Exchange Server SAN Zertifikat Problem
Hallo,
ich arbeite gerade daran, meinen Exchange Server von 2010 auf 2016 umzubauen mit neuer Hardware.
Eine Maschine : Windows Server 2012 Datacenter mit MS Exchange Server 2016 Standart Edition.
Eine Maschine: Sophos UTM 9
Es funktioniert alles tadellos, bis auf dem Webzugriff mit Autodiscover und OWA . Ich habe für Exchange ein San Zertifikat erstellt .(über meine CA)
ich greife über https://outlook.domain,de/owa von extern und von intern über https://outlook.rz.domain.de/owa zu
Details San Zertifikat
(CN) Allgemeiner Name: outlook.domain.de
Alternative Name:
DNS : domain.de
DNS :outlook.rz.domain.de
DNS: :autodiscover.domain.de
DNS: :autodiscover.rz.domain.de
Die Geschichten sind veröffentlicht im Internet und funktionieren bis auf Zertifikatfehler wunderbar. Im internen Netz funktioniert alles tadellos. Im Externen bekomme ich Fehler
Bei Safari bekomme ich angezeigt:
Safari kann die identität der Website "outlook.domain.de" nicht verifizieren.
Das Stamm CA ist korrekt installiert und weißt keine Fehler aus, außerdem ist es für alle Benutzer als vertrauenswürdig markiert.
allerdings bei outlook.domain.de wird Rot folgendes hingeschrieben:
Dieses Zertifikat ist nicht gültig /Hostname stimmt nicht überein) =????????
Wieso? ist es doch outlook.domain.de und vorsichtshalber domain.de zugelassen unter alternativer Name?=???
Chroome zeigt folgenden Fehler an:
Diese Verbindung ist nicht sicher
Negativ:
Certificate Error
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).
Positiv:
Secure Connection
The connection to this site is encrypted and authenticated using a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-256), and a strong cipher (AES_256_GCM).
Positiv:
Secure Resources
All resources on this page are served securely.
Und beim Internet Explorer werde ich nicht schlau draus:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website:
Klicke ich dann neben der Rot Leuchtenden Url auf Zertifikatfehler
Erscheint die Meldung:
Das Sicherheitszertifikat dieser Website wurde für die Adresse einer anderen Website ausgestellt...blahh blahh...
Auf Zertifikat anzeigen sieht für mich alles verdächtig gut aus und ich kann keine Fehler entdecken
CA Stammzertifikat ist korrekt installiert
Ausgestellt für outlook.domain.de
Ausgestellt von meiner Domain CA und ist Gültig
Dieses Zertifikat ist für folgende Zwecke beabsichtigt
Garantiert die Identität eines Remotecomputers
Und ich besitze auf beiden externen Pcs den privaten Schlüssel für das Stammzertifikat....
Was ist da los , was hab ich falsch gemacht
Bei Exchange SAN habe ich mich an diese Vorlage hier gehalten:
https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zerti ...
Danke für eure Antworten.
ich arbeite gerade daran, meinen Exchange Server von 2010 auf 2016 umzubauen mit neuer Hardware.
Eine Maschine : Windows Server 2012 Datacenter mit MS Exchange Server 2016 Standart Edition.
Eine Maschine: Sophos UTM 9
Es funktioniert alles tadellos, bis auf dem Webzugriff mit Autodiscover und OWA . Ich habe für Exchange ein San Zertifikat erstellt .(über meine CA)
ich greife über https://outlook.domain,de/owa von extern und von intern über https://outlook.rz.domain.de/owa zu
Details San Zertifikat
(CN) Allgemeiner Name: outlook.domain.de
Alternative Name:
DNS : domain.de
DNS :outlook.rz.domain.de
DNS: :autodiscover.domain.de
DNS: :autodiscover.rz.domain.de
Die Geschichten sind veröffentlicht im Internet und funktionieren bis auf Zertifikatfehler wunderbar. Im internen Netz funktioniert alles tadellos. Im Externen bekomme ich Fehler
Bei Safari bekomme ich angezeigt:
Safari kann die identität der Website "outlook.domain.de" nicht verifizieren.
Das Stamm CA ist korrekt installiert und weißt keine Fehler aus, außerdem ist es für alle Benutzer als vertrauenswürdig markiert.
allerdings bei outlook.domain.de wird Rot folgendes hingeschrieben:
Dieses Zertifikat ist nicht gültig /Hostname stimmt nicht überein) =????????
Wieso? ist es doch outlook.domain.de und vorsichtshalber domain.de zugelassen unter alternativer Name?=???
Chroome zeigt folgenden Fehler an:
Diese Verbindung ist nicht sicher
Negativ:
Certificate Error
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).
Positiv:
Secure Connection
The connection to this site is encrypted and authenticated using a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-256), and a strong cipher (AES_256_GCM).
Positiv:
Secure Resources
All resources on this page are served securely.
Und beim Internet Explorer werde ich nicht schlau draus:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website:
Klicke ich dann neben der Rot Leuchtenden Url auf Zertifikatfehler
Erscheint die Meldung:
Das Sicherheitszertifikat dieser Website wurde für die Adresse einer anderen Website ausgestellt...blahh blahh...
Auf Zertifikat anzeigen sieht für mich alles verdächtig gut aus und ich kann keine Fehler entdecken
CA Stammzertifikat ist korrekt installiert
Ausgestellt für outlook.domain.de
Ausgestellt von meiner Domain CA und ist Gültig
Dieses Zertifikat ist für folgende Zwecke beabsichtigt
Garantiert die Identität eines Remotecomputers
Und ich besitze auf beiden externen Pcs den privaten Schlüssel für das Stammzertifikat....
Was ist da los , was hab ich falsch gemacht
Bei Exchange SAN habe ich mich an diese Vorlage hier gehalten:
https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zerti ...
Danke für eure Antworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327609
Url: https://administrator.de/forum/exchange-server-san-zertifikat-problem-327609.html
Ausgedruckt am: 28.12.2024 um 21:12 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Der Grund ist folgender: outlook.domain.de wird nicht in den SANs gelistet! Denn wenn SANs angegeben werden ignorieren viele Clients den Common-Name, deswegen sollte man der Kompatibilität wegen immer auch den Common-Name zusätzlich als SAN angeben.
Liest du hier
https://www.digicert.com/subject-alternative-name-compatibility.htm
Gruß mik
Der Grund ist folgender: outlook.domain.de wird nicht in den SANs gelistet! Denn wenn SANs angegeben werden ignorieren viele Clients den Common-Name, deswegen sollte man der Kompatibilität wegen immer auch den Common-Name zusätzlich als SAN angeben.
Liest du hier
https://www.digicert.com/subject-alternative-name-compatibility.htm
If a SSL Certificate has a Subject Alternative Name (SAN) field, then SSL clients are supposed to ignore the Common Name value and seek a match in the SAN list. This is why DigiCert always repeats the common name as the first SAN in our certificates.