chris1898
Goto Top

Exchange 2010 Sicherheitszertifikat stimmt nicht mit dem Namen überein

Hallo Community,

wie der Titel schon andeutet, haben wir ein Problem mit einem Sicherheitszertifikat unter Exchange 2010.

Nachstehend ein kurzer Überblick:

Exchange 2010 SP2 gehostet auf einem Windows Server 2008 R2 (physikalisch)
ca. 25 Clients mit Windows 7 und Outlook 2007

Diese Woche haben wir begonnen einen Exchange Server für eine unsere Außenstellen einzurichten. Dies hat soweit auch geklappt.

Allerdings scheitern wir nun beim Einrichten der Laptops für Exchange via https.

Wir haben beim Exchange eine Zertifikatsanforderung generiert, diese an den DC weitergegeben und via CertSrv abgeschlossen.
Anschließend wurde die Zertifikatsanforderung am Exchange erfolgreich abgeschlossen.
Nun taucht jedoch an jedem Client folgende Fehlermeldung auf:

"Der Name aus dem Sicherheitszertifikat ist ungültig, oder stimmt nicht mit dem Namen...."

Wir wissen, dass das Web voll von Lösungsansätzen zu diesem Thema ist, jedoch war für uns die richtige Lösung noch nicht dabei.

Wir scheitern an einem einfachen Grundgedanken.

Der Servername lautet Exchange.domain.local. Die URL welche im Outlook für Exchange via https eingetragen ist lautet jedoch unternehmen.no-ip.org.
Aus diesem Grund wurde das Zertifikat auch auf unternehmen.no-ip.org.
Somit ist mir also völlig klar dass diese Fehlermeldung auftaucht. Allerdings weiß ich auch nicht wie ich das Problem umgehen soll.

Kann man das Zertifikat nicht dediziert den Anfragen zuordnen die über Exchange via https rein kommen und die sich im LAN befindlichen Clients nutzen das Standardzertifikat?

Oder habe ich einen kompletten Denkfehler?

Wie löst ihr den Zugriff von Exchange via https im Zusammenhang mit Zertifikaten?

Eine mögliche Lösung die ich bereits gefunden habe wäre folgende:

http://www.it-dienstleistungen.de/ms-exchange-problem-servername-und-na ...

Allerdings habe ich Angst, dass dann die Clients im LAN nicht mehr auf den Exchange zugreifen können.

Bitte entschuldigt mein Kauderwelsch aber ich tue mir irgendwie schwer das Problem in Worte zu fassen.

Sollte noch Informationen benötigt werden, einfach fragen.

Vorab bereits vielen Dank.

Content-ID: 259523

Url: https://administrator.de/forum/exchange-2010-sicherheitszertifikat-stimmt-nicht-mit-dem-namen-ueberein-259523.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

kn0rki
kn0rki 11.01.2015 um 16:22:04 Uhr
Goto Top
Hallo,

Exchange hat immer eine interne URL (foo.bar.local oder was auch immer) und eine externe URL (fo.bar.de).
Bei der generierung des Zertifikates kannst du weitere Namen eingeben. Hier musst du einfach alle möglichen internen und externen Namen eintragen und das Zertifkat neu erstellen. Das geht ja sehr einfach über den Assistenten innerhalb des Exchange 2010 Servers.
Chris1898
Chris1898 11.01.2015 um 16:44:12 Uhr
Goto Top
Vielen Dank für die schnelle Antwort,

habe nun wie von dir beschrieben ein neues Zertifikat erstellt. Die Clients im LAN meckern schonmal nicht mehr face-smile

Einen Laptop eines Außendienstmitarbeiters bekomme ich jedoch erst morgen wieder in die Hand.

Ich gebe dann nochmal Bescheid.

Liebe Grüße
kn0rki
kn0rki 11.01.2015 um 16:59:08 Uhr
Goto Top
Die merken das auch nur beim ersten starten nach dem Windows Start.

Das sogenannte (OAB) Offline Address Book wird naemlich via https vom Server geladen und dabei entsteht bei einem falsch eben diese entsprechende Meldung.
colinardo
colinardo 11.01.2015 aktualisiert um 18:40:14 Uhr
Goto Top
Hallo Chris1898,
zu erwähnen sei noch das speziell nur Outlook 2007 hier eine Eigenheit mit dem Zertifikat besitzt. Für Outlook 2007 sollte die Hauptdomain die man für eine Verbindung von Outlook zum Exchange von extern nutzt (in deinem Fall unternehmen.no-ip.org) als CN (Common-Name) gesetzt sein, denn Outlook 2007 hat hier oft Schwierigkeiten wenn die Domain nur im Subject Alternative Name auftaucht.

Das nur als Info falls du Probleme haben solltest Outlook 2007 Clients von extern zu verbinden. Outlook 2010 besitzt das Problem hingegen nicht mehr.

Grüße Uwe