2
Exchange 2007 - Zertifkatswarnung bei WAN und LAN Zugriff auf den Server
Clients melden sich bspw. via WAN an mail.domain.com beim dort erreichbaren Exchange Server.
Für die domain.com gibt es auch ein Wildcard Zertifikat.
Der Server ist im ActiveDirectory jedoch als exsrv.domain2.de konfiguriert und hat sich selbst ein Zertifikat für exsrv.domain2.de ausgestellt.
Wenn sich der Client nun via mail.domain.com beim Server anmeldet, bekommt der User eine Zertifikatswarnung, da der authentifizierende Server (in diesem Fall dann exsrv.domain2.com) nicht mit dem Zertifikat (*.domain.com) übereinstimmt. Wenn der Benutzer das akzeptiert, kann er auch normal arbeiten, leider kommt diese Meldung jedoch immer wieder und nervt die User.
Leider habe ich noch keinen Weg gefunden, dem Ex-Server auf das Wildcard-Zertifikat zu ändern oder ähnliches.
Da Zertifikate auch nicht zu meinen Steckenpferden gehört, wollte ich mal das Forum befragen, was euch dazu einfällt.
Vielen Dank im Voraus.
basst
Für die domain.com gibt es auch ein Wildcard Zertifikat.
Der Server ist im ActiveDirectory jedoch als exsrv.domain2.de konfiguriert und hat sich selbst ein Zertifikat für exsrv.domain2.de ausgestellt.
Wenn sich der Client nun via mail.domain.com beim Server anmeldet, bekommt der User eine Zertifikatswarnung, da der authentifizierende Server (in diesem Fall dann exsrv.domain2.com) nicht mit dem Zertifikat (*.domain.com) übereinstimmt. Wenn der Benutzer das akzeptiert, kann er auch normal arbeiten, leider kommt diese Meldung jedoch immer wieder und nervt die User.
Leider habe ich noch keinen Weg gefunden, dem Ex-Server auf das Wildcard-Zertifikat zu ändern oder ähnliches.
Da Zertifikate auch nicht zu meinen Steckenpferden gehört, wollte ich mal das Forum befragen, was euch dazu einfällt.
Vielen Dank im Voraus.
basst
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105189
Url: https://administrator.de/contentid/105189
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Hi,
das wird so auch nicht funktionieren. Verstehe ich das richtig dass Ihr direkt aus dem Internet ins LAN auf den Exchange zugreift?
Würd ich lieber nicht machen.
Lösungsansatz1:
ISA Server als Firewall einsetzen oder, sofern schon andere Firewall vorhanden, ISA in die DMZ stellen. Dort kannst Du dann das *.domain.com Zertifikat installieren. Dann von dort auf den internen Exchnange auf exsrv.domain2.com; dann passt auch die Zertifikatskette.
Zweiter Ansatz:
Exchange 2007 Edge-Server in die DMZ mit dem Zert *.domain.com; der kennt dann seinen internen Server.
Beide Ansätze erhöhen die Sicherheit und lösen Dein Zert-Problem.
Gruss
Randy
das wird so auch nicht funktionieren. Verstehe ich das richtig dass Ihr direkt aus dem Internet ins LAN auf den Exchange zugreift?
Würd ich lieber nicht machen.
Lösungsansatz1:
ISA Server als Firewall einsetzen oder, sofern schon andere Firewall vorhanden, ISA in die DMZ stellen. Dort kannst Du dann das *.domain.com Zertifikat installieren. Dann von dort auf den internen Exchnange auf exsrv.domain2.com; dann passt auch die Zertifikatskette.
Zweiter Ansatz:
Exchange 2007 Edge-Server in die DMZ mit dem Zert *.domain.com; der kennt dann seinen internen Server.
Beide Ansätze erhöhen die Sicherheit und lösen Dein Zert-Problem.
Gruss
Randy
Ich würde das fragliche Zertifikat exportieren und am DC zu den vertrauenswürdigen Zertifikaten als Teil einer Zertifikatsvertrauensliste hinzufügen (bei "Organisationsvertrauen" unterhalb von GPO-Comp. - Konfig. - Sicherheitseinstellungen Richtlinien öffentlicher Schlüssel ) welches dann für alle Clients gilt.
