gk3000
Goto Top

Exchange 2010 Webmail Zertifikat abgelaufen

In meiner Firma ist das Zertifikat für webmail abgelaufen, und mein Vorgänger hat keine Infos hinterlassen...

Hallo!

In der Exchange Verwaltungskonsole / Serverkonfiguration ist mein zertifikat für webmail abgelaufen. (Selbstsigniert=falsch)
a735ffddbc88ba28efea4236148a546a

Könnt ihr mir bei ein paar Fragen helfen?

- Das zertifikat betrifft webmail, wieso bekommen die outlook clients eine Fehlermeldung?
- Ich möchte das zertifikat erneuern, gehe ich recht in der annahme das ich mir ein ssl zertifikat kaufen muss, ich kann es nicht einfach verlängern? z.b. bei https://certificatesforexchange.com/
- Falls ich eines kaufe, genügt es das alte zu löschen und das neue anzulegen, muss ich dabei etwas beachten?

Danke für Eure Hilfe!

Content-ID: 181167

Url: https://administrator.de/forum/exchange-2010-webmail-zertifikat-abgelaufen-181167.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

Dani
Dani 28.02.2012 um 10:33:45 Uhr
Goto Top
Moin,
du hast die Frage eigentlich schon fast selbst beantwortet. Der Browser wirft dann eine Fehlermeldung aus, wenn im Zertifikat kein Außsteller definiert ist. Das Trifft nicht zu wenn du in deinem Netzwerk eine eigene (interne Zertifizierungsstelle) betreibst. Stellst du dort ein Zertifikat aus, werden alle Browser im LAN nicht mehr motzen. Grund dafür ist, dass die Zertifizierungstellenzertifikat automatisch auf allen Clients ausgerollt wird. Rufst du nun dein OWA von zu Hause aus auf, wirst du wiederum die Fehlermeldung erhalten.

Natürlich kannst unter https://certificatesforexchange.com/ ein neues Zertifikat kaufen... das ist einfach Geschmackssache. Wir nutzen ausschließlich Verisign. Einfach kaufen und auf dem Exchangeserver einspielen. Das Alte kannst danach noch löschen.


Grüße,
Dani
gk3000
gk3000 28.02.2012 um 10:41:58 Uhr
Goto Top
Hey, danke für die Schnelle antwort...

- Naja, was ich nicht verstehe das Outlook selbst eine Fehlermeldung bringt?

- Nun wir sind eine kleine Firma und die Versisign zertifikate sind halt sehr teuer, bei certificatesforexchange kostet es pro jahr 27 Euro...
Dani
Dani 28.02.2012 um 10:42:45 Uhr
Goto Top
Naja, was ich nicht verstehe das Outlook selbst eine Fehlermeldung bringt?
Nutzt ihr Outlook im RPC over HTTPS - Modus? Welche Outlookversion setzt ihr ein?
gk3000
gk3000 28.02.2012 um 10:54:01 Uhr
Goto Top
Ich bilde mir ein der Fehler kommt nur bei den W7+Outlook 2010 rechnern.
Ähm, rpc over https? wo kann ich das nachsehen?
Ausserwoeger
Ausserwoeger 28.02.2012 um 10:54:16 Uhr
Goto Top
Zitat von @Dani:
> Naja, was ich nicht verstehe das Outlook selbst eine Fehlermeldung bringt?
Nutzt ihr Outlook im RPC over HTTPS - Modus? Welche Outlookversion setzt ihr ein?


Wenn er Outlook 2010 einfach so installiert hat und sein exchange konto angelegt hat nutzt er die funktion da sie stanardmässig aktiv ist und man sie geziehlt abschalten muss.

PS: Du siehst das in den Kontoeigenschaften unter weitere einstellungen ! ist ein kleiner hacken face-smile
Wenn du dir aber ein multi Domain zertifikat kaufst musst du das nicht abschalten. Gibts bei Godaddy recht günstig und gut face-smile
Man muss nur die Interne und externe Maildomain in dem Zertifikat angeben.


LG
Dani
Dani 28.02.2012 um 10:57:13 Uhr
Goto Top
Kannst du hier nachlesen.


Grüße,
Dani
gk3000
gk3000 28.02.2012 um 11:10:24 Uhr
Goto Top
Wow danke Dani und Ausserwoeger!

ja, verbindung über exchange über http ist aktiviert, wenn die leute nur stand pc´s haben und ausschliesslich per owa zugreifen kann ich das daktivieren.

godaddy kostet ja auch ab 69 euro , oder sehe ich mir da was falsches an?
Dani
Dani 28.02.2012 um 11:13:14 Uhr
Goto Top
Dann schau mal in die Tabelle rein. face-smile
Ausserwoeger
Ausserwoeger 28.02.2012 um 11:16:23 Uhr
Goto Top
Ja richtig ! Also die 69€ sollten bei einer Firma schon drin sein. Wenn nicht musst du Self signed machen und dir selbst eines erstellen und das dann auf alle Geräte übertragen und installieren.

