12
Probleme mit internem und externem Zertifikat
ich habe einen lokale Exchange 2016 Umgebung und möchte nun ein Zertifikat sowohl intern als auch extern für die Verwendung mit Outlook zur Verfügung stellen.
Seitdem ich das externe Zertifikat erfolgreich eingebunden habe, versucht auch intern das Outlook darauf zuzugreifen, was dann scheitert, da im Zertifikat keine Adresse mit .local enthalten ist.
Ich hatte versucht, ein .local bei der Bestellung mit einzubinden. Dies wurde aber vom Lieferanten (PSW) abgelehnt.
Was kann ich tun?
Anbei die Meldung, die ich von Outlook erhalte und die aktuell auf dem Exchange Server hinterlegten Zertifikate.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 526772
Url: https://administrator.de/forum/probleme-mit-internem-und-externem-zertifikat-526772.html
Ausgedruckt am: 23.04.2025 um 05:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
und https://www.interssl.com/de/knowledgebase.php?action=displayarticle& ...
Gruß,
Peter
Zitat von @athier:
Ich hatte versucht, ein .local bei der Bestellung mit einzubinden. Dies wurde aber vom Lieferanten (PSW) abgelehnt.
.LOCAL geht schon seit 2015 nicht mehr. local Domain und ZertifikatIch hatte versucht, ein .local bei der Bestellung mit einzubinden. Dies wurde aber vom Lieferanten (PSW) abgelehnt.
und https://www.interssl.com/de/knowledgebase.php?action=displayarticle& ...
Gruß,
Peter
Moin,
stell auf SplitDNS um und nutze intern die selbe Adresse wie extern. Keine Ahnung welchen Exchange du hast, ggf. Noch Autodiscover anpassen.
Gruß
Spirit
stell auf SplitDNS um und nutze intern die selbe Adresse wie extern. Keine Ahnung welchen Exchange du hast, ggf. Noch Autodiscover anpassen.
Gruß
Spirit
1
Hallo,
vielen Dank für die schnelle Rückmeldungen. Ich werde das einmal heute Abend testen.
vielen Dank für die schnelle Rückmeldungen. Ich werde das einmal heute Abend testen.
Hallo,
ich hatte die Vermutung, dass das nun funktioniert. Allerdings melden nun vereinzelt Benutzer, dass Sie temporär Outlook nicht aufrufen können mit dem Hinweis, dass es nicht gestartet werden kann. Dies verschwindet nach einer gewissen Zeit.
Ursache ist, dass der DNS Eintrag für den Hostnamen des Exchange Servers nicht aufgelöst werden kann.
Wenn ich den Hostnamen im DNS eintrage, bekomme ich zwar Outlook gestartet, aber den Hinweis, dass das Zertifikat auf exchange.xxxxx.de lautet, aber exchange.xxxx.local verwendet wird.
Wie bekomme ich das gelöst? Kann ich im Exchange Admin vermerken, welches Zertifikat der bei welchem Aufruf verwenden soll ( externes / selbststigniertes)?
ich hatte die Vermutung, dass das nun funktioniert. Allerdings melden nun vereinzelt Benutzer, dass Sie temporär Outlook nicht aufrufen können mit dem Hinweis, dass es nicht gestartet werden kann. Dies verschwindet nach einer gewissen Zeit.
Ursache ist, dass der DNS Eintrag für den Hostnamen des Exchange Servers nicht aufgelöst werden kann.
Wenn ich den Hostnamen im DNS eintrage, bekomme ich zwar Outlook gestartet, aber den Hinweis, dass das Zertifikat auf exchange.xxxxx.de lautet, aber exchange.xxxx.local verwendet wird.
Wie bekomme ich das gelöst? Kann ich im Exchange Admin vermerken, welches Zertifikat der bei welchem Aufruf verwenden soll ( externes / selbststigniertes)?
Was hast du denn nun genau geändert? Eine SplitDNS Konfig ist das ja nun nicht. Dann würde ja die normale FQDN auf die Interne Adresse des Exchanges auflösen. Von extern natürlich die externe Adresse.
Das Zertifikat muss allerdings passen. Ist diese nur an die externe Adresse gebunden, geht das in die Hose. Aber so weit bist du ja noch nicht.
Das Zertifikat muss allerdings passen. Ist diese nur an die externe Adresse gebunden, geht das in die Hose. Aber so weit bist du ja noch nicht.
Das Zertifikat ist aktuell offensichtlich nur an die externe Adresse gebunden. Denn wenn ich den FQDN eintrage, kommt die Meldung, dass das Zertifikat nicht zum Namen passt.
Zitat von @athier:
Das Zertifikat ist aktuell offensichtlich nur an die externe Adresse gebunden. Denn wenn ich den FQDN eintrage, kommt die Meldung, dass das Zertifikat nicht zum Namen passt.
Das Zertifikat ist aktuell offensichtlich nur an die externe Adresse gebunden. Denn wenn ich den FQDN eintrage, kommt die Meldung, dass das Zertifikat nicht zum Namen passt.
Dann hast du es noch nicht ganz verinnerlicht. Der Name ist bei SplitDNS immer der selbe unter dem der Exchange erreichbar ist. Also immer der Name von extern. Nur das Intern die locale IP des Exchanges für diesen Namen aufgelöst wird.
Deswegen frage ich ja, welchen Ansatz du nun zur Lösung verfolgst.
Aber wie bekomme ich es denn dann hin, dass beim Aufruf von Outlook nicht versucht wird, den Namen, sondern nur die IP beim Aufruf aufzulösen?
Oder geht das nicht?
Oder geht das nicht?
Es wird immer der FQDN firma.de usw genutzt. Intern oder extern ist da völlig egal.
SplitDNS Konfig einrichten und den Autodiscover Eintrag am Exchange ändern.
Sollte dir das schwer fallen, empfehle ich deinen Dienstleister um Hilfe zu bitten.
SplitDNS Konfig einrichten und den Autodiscover Eintrag am Exchange ändern.
Sollte dir das schwer fallen, empfehle ich deinen Dienstleister um Hilfe zu bitten.
when I enter the FQDN, I get the message that the certificate does not match the name.
Hello,
Gruß,
Peter
Zitat von @Timothy537:
when I enter the FQDN, I get the message that the certificate does not match the name.
Use the same identical FQDN for connection to ypur internal Exchange and external connection for your Exchange. That way only the IP changes, not the name. Split-DNS needs to be setp up, correctly.https://www.giritech.de/downloads/pdf/How%20to%20Configure%20Split%20DNS ...when I enter the FQDN, I get the message that the certificate does not match the name.
Gruß,
Peter
Zitat von @Pjordorf:
Hello,
Gruß,
Peter
Hello,
Zitat von @Timothy537:
when I enter the FQDN, I get the message that the certificate does not match the name.
Use the same identical FQDN for connection to ypur internal Exchange and external connection for your Exchange. That way only the IP changes, not the name. Split-DNS needs to be setp up, correctly. mybkexperience https://www.giritech.de/downloads/pdf/How%20to%20Configure%20Split%20DNS ...when I enter the FQDN, I get the message that the certificate does not match the name.
Gruß,
Peter
Thank you so much....
