michael2105
Goto Top

SSL-Zertifikat für SBS2003

Hallo zusammen,

zu Testzwecken habe ich einen guten alten SBS2003 übernommen. Nun würde ich gerne Outlook den Zugriff von außen auf den SBS via RPC über http ermöglichen. Leider besitze ich kein vertrauenswürdiges Zertifikat.

Da wir mehrere statische IP's besitzen habe ich den SBS also direkt hinter die Firewall gehangen und erstmal nur den Port 443 auf den Server weitergeleitet.
Der Exchange ist so konfiguriert, dass er über einen Email-Account bei 1und1 versendet. Eingehende Mails landen bei 1und1, werden aber von POPCon abgeholt und in die Postfächer auf dem Exchange verteilt.

Der Zugriff von außen auf OWA funktioniert. Auch lassen sich Mobiltelefone problemlos einrichten. Auch die Anbindung eines Mail-Clients (Evolution auf Linux) funktioniert.

Leider kann ich mich aber nicht mit Outlook am Exchange via HTTPS anmelden. Ich komme bis zur Anmeldung und gebe als Logindaten domain\username und das Passwort ein. Dann fängt Outlook an zu rödeln und quittiert mit der Fehlermeldung, dass Outlook, bzw. der Exchange-Server offline seien. Alle Versuche eine andere Authentifizierung zu verwenden sind ebenfalls gescheitert. Habe daraufhin im Web gesucht und vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird. Evolution meldete das Zertifikatproblem bei der Einrichtung ebenfalls. Jedoch konnte ich dort "trotzdem fortsetzen" anklicken und es funktionierte.

Meine Frage ist, ob ich nicht ein SSL-Zertifikat oder einen SSL-Proxyserver von 1und1 nutzen kann. Beides ist in unserem Vertrag (1und1 Managed Server) inklusive und wird bisher nicht genutzt. Leider kenne ich mich nicht wirklich mit SSL-Zertifikaten, bzw. Proxyservern aus. Wenn ich das richtig verstanden habe dient der Proxyserver als Zwischenstelle. Den kann ich ja im Outlook auch angeben wenn ich ein Konto erstellen möchte, dass Exchange über HTTPS ansprechen soll.
Im 1und1 Control-Center habe ich eine Domain mail.firma.de mit DNS-Umleitung auf meine feste IP-Adresse eingerichtet. Wenn ich die nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort, nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.

Nun kann ich aber im Control-Center auch ein SSL-Zertifikat und/oder einen SSL-Proxyserver für eine Domain, bzw. Subdomain anlegen. Daher nun die Frage, ob ich bei 1und1 ein Zertifikat auf mail.firma.de ausstellen und dieses dann aber auf meinem privaten SBS installieren kann obwohl die Subdomain auf meine feste IP zeigt?
Oder kann ich einen SSL-Proxyserver bei 1und1 für die Domain mail.firma.de anlegen und gebe diesen dann für die Verbindung im Outlook-Konto an? Irgendwo fehlt mir da die Logik. Denn schließlich ist die Subdomain ja auf meine feste IP geroutet. Demnach könnte ich ja die subdomain auf jede IP der Welt routen und der SSL-Proxyserver würde die als vertrauenswürdig einstufen? Kann ja irgendiwe nicht sein... - oder doch?

Letztlich könnte ich natürlich auch ein Zertifikat erwerben und dieses auf dem Server installieren. Aber wenn ich ja schon ein Zertifikat bei 1und1 bekomme, bzw. einen SSL-Proxyserver einrichten kann, kann man ja mal nachfragen ob das so auch möglich ist.


Viele Dank für Eure Mithilfe.

Gruß
Michael

Content-ID: 194764

Url: https://administrator.de/contentid/194764

Ausgedruckt am: 12.11.2024 um 19:11 Uhr

GuentherH
GuentherH 23.11.2012 um 08:26:21 Uhr
Goto Top
Hallo.

vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird

Gibt es beim Zugriff auf OWA eine Zertifikatsfehlermeldung?

LG Günther
Philtaer
Philtaer 23.11.2012 aktualisiert um 08:54:53 Uhr
Goto Top
Zitat von @michael2105:
Wenn ich die
nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort,
nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.


Oder hab ichs grad verrafft? face-smile

Gruß
michael2105
michael2105 23.11.2012 um 09:28:54 Uhr
Goto Top
Hallo und vielen Dank für Eure Hilfe.

Es erscheint die Meldung, dass dieser Verbindung nicht vertraut wird, da das Zertifikat von keiner vertrauenswürdigen Beglaubigungsstelle unterzeichnet wurde.

Das Protokoll ist SSL 3.0 und wurde mit RC4 und 128bit verschlüsselt.

Viele Grüße
Michael
Ausserwoeger
Ausserwoeger 23.11.2012 um 09:30:55 Uhr
Goto Top
Was du bräuchtest wäre ein Multi Domain Zertifikat das die Interne und Externe Domain umfasst. Wenn du ein Zertifikat mit dem Interne Domainnamen verwendest bekommst du die Zertifikatsmeldung wenn du von Extern drauf gehst. Wenn du eines mit Externem Domainnamen nutzt dann bekommst du die meldung wenn du von Intern drauf gehst.

Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.

LG Andy
michael2105
michael2105 23.11.2012 aktualisiert um 09:36:54 Uhr
Goto Top
Zitat von @Ausserwoeger:
Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.

LG Andy


Ja - das klingt logisch. Ich könnte aber auch das nicht vertrauenswürdige Zertifikat im LAN der Firma manuell installieren. Ist zwar ein bisschen Arbeit aber es ist überschaubar.

