moebelwachs
Goto Top

Exchange2003 - Zertifikate für OWA über SSL

hallo,

ich hätte da ein Problemchen:

Seit geraumer Zeit betreibe ich einen OWA, der über Dyndns auch übers Internet erreichbar ist. Genausolange nervt aber beim Aufruf die Warnmeldung, daß das Zertifikat nicht vetrauenswürdig ist etc. Das entsprechende Zertifikat habe ich in meiner eigenen RootCA angefordert und installiert. Intern im Netz klappts ja uch wunderbar, da kann der Zertifizierungspfad nachvollzogen werden.
Was kann ich da mit meinem Exchange machen ? Kann man da auch, wie bei Exch2010, mehrere Domänennamen ins Zertifikat reinpacken, um dem Client zu sagen, daß der alternative Name des OWA ok ist ?
Danke fürs NAchdenken

gruß wolfgang

Content-ID: 148964

Url: https://administrator.de/forum/exchange2003-zertifikate-fuer-owa-ueber-ssl-148964.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

lobotomie
lobotomie 13.08.2010 um 16:38:10 Uhr
Goto Top
Wenn ichs richtig verstanden habe, bekommst Du den Fehler, dass der aufrufende Browser dein Zertifikat oder Deine CA nicht kennt.

Zwei Möglichkeiten:

1. ) Du kaufst Dir ein Zertifikat bei einem der gängigen Anbieter, die root-CA's sind den Browsern üblicherweise bekannt (Verisign, TC trustcenter, o. ä.)

2. ) Du installierst bei jedem Browser Dein Zertifikat manuell und erzählst ihm, dass es vertrauenswürdig sei. (Dann mault er Dich zumindest nicht mehr an).


Loco Lobo
Dani
Dani 13.08.2010 um 20:00:46 Uhr
Goto Top
Als Ergänzung:
Die Variante 1 ist die sichere Lösung aber kostet eben im Jahr mal 100-300 Euros. Dafür ist der Aufruf der Seite Trusted.
Die Variante 2 ist kostenlos kann aber zu ungewollten Probleme führen wenn jemand deine Seite nachahmt oder du dein Zertifikat ersetzt.


Grüße,
Dani
CardonX
CardonX 13.08.2010 um 23:21:05 Uhr
Goto Top
Sers,

da Du bestimmt für Deinen OWA den aktuelleten IE verwendest trage die Site unter den Vewrtrauenswürdigen Sites ein.

Falls es das nicht ist, muss das mit den Zertifikaten im IIS nochmal konfiguriert werden. Je nach Server/IIS Version an der einen oder anderen Stelle.

read ya

CardonX
moebelwachs
moebelwachs 14.08.2010 um 09:29:54 Uhr
Goto Top
Moin,

so, folgendes gefunden:
Lt einschlägiger Quellen ist es nicht möglich, einem OWA bzw dem IIS, der den OWA ja hostet, ein Zertifikat mit mehreren Ausstellernamen zu geben. Dafür müßte eine weitere Instanz des IIS aufgesetzt werden: EIne, die den Zugrif mit Zertifikat1 vom internen netz aus bedient, ein zweiter, der den Zugriff mit Zertifikat2 vom externen (Internet) Netz ermöglicht.
S.a MSESCHANGEFAQ.
Danke, Grüße
wolfgang
Dani
Dani 14.08.2010 um 10:13:41 Uhr
Goto Top
Moin,
ein Zertifikat mit mehreren Ausstellernamen zu geben
Da muss ich dir wiedersprechen. Mit einem Wildcard-Zertifikat ist das problemlos möglich. Kostet allerdings auf 3 Jahre gerechnet ca. 1.000€.


Grüße,
Dani