Der aufwand ist aber bei 69€ sinnlos.

LG
gk3000
gk3000 28.02.2012 um 11:20:51 Uhr
Goto Top
Okay, aber was ist dann der unterscheid zwischen dem 30 euro zertifikat von z.b. dani oder https://certificatesforexchange.com/ gegen das von godaddy?
Dani
Dani 28.02.2012 um 11:26:18 Uhr
Goto Top
Erstmal kostet der Name der CA auch ein bisschen Geld. Dann kommen folgende Faktoren dazu:
  • Laufzeit
  • Typ (Single Domain, Wildcard SSL
  • Domaininhaber validiert (Ja/Nein)
  • Höhe des Versichungsschutzes bei evtl. Schäden
  • Grüne Adresszeile im Browser
  • Detailierte Prüfung des Domaininhaber
  • Verschlüsselungsgrad


Grüße,
Dani
Ausserwoeger
Ausserwoeger 28.02.2012 um 11:30:51 Uhr
Goto Top
Zitat von @gk3000:
Okay, aber was ist dann der unterscheid zwischen dem 30 euro zertifikat von z.b. dani oder https://certificatesforexchange.com/
gegen das von godaddy?

Einfach ! Warum kostet den Verisign so viel ! Verisign ist auf jedem Handy und sogar in Kühlschränken die übers internet waren bestellen vorhanden. Damit ist dein zertifikat welteit auf jedem elektischen teil das eine webseite anzeigen kann gültig. (Ein Audi kostet hald mehr als ein Ford, das heisst aber nicht das dich der Ford nicht auch ans ziel bringt)

Ich will jetzt nicht sagen das das Zertifikat von Dani schlecht ist ich hab mit dem anbieter keine Erfahrungen. Aber bei godaddy weiss ich das jedes Handy egal welches das Zertifikat als gültig betrachtet und alles einwandfrei funktioniert.

PS: Mit einem kühlschrank hab ich das Zertifikat von Godaddy auch nicht nicht getestet.
PPS: Das von Dani stimmt natürlich auch zu 100% !!

Erstmal kostet der Name der CA auch ein bisschen Geld. Dann kommen folgende Faktoren dazu:

Laufzeit
Typ (Single Domain, Wildcard SSL
Domaininhaber validiert (Ja/Nein)
Höhe des Versichungsschutzes bei evtl. Schäden
Grüne Adresszeile im Browser
Detailierte Prüfung des Domaininhaber
Verschlüsselungsgrad


LG
gk3000
gk3000 28.02.2012 um 11:38:26 Uhr
Goto Top
Lol.

Nochmal danke, ich lern gerade so viel face-smile

- Wenn ich im Outlook verbindung mit Exchange über http herstellen deaktivere, dann funktioniert für diesen User dann webmail nicht mehr, oder?

- Okay, zu dem Godaddy (oder ähnlichen) mit multiple Domain. Da wir auch eine Webshop im nächsten Monat aufstellen wollen und dieses sowieso per ssl schützen wollen hab ich dann das exchange ssl + webshop ssl mit diesem abgedeckt?

- Wie funktioniert das für Exchange dann, bekomme ich eine Datei oder wie läuft das ab?

Sonst will ich euch nicht länger auf die Nerven gehen face-smile
Ausserwoeger
Ausserwoeger 28.02.2012 um 11:44:17 Uhr
Goto Top
Nein Webaccess get immer noch für den user nur sein outlook versucht nicht mehr sich auch über den webacess daten bzw. mails zu holen. Webmail musst du am Server selbst für den benutzer ausschalten.

Jo du musst im exchange die Anfrage eines zertifikats machen da bekommst du dann einen Code vom Exchnage den musst du dann auf der godaddy seite angeben genau wie domainnamen usw.
dann bekommst du ein Zertifikat zurück ! Was eigendlich nur ein Textfile ist. Das kopierst du in den Exchange und schon lauft alles was du möchtest mit dem Zertifikat.

LG
gk3000
gk3000 28.02.2012 um 12:00:47 Uhr
Goto Top
Cool.

Kannst du mir noch sagen ob ich mit dem Multiple domain ucc auch noch mein webshop auch schützen kann?
Dani
Dani 28.02.2012 um 12:03:09 Uhr
Goto Top
Solange die Domain gleich ist, kein Problem.
Eines solltest du aber wissen: Sollte dein Wildcard-Zerti geklaut werden kann sich jede Website als "Du" ausgeben.
Also den PrivateKey, etc.. sicher verwahren und mit Passwort schützen.


