einmal selbst zu testen.
Werde mich dann melden ggf. als Anleitung posten!
Werde mich dann melden ggf. als Anleitung posten!
Hallo ckbaxter,
ich hoffe ich kann dir mit meinem HOWTO helfen 0_o
Gruß und schönen Sonntagabend noch
ich hoffe ich kann dir mit meinem HOWTO helfen 0_o
Gruß und schönen Sonntagabend noch
Vielen Dank, ich werde es morgen sofort so machen wie du es beschrieben hast Vielen Dank schon mal.
Hoffe es wird diesmal klappen.
Vielen Dank schon mal.Hoffe es wird diesmal klappen.
Es hat funktioniert, die Verbindung steht))))
Ein sehr großes Dankeschön an ollembyssan!!!!!
Grüße ckbaxter
))))Ein sehr großes Dankeschön an ollembyssan!!!!!
Grüße ckbaxter
Hi Leute, ich hole den Thread nochmal hoch, da ich Probleme bei RPC over HTTPS habe.
Kurze Vorgeschichte: Hatte einen Exchange 2003 am Laufen. Für diesen habe ich ein 3 Jahre lang gültiges Zertifikat von Thawte gekauft. Mit dem Server funktioniere sowohl OWA als auch Outlook over HTTPS.
Vor einiger Zeit habe ich meinen Exchange 2003 auf einen Exchange 2007 migriert. Das Zertifkat habe ich im IIS 7 importiert. OWA funktioniert auch tadellos mit gültigem Zertifikat.
Aber die Verbindun über HTTPS kommt nicht zustande. Leider bekomme ich von meinem Entfernten Outlook 2007 Client keine Rückmeldung was der Fehler ist, aber die Verbindung kommt nicht zustande.
Was mir aufgefallen ist,das Zertifikat ist ganz einfach auf folgende URL ausgestellt "testseite.de"
Wenn ich nun über einen Client im internen Netz Outlook starte, bekomme ich die FEhlermeldung "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein".
Hier gibt der Exchange 2007 sich nicht als "testseite.de" aus sondern mit seinem vollständigen Servernamen.
OWA ist mit der internen und externen URL auf den Zertifkatsnamen im Exchange konfiguriet.
Im Prinzip denke ich, dass der Fehler daran liegt, dass der Server sich nicht mit dem Zertifikatsnamen meldet sondern seinen eingen Servernamen ausgibt.
Liege ich mit der Annahme richtig? Was kann ich tun um mein RPC over HTTPS ans Rennen zu bekommen? Wäre dankbar für eure Hilfe.
Kurze Vorgeschichte: Hatte einen Exchange 2003 am Laufen. Für diesen habe ich ein 3 Jahre lang gültiges Zertifikat von Thawte gekauft. Mit dem Server funktioniere sowohl OWA als auch Outlook over HTTPS.
Vor einiger Zeit habe ich meinen Exchange 2003 auf einen Exchange 2007 migriert. Das Zertifkat habe ich im IIS 7 importiert. OWA funktioniert auch tadellos mit gültigem Zertifikat.
Aber die Verbindun über HTTPS kommt nicht zustande. Leider bekomme ich von meinem Entfernten Outlook 2007 Client keine Rückmeldung was der Fehler ist, aber die Verbindung kommt nicht zustande.
Was mir aufgefallen ist,das Zertifikat ist ganz einfach auf folgende URL ausgestellt "testseite.de"
Wenn ich nun über einen Client im internen Netz Outlook starte, bekomme ich die FEhlermeldung "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein".
Hier gibt der Exchange 2007 sich nicht als "testseite.de" aus sondern mit seinem vollständigen Servernamen.
OWA ist mit der internen und externen URL auf den Zertifkatsnamen im Exchange konfiguriet.
Im Prinzip denke ich, dass der Fehler daran liegt, dass der Server sich nicht mit dem Zertifikatsnamen meldet sondern seinen eingen Servernamen ausgibt.
Liege ich mit der Annahme richtig? Was kann ich tun um mein RPC over HTTPS ans Rennen zu bekommen? Wäre dankbar für eure Hilfe.