Leider beantwortet das jedoch nicht meine Frage, ob ich das 1und1-Zertifikat oder den 1und1-SSL-Proxyserver auf dem SBS hier im Haus nutzen kann.

Gruß
Michael
Ausserwoeger
Ausserwoeger 23.11.2012 um 09:39:10 Uhr
Goto Top
Das Zertifikat kannst du nutzen. Leider komme ich aus Österreich und kenne 1&1 nur aus der werbung im TV.

Ob der Proxy gut is kann ich dir nicht sagen. Ich würde aber bei einem SBS keinen Externen Proxy verwenden. Kannst du diesen Proxy selbst administrieren ?

LG Andy
100192
100192 23.11.2012 um 10:00:11 Uhr
Goto Top
Moin moin

Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.

Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:

https:/xyx.xy/remote


Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
michael2105
michael2105 23.11.2012 aktualisiert um 10:13:44 Uhr
Goto Top
Zitat von @Ausserwoeger:
Kannst du diesen
Proxy selbst administrieren ?

LG Andy


Ich denke nicht. Man kann den Proxy im Control-Center anlegen und für eine Domain oder Subdomain einrichten lassen. Das geht alles automatisch. Einen Root-Zugriff oder administrativen Zugang auf den Server bekommt man sicher nicht.

Hier ist ein Link zur Hilfe von 1und1 bzgl. SSLZertifakte und Proxy-Server:
http://hilfe-center.1und1.de/domains-c82638/ssl-und-weitere-services-c8 ...
michael2105
michael2105 23.11.2012 um 10:13:13 Uhr
Goto Top
Zitat von @100192:
Moin moin

Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.

Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:

https:/xyx.xy/remote


Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf
Zertifikat installieren, und folgen Sie den Anweisungen.


Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.

Gruß
Michael
Ausserwoeger
Ausserwoeger 23.11.2012 um 10:19:00 Uhr
Goto Top
Zitat von @michael2105:
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat
habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein
OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.

Gruß
Michael

Ja Logisch weil im Zertifikat die Interne Domain steht und nicht die Externe. Wenn du mit dem Internet Explorer aud www.firma.de gehst und im Zertifikat firma.local steht meldet der Internet explorer das dieses Zertifikat nicht stimmen kann weil die Domain nicht gleich ist.

LG Andy
GuentherH
GuentherH 23.11.2012 um 10:39:01 Uhr
Goto Top
Hallo.

- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
- Erstelle das Zertifikat mit dem korrekten Namen. Wenn du z.B. von extern auf webmail.deine_Firma.de zugreifst, dann muss auch das Zertifikat auf webmail.deine_Firma.de lauten.
- Importiere das Zertifikat in die vertrauenswürdigen Stammzertifikate
- Teste mit OWA, es darf keine Zertifikatsfehlermeldung kommen
- Konfiguriere Outlook, und sei glücklich damit

Es ist kein Problem mit dem SBS2003 und einem selbst erstellen Zertifikat zu arbeiten.

LG Günther
michael2105
michael2105 23.11.2012 um 11:38:58 Uhr
Goto Top
Ein Zertifikat habe ich ja bereits erstellt und arbeite damit. Ich habe mir nun nochmal das Zertifikat angesehen. Es ist gültig für alle ausegegebenen Richtlinien und alle Anwendungsrichtlinien.

In den Details steht unter Aussteller und Antragssteller folgendes:
CN = mail.firma.de
CN = companyweb
CN = firma-server
CN = localhost
CN = firma-server.firma.local

Wo soll ich das Zertifikat importieren? Am Client will ich das ja eben nicht manuell importieren. Im LAN innerhalb der Firma kann ich das machen - das ist ja kein Problem. Ich habe aber noch 50 Angestellte die gerne per Webmail Zuhause an ihrem Rechner auf OWA zugreifen oder sich per Outlook mit dem Exchange verbinden möchten. Und das geht halt nicht richtig. Leider haben Angestellte zumeist das Problem, dass sie bei dieser Meldung wie ein Ochse vor dem Berg stehen und damit nicht anfangen können. Und ich kann ja schlecht zu 50 Leuten nach Hause fahren um ein Zertifikat zu installieren.

Ich möchte dass der Otto-Normal-User Zuhause die OWA-Url eingibt und dann muss das gehen - und zwar ohne irgendeine Meldung. Und was anderes kommt auch nicht in Frage.

Meine Fragestellung war ja auch, ob ich das 1und1-Zertifikat auf dem SBS nutzen kann.

Das ich das nicht vertrauenswürdige Zertifikat Zuhause manuell installieren kann und die Fehlermeldung dann weg ist - soweit bin ich ja schon längst. Jedenfalls an meinem eigenen Rechner Zuhause. Trotzdem klappt der Zugriff mit Outlook nicht. Oder vestehe ich jetzt grundlegend etwas falsch?

Gruß
Michael
michael2105
michael2105 23.11.2012 um 11:45:46 Uhr
Goto Top
Zitat von @GuentherH:
Hallo.

- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet

LG Günther

Den Assistenten habe ausgeführt, jedoch stimmt das Tutorial nicht mit meinem Assistenten überein. Ich kann nicht die einzelnen Emaildienste wie bei Punkt 6&7 auswählen. Bei mir steht da lediglich "Internet-Email aktivieren".


Gruß
Michael
GuentherH
GuentherH 23.11.2012 um 17:25:39 Uhr
Goto Top
Hi.

Ich möchte dass der Otto-Normal-User Zuhause die OWA-Url eingibt und dann muss das gehen - und zwar ohne irgendeine Meldung

Dann musst du mit einem gekauften Zertifikat arbeiten.

LG Günther