Exchange: Zertifikatsprobleme
Hallo zusammen,
es geht wieder mal um das leidige Thema "Zertifikatsprobleme & Exchange".
Folgende Ausgangssituation:
Exchange 2013
- öffentlicher Name: exchange.bsp.com
- interner Name: s2k12-exchange
Für den öffentlichen Namen habe ich ein Zertifikat von HostEurope erworben um via Internet über RCP auf den Exchange aus Outlook via https zugreifen zu können. Das funktioniert auch einwandfrei.
Die bisherigen Clients waren alle nicht in die AD Domäne integriert (da teilweise Home Versionen), deshalb waren sie ebenfalls via Outlook Proxyeinstellungen via HTTP über die IP des Exchangeservers angebunden.
Soweit hat alles wunderbar funktioniert.
Nun hat sich das Büro dazu entschlossen alle Clients in die Domäne mit aufzunehmen. Entsprechende Clientlizenzen wurden erworben.
Nach der Integration ins AD und der Outlookeinrichtung erhält man aber beim Oultookstart Zertifikatswarnungen, weil der Hostname nicht mit dem im Zertifikat übereinstimmt.
exchange.bsp.com vs. s2k12-exchange
Das ist mir soweit auch einleuchtend.
Ich hatte nun 2 Ideen um das Problem zu lösen - die leider beide nicht funktionieren:
1.) weitere manuelle Konfiguration der Outlookclients via Proxy. Bei Host trage ich exchange.bsp.com ein (was mir den Nachteil bringt, dass auch der interen Datenverkehr über meinen Reverseproxy läuft - das wollte ich eigentlich vermeiden, da unnötig). Nichts desto trotz erhalte ich auch hier die Zertifikatsfehlermeldungen. Das verstehe ich nicht ganz - eigentlich wird ja hier nicht mehr über s2k12-exchange auf den server sondern via exchange.bsp.com auf den exchange zugegriffen.
2.) freischaltung des selbstsignierten Zertifikats für alle Dienste
Für Clients in der Domäne müsste das selbstsignierte Zertifikat welches bei der Exchangeinstallation erstellt wird ja eigentlich funktionieren, da die Domänenmitglieder diesem Zertifikat automatisch vertrauen, oder?
Habt ihr einen Tipp was ich falsch mache bzw. prüfen könnte, oder gibt es nur noch die Alternativen, dass ich mir ein zus. offizielles Zertifikat oder ein wildcard zert. erwerbe bzw. intern die Verbindung unverschüsselt nur über http laufen lasse?
Danke für Eure Tipps,
Malungo
es geht wieder mal um das leidige Thema "Zertifikatsprobleme & Exchange".
Folgende Ausgangssituation:
Exchange 2013
- öffentlicher Name: exchange.bsp.com
- interner Name: s2k12-exchange
Für den öffentlichen Namen habe ich ein Zertifikat von HostEurope erworben um via Internet über RCP auf den Exchange aus Outlook via https zugreifen zu können. Das funktioniert auch einwandfrei.
Die bisherigen Clients waren alle nicht in die AD Domäne integriert (da teilweise Home Versionen), deshalb waren sie ebenfalls via Outlook Proxyeinstellungen via HTTP über die IP des Exchangeservers angebunden.
Soweit hat alles wunderbar funktioniert.
Nun hat sich das Büro dazu entschlossen alle Clients in die Domäne mit aufzunehmen. Entsprechende Clientlizenzen wurden erworben.
Nach der Integration ins AD und der Outlookeinrichtung erhält man aber beim Oultookstart Zertifikatswarnungen, weil der Hostname nicht mit dem im Zertifikat übereinstimmt.
exchange.bsp.com vs. s2k12-exchange
Das ist mir soweit auch einleuchtend.
Ich hatte nun 2 Ideen um das Problem zu lösen - die leider beide nicht funktionieren:
1.) weitere manuelle Konfiguration der Outlookclients via Proxy. Bei Host trage ich exchange.bsp.com ein (was mir den Nachteil bringt, dass auch der interen Datenverkehr über meinen Reverseproxy läuft - das wollte ich eigentlich vermeiden, da unnötig). Nichts desto trotz erhalte ich auch hier die Zertifikatsfehlermeldungen. Das verstehe ich nicht ganz - eigentlich wird ja hier nicht mehr über s2k12-exchange auf den server sondern via exchange.bsp.com auf den exchange zugegriffen.
