3faltigkeit
Goto Top

Server 2008 SBS Zertifikat für multiple Adressen Exchnage OWA ausstellen

Hallo und schönen guten Morgen zusammen,
ich habe einen Server 2008 SBS Standard bei einen Kunden in Betrieb genommen. Exchange 2007 sprich OWA ist auch von draußen über eine Feste IP erreichbar. Allerdings beschweren sich Handys (Windows Phone 7) und auch die Internet Explorer Intern, dass das Zertifikat für eine andere Serveradresse ausgestellt wurde. Die Handys Synchronisieren somit erst einmal gar nicht. Es gibt den Punkt unter Verwaltung "Zertifizierungsstelle" allerdings finde ich dort nicht, wo ich eine neue Zertifikat anfrage starten kann. Un dbei dem Exchange 2007 gibt es die möglichkeit übder einen Assistenten wie bei Exchnage 2010 noch nicht.

Meine Frage ist daher, wo bekomme ich nun ein Zertifikat her, das ich sowohl auf die externe Feste IP ausstellen kann als auch auf die Interne oder eben auf den Servernamen?
Vielen Dank schon mal im Voraus für eure Unterstützung. Im Zertifikatbereich sind meine Erfahrungen leider noch sehr begrenzt.

Grüße

Content-ID: 168362

Url: https://administrator.de/contentid/168362

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

ollembyssan
ollembyssan 21.06.2011 um 09:11:33 Uhr
Goto Top
Hallo,

schau doch einmal hier nach:

Exchange Zertifikat für mehrere DNS-Namen ausstellen (Exchange 2007)

Gruß
Ollembyssan
3faltigkeit
3faltigkeit 21.06.2011 um 09:52:31 Uhr
Goto Top
Hey super Danke, das ist genau das was ich gesucht habe!
Allerdings habe ich ein Problem und zwar gibt es anscheinend beim SBS keine crtsrv Website bei der ich die Anforderungsdatei einreichen kann....
Aber irgendwi emuss das doch dort auch funktionieren. Hat jemand eine idee wo ich das bei dem 2008er SBS machen kann???
GuentherH
GuentherH 21.06.2011 um 10:14:42 Uhr
Goto Top
Hi.

Lies die zu diesem Problem einmal diesen Link durch - http://support.microsoft.com/kb/940726

LG Günther
3faltigkeit
3faltigkeit 21.06.2011 um 10:24:47 Uhr
Goto Top
...ich habe hier in der Firma einen 2008 Standard stehen... also keinen SBS. Könnte ich mir dort das Zertifikat erstellen lassen oder funktioniert das nicht?
Also ich erstelle beim Kunden auf dem Server die Anfprderungsdatei, ziehe mir die auf den Server hier bei mir in die Firma und lasse mir das Zertifikat ausstellen und kopierer dieses dann wieder auf den Kunden Server und importiere das entsprchend. Also das wäre eine Idee von mir, das Problem mit dem SBS zu umgehen. Hat das schon einmal jemand gestestet ob sowas funktioniert?
3faltigkeit
3faltigkeit 21.06.2011 um 10:34:26 Uhr
Goto Top
Hallo entschuldigung, ich hatte die Seite nicht aktualisert bevor ich geschrieben hatte. Also es geht mir hauptsächlich darum, dass ich ein Handy mit Windows Phone 7 zum synchronisieren bringen möchte. Das funktioniert allerdings nicht, da das Zertifikat nicht auf die externe Adresse (https://festeIP/owa) ausgestellt wurde sondern intern auf server.domäne.local. Daher benötige ich ein neues Zertifikat, dass auf beide Adressen Gültigkeit besitzt. Allerdings scheint mir die Ausstellung von so etwas auf einem SBS Server unmöglich, da die /certsrv Website nicht gibt ud ich dort die Anforderung einfach nicht bearbeiten kann (siehe Anleitung, die ollembyssan gepostet hat). Meine Idee daher ist es, die Bearbeitung dieser Anfrage einfach auf einen Server hier im Haus auszulagern, der kein SBS ist. Wenn ich die URL des Exchange ändere, dann denke ich hilft das nicht dabei, von einem Handy per UMTS eine Verbindung aufzubauen.