Grüße,
Dani
gk3000
gk3000 28.02.2012 um 12:04:19 Uhr
Goto Top
Übrigens, die Zertifikatswarnung in outlook kommt auch nach dem ich den zugriff per http abgeschaltet habe (und outlook neugestartet habe)
Ausserwoeger
Ausserwoeger 28.02.2012 um 12:53:11 Uhr
Goto Top
Zitat von @gk3000:
Übrigens, die Zertifikatswarnung in outlook kommt auch nach dem ich den zugriff per http abgeschaltet habe (und outlook
neugestartet habe)

Das kann sein weil deines ja abgelaufen ist und er im moment ja kein gültiges hat ! Sobald du ein neues im Exchange eingetragen hast egal ob gekauft oder Selbst erstellt ist die meldung dann weg.

LG
gk3000
gk3000 28.02.2012 um 12:57:38 Uhr
Goto Top
Okay, ich dachte die meldung ist dann so oder so weg wenn ich den haken rausmache..

das noch:
Kannst du mir noch sagen ob ich mit dem Multiple domain ucc auch noch mein webshop auch schützen kann?
Ausserwoeger
Ausserwoeger 28.02.2012 um 13:05:47 Uhr
Goto Top
Zitat von @Dani:
Solange die Domain gleich ist, kein Problem.
Eines solltest du aber wissen: Sollte dein Wildcard-Zerti geklaut werden kann sich jede Website als "Du" ausgeben.
Also den PrivateKey, etc.. sicher verwahren und mit Passwort schützen.


Grüße,
Dani

Wie dani schon sagt. Du musst nur bei der bestellung bei zb. Godaddy angeben dass dieses zertifikat nicht nur für exchnage sondern auch für zb. IIS falls die Seite auf IIS lauft .

LG
gk3000
gk3000 28.02.2012 um 13:09:50 Uhr
Goto Top
ja, mit wildcard ists schon klar, mich würds interessieren obs für multiple domains ucc auch klappt
Dani
Dani 28.02.2012 um 13:14:10 Uhr
Goto Top
Was verstehst du unter multiple domains ucc? Mach doch ein Beispiel bitte.
Ausserwoeger
Ausserwoeger 28.02.2012 um 13:15:33 Uhr
Goto Top
Zitat von @gk3000:
ja, mit wildcard ists schon klar, mich würds interessieren obs für multiple domains ucc auch klappt

Ja müsste schon den was machen die leute die einen webshop hinter mehreren domains betreiben die müssen auch ein multi haben.

Ich habs zwar persönlich so nie getestet mit einem Webshop aber rein von der logik her muss das gehen.

LG
gk3000
gk3000 28.02.2012 um 13:41:35 Uhr
Goto Top
Okay, danke Dani + Ausserwoeger, ihr habt mir sehr weitergeholfen, ich bestell jetzt ein Paket. THXX!
Ausserwoeger
Ausserwoeger 29.02.2012 um 10:48:43 Uhr
Goto Top
Zitat von @Dani:
Was verstehst du unter multiple domains ucc? Mach doch ein Beispiel bitte.

Ich beantworte das mal ganz frech mit einem Link :

https://www.secorio.com/index.php?Multi-Domain_SSL-1#Q2

LG
Dani
Dani 29.02.2012 um 10:50:36 Uhr
Goto Top
Moin,
ich weiß was es bedeutet, ich wollt es eigentlich von Ihm hören um sicher zugehen dass wir vom Gleichen werden. face-smile


Grüße,
Dani
Ausserwoeger
Ausserwoeger 29.02.2012 um 10:52:35 Uhr
Goto Top
Zitat von @Dani:
Moin,
ich weiß was es bedeutet, ich wollt es eigentlich von Ihm hören um sicher zugehen dass wir vom Gleichen werden. face-smile


Grüße,
Dani

Aso LOL !! Na dann sorry face-smile ! Wusste ich nicht

LG und noch einen schönen Tag
gk3000
gk3000 05.03.2012 um 15:10:59 Uhr
Goto Top
Mhm, könnt ihr mir nochmal weiterhelfen, jetzt hab ich ein Problem mit meinem Request,

wenn ich mir das ansehe, sieht das nicht wie ein typischer request aus sondern so:
32f4858d378fade20ddeb317f3af6d2d
bzw. so
24a1861d29b3f6da33156509f6f3e473
aus.

Was mache ich falsch, ich klicke einfach beim abgelaufenen Zertifkat auf renew und speicher die .req Datei...
Ausserwoeger
Ausserwoeger 05.03.2012 um 17:37:20 Uhr
Goto Top
Wieso Renew ? ich dachte du willst eines anfordern und nicht ein neues self signed machen ?

aber die req dateien sehen komisch aus ! ich hab leider keinen Server wo ich jetzt schnell schauen könnte wie so ein request aussehen muss aber bei mir war das glaub ich nur eine 5 Zeilige Zeichenreihenfolge.

LG
Dani
Dani 05.03.2012 um 18:00:07 Uhr
Goto Top
Wo hast du das Zertifikat nun beantragt oder self-Signed?