bensonhedges
Goto Top

SBS 2008 rpc over http Zertifikatsfehler

Hallo liebe Admin-Gemeinde!

Ich habe einen SBS 2008 aufgesetzt und ein Problem mit dem Zertifkat beim Zugriff von aussen (rps over http).

Beim Aufruf (IE8 / Vista) von https://meinserver.dynalias.net/owa
erhalte ich folgende Fehlermeldung:
"Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen. "

Zertifikatsinfo:
"Dieses Zertifikat kann nicht bis zu einer Zert. stelle verifiziert werden.
Ausgestellt für: remote.meinserver.dynalias.net"

Das Zertifikat habe ich bereits einmal automatisch importieren lassen und einmal manuell
in den Store "Vertrauenswürd. Stammzertifizierungsstellen".
Auch im IE8 habe ich unter Sicherheit sämtliche Zert. prüfung - vorübergehend - abgeschaltet.

Leider kein Erfolg. Der Zert. fehler bleibt.
Outlook Webaccess klappt natürlich, wenn ich die Warnung wegklicke, Outlook 2007 klappt nicht von extern.

Da ich gerne Outlook 2007 rpc over http betreiben möchte und ein gültiges Zertifikat wohl dafür unumgänglich zu sein scheint,
setze ich auf Eure kompetente Hilfe :-.).

Viele Grüße,
Marc

Content-ID: 119155

Url: https://administrator.de/forum/sbs-2008-rpc-over-http-zertifikatsfehler-119155.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

37562
37562 25.04.2010 um 20:53:23 Uhr
Goto Top
Hallo Marc,
hast Du eine Lösung gefunden.
Habe das gleich Problem face-sad.

Vielen Dank für kurze Antwort.
Toonforce
Toonforce 10.08.2010 um 16:48:52 Uhr
Goto Top
Ist zwar ne weile her, das die Frage gestellt wurde - aber da ich selbiges Problem eben lösen musste - hier meine Antwort.

Der IE8 hat recht. Falsches Zertifikat. Du sprichst den Rechner mit der URL meinserver.dynalias.net an. Dieser weist sich allerdings mit einem Zertifikat aus, das für remote.meinserver.dynalias.net ausgestellt ist. Dieses Zertifikat ist aber auch nicht das Selbst-Zertifikat der Zertifizierungsstelle (CA) sondern ein von dieser ausgestelltes.

Dir ist ein Fehler beim Eintragen deines externen Domänennamens passiert: der externe Name ist normalerweise NUR dynalias.net mit dem PRÄFIX meinserver. Wird stattdessen meinserver.dynalias.net verwendet setzt der SBS "remote" automatisch als Präfix - diese entstehende Adresse remote.meinserber.dynalias.net kann aber gar nicht aufgelöst werden (ich denke mal es handelt sich nur um eine normale dynamische Hostauflösung ohne Wildcards)

An allen Clients ist weiterhin das Selbstzertifikat der CA als vertrauenswürdige Stammzertifizierungsstelle einzufügen. Und kann z.B. unter anderem am SBS im certsrv exportiert werden.
bensonhedges
bensonhedges 10.08.2010 um 17:01:10 Uhr
Goto Top
Aha. Prima, danke Dir. Genau das wird es wohl gewesen sein.
Über companyweb kann man ja das Zertifikat downloaden und dann auf den Remote-Clients installieren.

Mein Problem ist nun, dass anscheinend keine neues Zertifikat "zum download" angeboten wird. Obwohl es erstellt worden ist. Kann man den Prozess irgendwie anstarten, so dass
das korrekte Zertifikat über das Companyweb gedownloaded werden kann?
Toonforce
Toonforce 11.08.2010 um 12:19:36 Uhr
Goto Top
Welches neue Zertifikat wurde erstellt? Und wie wurde es erstellt?

Das über das Companyweb verfügbare Zertifikat ist das Selbstzertifikat des SBS (bei mir die Datei \\<servername>\public\Downloads\Certificate Distribution Package\SBSCertificate.cer ). Das wird bei Einrichtung der Zertifizierungsstelle erstellt und dann nicht mehr geändert.

Alle anderen Zertifikate müssen nicht am Server exportiert und am Client importiert werden, da diesen immer vertraut wird wenn das SBSCertificate als Vertrauenswürdige Stammzertifizierungsstelle eingerichtet ist.

Das Selbstzertifikat kann man auch im certsrv nachschauen (Zertifizierungsstelle-MMC-SnapIn / Zertifizierungstellenmanagementkonsole --> Rechtsklick auf die CA (i.d.R. localdomain-servername-CA) und dann auf Eigenschaften --> Zertifizierungsstellenzertifikate). Bei mir gibts da nur ein "Zertifikat Nr. 0" und das ist o.g. Selbstzertifikat. Wenn es bei Dir mehrere gäbe wäre interessant zu wissen warum.

Das Selbstzertifikat ist 5 Jahre gültig, die anderen (für SSL z.B.) ausgestellten Zertifikate nur 2 Jahre.