Grüße zurück
chrisiweber
chrisiweber 21.06.2011 um 11:02:43 Uhr
Goto Top
Hallo,

wenn ich mich recht erinnere kannst du mit der Anleitung von "ollembyssan" ein Zertifikat erstellen und es direkt im Exchange anwenden indem du bei dem Befehl zum erstellen des Zertifikates das -generalrequest weglässt. Ich glaube so hab ich das vor einiger Zeit auch beim Exchange 2010 gemacht. hat wunderbar funtkioniert.

LG Chris
GuentherH
GuentherH 21.06.2011 um 11:15:21 Uhr
Goto Top
Hallo.

Das funktioniert allerdings nicht, da das Zertifikat nicht auf die externe Adresse (https://festeIP/owa) ausgestellt

Dann starte den Assistenten "Internetadresse einrichten" erneut, und stelle damit das korrekte Zertifikat aus. Der Assistent erstellt auch die dafür notwendigen Änderung auf dem SBS.

LG Günther
3faltigkeit
3faltigkeit 21.06.2011 um 11:16:40 Uhr
Goto Top
OK ich werde das nacher wenn ich zum Kundne fahre gleich ausprobieren. Windows Phone 7 stellt sich aber auch echt an wegen den Zertifikaten. Ich hatte das mal bei einem Kunden mit einem Server 2003 gemacht über die Zertifizierungsstelle. Also auch ein Selbst ausgestelltes Zertifikat und auch nur auf die interne Domäne. Der ActiveSync Tester hatte damals das Zertifikat genauso angemeckert wie jetzt bei dem Kunden auch. Mit dem IPhone welches der Kunde benutzt hat war das aber kein Problem. Hat ohne Probleme funktioniert. Hat eventuell jemand Erfahrung mit Windows Phone 7? Kann ich eventuell irgendetwas Einstellen das er die Zertifikatprobleme ignoriert oder muss ich das Zertifikat irgendwie importieren und irgendwo auf dem Handy ablegen????
3faltigkeit
3faltigkeit 21.06.2011 um 11:31:06 Uhr
Goto Top
Achso Fehlercode am Handy ist Übrigens: 80072F0D -> Zertifikat wird nicht vertraut
ollembyssan
ollembyssan 21.06.2011 um 12:22:21 Uhr
Goto Top
Hier kannst Du das Zertifikat der Zertifizierungsstelle importieren:

Start/Einstellungen/System/Sicherheitszertifikate

Gruß
Ollembyssan
3faltigkeit
3faltigkeit 21.06.2011 um 13:29:57 Uhr
Goto Top
Hallo, diesen Punkt kann ich bei dem Windows Phone 7 Handy von HTC leider nicht finden. Ich habe jetzt das Zertifikat per Mail auf das Handy geschickt und dachte ich könnte es so auf dem Handy installieren. Ich bekomme allerdings die Meldung, dass für das Dateiformat keine Anwendung vorhanden ist. Ich muss doch irgednwie ein Zertifikat auf das Handy bekommen!
Ich habe versucht per Browser übers Internet das Zertifikat von der Internetseite zubekommen, aber das funktioniert ebenfalls nicht! Hat noch irgendjemand eine Idee, wie ich dieses Zertifikat auf das Handy bekomme, damit es die Verbindung als vertrauenswürdig anerkennt????
ollembyssan
ollembyssan 21.06.2011 um 13:46:15 Uhr
Goto Top
Zitat von @3faltigkeit:
Hallo, diesen Punkt kann ich bei dem Windows Phone 7 Handy von HTC leider nicht finden. Ich habe jetzt das Zertifikat per Mail auf
das Handy geschickt und dachte ich könnte es so auf dem Handy installieren. Ich bekomme allerdings die Meldung, dass für
das Dateiformat keine Anwendung vorhanden ist. Ich muss doch irgednwie ein Zertifikat auf das Handy bekommen!
Ich habe versucht per Browser übers Internet das Zertifikat von der Internetseite zubekommen, aber das funktioniert ebenfalls
nicht! Hat noch irgendjemand eine Idee, wie ich dieses Zertifikat auf das Handy bekomme, damit es die Verbindung als
vertrauenswürdig anerkennt????

