derinderinderin
Goto Top

Exchange 2010 - Outlook Anywhere - Zertifikat

Hallo Zusammen,

Ich habe mich hier und in anderen diversen Foren durch das Thema durchgeackert aber ich komm einfach nicht zum erfolg.

Ziel soll es sein, die Outlook Clients ober Outlook Anywhere anzubinden und Zertifikate ordentlich zu verteilen.

Zur Infrastruktur erstmal:

Exchange Server 2010 auf Windows 2008 R2 Server <--> Firewall Sophos (SMTP Mailer über Smarthost) <--> ISP (Feste IP Adresse) <--> Domain & Email Hoster (www.unseredomain.de)
DomänenController Windows 2012 Server + Zertifizierungsstelle

Die FesteIP wird über die Sophos Firewall mit den Ports von https:und http: an den Exchangeserver weitergeleitet.

Ein neues Zertifikat habe ich nach dieser Anleitung erstellt und ausgestellt:
http://www.frankysweb.de/exchange-2010-san-zertifikat-und-interne-zerti ...

Bei der Anlage desZertifikat habe ich folgende Alternativnamen angelegt:
*Namen und IP habe ich natürlich hier erstetzt.

DNS-Name: servername.egkg.local
DNS-Name: mail.unseredomain.de
DNS-Name: outlook.unseredomain.de
DNS-Name: autodiscover.unseredomäne.local
DNS-Name: autodiscover.unseredomain.de
DNS-Name: servername
DNS-Name: 123.123.123.123

Derzeit komme ich auch ohne Probleme auf unser Outlook OWA in dem ich z.B.
https://unsere.feste.ip.adresse/owa
eingebe.

Zur Zeit erscheint die Warnmeldung mit dem nicht vertrauenswürdigen Zertifikat:
Dieser Server konnte nicht beweisen, dass er unsere.feste.ip.adresse ist. Sein Sicherheitszertifikat wird vom Betriebssystem Ihres Geräts als nicht vertrauenswürdig eingestuft. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der Ihre Verbindung abfängt.

Auch wenn ich das Zertifikat auf dem aufrufenden Rechner installiere... Zertifikatsmeldung erscheint weiterhin.
Aus dem Lokalen Netzwerk erscheint keine Warnung.

Sonst habe ich mich nicht weiter mit Outlook Anywhere beschäftig, da ein Zertifikat dafür voraussetzung ist?

Die Frage ist, warum kann sich der Server nicht entsprechend ausweisen?
Die Feste IP müsste doch auf jeden fall gehen?

Unterm Strich: Was mache ich falsch face-wink

Bin für jede Anleitung/Info sehr dankbar!

gruß
derinderinderin

Content-ID: 262929

Url: https://administrator.de/forum/exchange-2010-outlook-anywhere-zertifikat-262929.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

Axel90
Axel90 10.02.2015 aktualisiert um 15:53:39 Uhr
Goto Top
Hi,

Hast du Outlook Anywhere aktiviert?
Du hast geschrieben, dass du auf https://unsere.feste.ip.adresse/owa kommst, probierst du das von intern oder wirklich von extern?
Hast du in Outlook das Postfach mit den erweiterten Einstellungen konfiguriert?
Hast du auf den Clients das Rootzertifikat installiert?
derinderinderin
derinderinderin 10.02.2015 aktualisiert um 17:20:54 Uhr
Goto Top
Hi Axel,

Gerade ist Outlook Anywhere deaktiviert in der Verwaltungskonsole, ich dachte ich bekomme erstmal das
Zertifikat in den Griff.

Ich versuche diesen Zugriff wirklich von Extern, wie zum Beispiel gerade von mir Zuhause face-wink also ich gebe die Feste IP des ISP (Telekom) an.
Meldung von Firefox z.B. wie im ersten Post beschrieben. NET::ERR_CERT_AUTHORITY_INVALID
Das Serverzertifikat stimmt nicht mit der URL überein. Das Zertifikat ist nicht Vertrausenwürdig.