2.) freischaltung des selbstsignierten Zertifikats für alle Dienste
Für Clients in der Domäne müsste das selbstsignierte Zertifikat welches bei der Exchangeinstallation erstellt wird ja eigentlich funktionieren, da die Domänenmitglieder diesem Zertifikat automatisch vertrauen, oder?
Habt ihr einen Tipp was ich falsch mache bzw. prüfen könnte, oder gibt es nur noch die Alternativen, dass ich mir ein zus. offizielles Zertifikat oder ein wildcard zert. erwerbe bzw. intern die Verbindung unverschüsselt nur über http laufen lasse?
Danke für Eure Tipps,
Malungo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278278
Url: https://administrator.de/forum/exchange-zertifikatsprobleme-278278.html
Ausgedruckt am: 26.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr
Gruß grexit
SplitDNS lautet das Stichwort, hatten wir gerade erst hier:
Exchange 2013 mit neuem öffentlichen Zertifikat und geht Outlook-Client geht nicht mehr
Gruß grexit
Zitat von @malungo:
Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt
Es geht auch ohne wenn man den _SRV Eintrag im DNS setzt. Besser ist es aber wenn du dir ein SAN Zertifikat besorgst, dann muss der User keine Dialoge beim ersten Start von Outlook wegklicken.Aktuell sehe ich für meinen Fall dann 2 Probleme:
1.) ich brauche ein zus. Zertifikat bzw. eine Erweiterung damit die das autodiscover. auch noch im zertifikat berücksichtigt
2.) (wahrscheinlich nur ein Wissensdefizit bei mir). wenn ich die Zone bsp.com bei mir im DNS abbilde und nen a-record für den exchange erstelle, dann muss ich auch für alle anderen (externen) hosts wie z.B. www einen eintrag mit der externen IP erstellen, damit von intern noch die Homepage usw. usf. erreichbar ist. Korrekt?
Es kommt drauf an wie du die Zone nennst. Du musst dies nicht wenn du als Workaround die Zone mail.domain.de nennst und darin einen leeren A-Record anlegst der auf den Exchange zeigt, dann wird nämlich nur der Exchange selber aufgelöst und keine anderen Subdomains der externen Zone!Wie das geht kannst du hier nachlesen:
Unterschiedliche DNS Einträge an unterschiedlichen Standorten
Nach wie vor stelle ich mir aber die Frage wieso in meinem Fall nicht das selbssignierte Zertifikat für den host
s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange
gleichzeitig geben?
Es kann immer nur ein Zertifikat im Exchange genutzt werden. Multiple Zertifikate geht nicht und ist auch nicht nötig wenn man es korrekt macht!s2k12-exchange greift? Kann es nicht 2 Zertifikat offizielles für exchange.bsp.com; selbstsigniertes für s2k12-exchange
gleichzeitig geben?
Noch zur Info:
Wenn du folgenden Artikel komplett gelesen hast verstehst du auch die Hintergründe dazu
Autodiscover, DNS, Certificates, and what you need to know
Der ist absolut Empfehlenswert damit du die Mechanissmen dahinter versteht, dann weiß man auch warum Outlook meckert!! Viele die hier mit Zertifikatsproblemen ankommen, belesen sich einfach zu wenig, das ist hier aber essentiell um es zu verstehen. Denn wenn man diese Infos beachtet ist das alles nur noch ein Kinderspiel.
Outlook-Profil nach diesen Änderungen zwingend resetten oder neu anlegen, da Outlook im Profil manche URLs nicht ändert!
Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...
Diese zwei Seiten sollten alle deine offenen Fragen zum SCP etc. klären:
https://acbrownit.wordpress.com/2012/12/20/internal-dns-and-exchange-aut ...
https://acbrownit.wordpress.com/2014/04/04/exchange-autodiscover-episode ...