Natürlich bekommst Du die Fehlermeldung wenn du das Exchange Zertifikat importieren/installieren möchtest.
Bei obigen Kommentaren wäre ich an deiner Stelle in gleicher Situation.

Das selbstsignierte Zertifikat bzw. das Exchange Zertifikat bringt dich hier auch nicht weiter.
Du benötigst das Zertifikat der Zertifizierungsstelle, welches Du auf dem Mobilgerät installieren musst.
Dazu musst musst du zunächst über solch eine Zeritifizierungsstelle verfügen, falls nicht vorhanden musst Du diese nachinstallieren und das Zeritikat von dieser ausstellen lassen!

Das Zeritifkat der Zertifizierungsstelle kannst Du dann (ohne den privaten Schlüssel!) exportieren und auf dem Mobilgerät importieren.

Siehe:
http://stephan-mey.de/?p=868
http://openbook.galileocomputing.de/windows_server_2008/windows_server_ ...

Gruß
Ollembyssan
teetrinker
teetrinker 21.06.2011 um 13:57:47 Uhr
Goto Top
Hallo

nach langen Versuchen bin ich mir fast sicher, dass ein selbsterstelltes Zertifikat mit Windows Phone 7 nicht funktioniert!

Kauf Dir ein Zertifikat und es haut hin.
Die Handys wirst Du wohl resetten müssen und dann die Konfiguration von vorne beginnen, sprich Reset - Zertifikat installieren - Konto einrichten - Neustart (wichtig!) in genau dieser Reihenfolge.

Falls Du es doch schaffst mit einem eigenen Zertifikat, wüsste ich sehr gerne, wie genau

Viel Erfolg und Gruss
teetrinker
3faltigkeit
3faltigkeit 21.06.2011 um 14:11:08 Uhr
Goto Top
Also der Fehler lag bei mir ich kann auf dem Handy Zertifikate installieren (hatte cert und nicht cer). Ich habe auch eine Zertifizierungsstelle beim SBS also ein CA zertifikat ...sollte das ja sein - heißt wie der server mit ca dran. Ich habe sowohl das als auch das von der OWA Seite (das heißt übrigens "Sites") installiert auf dem Handy und dann das Gerät neu gestartet. aber der Zertifikatfehler bleibt bestehen (Fehlercode:80072F06)... ich habe jetzt echt keine Idee mehr auch Google bringt weite rnichts ans Licht.
ollembyssan
ollembyssan 21.06.2011 um 14:22:30 Uhr
Goto Top
Ja,

starte das Mobilgerät neu und gut ist face-wink
teetrinker
teetrinker 21.06.2011 um 14:37:39 Uhr
Goto Top
Hallo

wie oben schon gesagt, kauf ein Zertifikat und es geht.

Habe jetzt die Links grad nicht bereit (schon ne Weile her), aber ich meine bei meinen Recherchen gelesen zu haben, dass Windows Phone 7 Zertifizierungsstellen fest installiert hat und nur Zertifikate von diesen Stellen funktionieren. Oder so ähnlich!?
Deshalb eben ein Zertifikat kaufen, per Mail als Anhang ans Handy senden -mit anderer Adresse, z. B. Hotmail- und installieren. Siehe mein erstes Posting.

Hoffe, Du schaffst es
Gruss
GuentherH
GuentherH 21.06.2011 um 16:44:04 Uhr
Goto Top
Hallo.

nach langen Versuchen bin ich mir fast sicher, dass ein selbsterstelltes Zertifikat mit Windows Phone 7 nicht funktioniert!

Sicher funktioniert das, ansonsten würden sich einige meiner Kunden beschweren.