In den Details wird auch mein Neues Zertifikat angezeigt. Ich sehe wann es erstellt wurde, wann es abläuft etc...

Wie gesagt, ein Client habe ich jetzt noch nicht komplett konfiguriert, da ich davon ausgegangen ist, das ein Zugriff ohne Zertifikatsfehler voraussetzung ist?

Das Rootzertifikat wäre das, das ich mir über die Anleitung erstellt und in dem Exchange hinterlegt habe? Das Zertifikat lasse ich intern über eine
GPO verteilen. Auf dem Rechner hier zuhause müsste ich es doch auch nur vom Exchange exportieren und hier installieren?

Danke schon mal für deine Antwort
Axel90
Lösung Axel90 10.02.2015, aktualisiert am 17.02.2015 um 09:13:59 Uhr
Goto Top
Hi,

also wenn ich per Browser auf unsere OWA Seite gehe, musste ich beim ersten Mal eine Ausnahmebestätigung hinzufügen.

Die Meldung, dass das Zertifikat nicht vertrauenswürdig ist, bekommst du - wenn ich richtig liege - immer, da das ja nur ein selbst signiertes Zertifkat ist, und keines von einer öffentlichen Zertifizierungsstelle.

Ich würde anfangen, diese Anleitung durchzuarbeiten:
http://www.frankysweb.de/exchange-2010-outlook-anywhere-konfigurieren-r ...
derinderinderin
derinderinderin 13.02.2015 um 11:32:05 Uhr
Goto Top
Hi,

Danke ich akker die Anweisung mal durch.
Kurze Frage zu diesem Bild

http://www.frankysweb.de/wp-content/uploads/2010/11/110110_2000_Exchang ...

Diese angegebene URL, muss die mit einer meiner subdomains übereinstimmen?
Kann ich dort auch die Feste IP angeben?

gruß
derinderinderin
derinderinderin 14.02.2015 um 10:09:28 Uhr
Goto Top
Hallo nochmal,

Ich habe nun folgendes Problem:

Ich habe einen Outlook 2007 Client entsprechend der Anleitung eingerichtet.
Dieser Funktioniert nun ohne Probleme per https Verbindung.

Jetzt teste ich die Sache gerade mit einem Outlook 2010 und 2013 Client.
Diese Melden jedoch folgende Fehler:

Nach der Anmeldeaufforderung kommt:

Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Das Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle.
Von Outlook kann keine Verbindung mit dem Proxyserver "xxxxxxxxx" hergestellt werden (Fehlercode 8)

Seltsamerweise wird mir dann ein Zertifikat angezeigt, welches ich nicht erstellt habe?! in den Details stehen die Zertifikatinformationen von unserem
Email & Webhosting anbieter?! (Meldung von autodiscover.unseredomain.de

Wird hier das falsche Zertifikat ausgeliefert? und Warum klappt der Office 2007 Client? :o
derinderinderin
derinderinderin 17.02.2015 um 09:13:37 Uhr
Goto Top
Okay. Problem gelöst.

Die Fehlermeldung ist ja eigentlich schon schlüssig, aber soweit hab ich leider doch nicht gedacht :D
Also:

Wir haben den Zertifikatsserver auf einem anderen Server.
D.h. Ich muss einmal den Aussteller des Zertifikates in die Vertrauenswürdigen Stammzertifikatsstellen hinzufügen, sowie den Exchangeserver mit der zu erreichenden externen Adresse.

Server A stellt das Zertifikat aus = CertSrv
Server B Exchange Zertifikat mit dem externen Hostnamen und gültigkeit.
Beide Zertifikate installiert und es funktioniert nun.

Erst hatte es nur auf dem einen Client funktioniert, da dieser mal in der Domäne war und das Zertifikat des CertSrv bereits hatte face-wink