Nachdem es hier kreuz und quer geht.

a) das Zertfikat muss auf den externen Namen des Servers lauten. Bei einem SBS 2008 ist das in der Regel remote.deine_Firma.de
b) bei Windows Phone 7 Geräten ist es am einfachsten sich das Zertfikat des SBS auf einen externen Account senden zu lassen auf den man via Webmail zugreifen kann.
c) dann das Attachment öffnen, und schon ist der Zertfikat installiert.

Gehe also diese Punkte durch, und schon klappt es face-wink

LG Günther
3faltigkeit
3faltigkeit 21.06.2011 um 17:02:05 Uhr
Goto Top
OK also ich habe folgendes gemacht:

diesen SBS Assistenten für die internet adresse ausgeführt und nun gibt es genau wie du sagst remote.firma.de
ich habe das zertifikat exportiert und per mail an das handy geschickt und installiert
das handy neu gestartet
das problem besteht aber immernoch!

ich habe übrigens kein dyndns konto oderso ich habe dort eine feste ip von der telekom und ich schätze auf diese sollte das zertifikat ausgestellt werden.

PS ich habe sowohl das remote.firma.de als auch das server-ca zertifikat auf dem handy importiert
GuentherH
GuentherH 21.06.2011 um 19:26:05 Uhr
Goto Top
Hallo.

Kannst du den nun auf https://remote.firma.de/owa ohne Zertfikatsfehlermeldung zugreifen. Und nicht über die IP Adresse sonder über den Namen (FQDN).

LG Günther
3faltigkeit
3faltigkeit 21.06.2011 um 19:31:36 Uhr
Goto Top
Hey Günther,

ich hab gerade jetzt nach Feierabend mich noch einmal in Ruhe mit dem Problem beschäftigt. Und du hast natürlich vollkommen Recht ...denke ich face-smile
Also ich habe jetzt noch einmal folgendes gemacht:

1. mir beim Webhoster des Kunden eine Subdomain angelegt: mail.firma.de und dort die FesteIP der Telekom hinterlegt -> damit ist das Ganze schonmal von draußen mit einem DNS namen erreichbar
2. ich habe wie du gesagt hast dieses Internetdomänen Assistenten Teil in der SBS Console unter Netzwerk-Konnektivität ausgeführt und mir die mail.firma.de geben lassen -> dementsprechend hat er die ZErtifikate angelegt und gleich an den korrekten stellen eingefüht (Bindungen IIS)
3. Dann hab ich mir das CA Zertifikat der Zertifizierungsstelle mittels MMC Plugin raus gesucht und exportiert sowie dieses dann auf meinem Notebook unter Vertrauenswürdigen Stammzertifizierungsstellen installiert
4 Dann habe ich mal den ActiveSyncTester das Ganze Testen lassen und TADA: das Zertifikat wird verifiziert und alles ist 100% so wie es sein soll!!!!

OK ich habe das jetzt noch nicht an dem besagten Handy getestet... aber ich denke, man kann davon ausgehen ,dass es funktionieren wird... (es besthet ja kein Zertifikat Problem mehr)

Ich werde Morgen versuchen das Exchange Konto zu löschen und dann als Server mail.firma.de benutzen und natürlich das CA Zertifikat installieren ... nach de scheinbar sehr wichtigen Geräteneustart wirds sicher funktionieren. Ich melde mich dann hier wies gelaufen ist!

Vielen vielen dank für eure Mithilfe!

Grüße aus Kassel (und ins schöne Eichsfeld)
GuentherH
GuentherH 21.06.2011 um 21:17:10 Uhr
Goto Top
Hallo.

Dann hab ich mir das CA Zertifikat der Zertifizierungsstelle mittels MMC Plugin raus gesucht und exportiert

Ist nicht notwendig. Starte einmal http://companyweb - hier wird genau beschrieben, wie das Zertifikat installiert wird, und wo das Installationspakte liegt - sollte bei dir \\dein_Server\Public\Downloads sein.
Zudem sollte das Zertifikat auf Clients die über http://connect in die Domäne eingebunden werden automatisch installiert werden.

LG Günther