SSL-Zertifikat für SBS2003
Hallo zusammen,
zu Testzwecken habe ich einen guten alten SBS2003 übernommen. Nun würde ich gerne Outlook den Zugriff von außen auf den SBS via RPC über http ermöglichen. Leider besitze ich kein vertrauenswürdiges Zertifikat.
Da wir mehrere statische IP's besitzen habe ich den SBS also direkt hinter die Firewall gehangen und erstmal nur den Port 443 auf den Server weitergeleitet.
Der Exchange ist so konfiguriert, dass er über einen Email-Account bei 1und1 versendet. Eingehende Mails landen bei 1und1, werden aber von POPCon abgeholt und in die Postfächer auf dem Exchange verteilt.
Der Zugriff von außen auf OWA funktioniert. Auch lassen sich Mobiltelefone problemlos einrichten. Auch die Anbindung eines Mail-Clients (Evolution auf Linux) funktioniert.
Leider kann ich mich aber nicht mit Outlook am Exchange via HTTPS anmelden. Ich komme bis zur Anmeldung und gebe als Logindaten domain\username und das Passwort ein. Dann fängt Outlook an zu rödeln und quittiert mit der Fehlermeldung, dass Outlook, bzw. der Exchange-Server offline seien. Alle Versuche eine andere Authentifizierung zu verwenden sind ebenfalls gescheitert. Habe daraufhin im Web gesucht und vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird. Evolution meldete das Zertifikatproblem bei der Einrichtung ebenfalls. Jedoch konnte ich dort "trotzdem fortsetzen" anklicken und es funktionierte.
Meine Frage ist, ob ich nicht ein SSL-Zertifikat oder einen SSL-Proxyserver von 1und1 nutzen kann. Beides ist in unserem Vertrag (1und1 Managed Server) inklusive und wird bisher nicht genutzt. Leider kenne ich mich nicht wirklich mit SSL-Zertifikaten, bzw. Proxyservern aus. Wenn ich das richtig verstanden habe dient der Proxyserver als Zwischenstelle. Den kann ich ja im Outlook auch angeben wenn ich ein Konto erstellen möchte, dass Exchange über HTTPS ansprechen soll.
Im 1und1 Control-Center habe ich eine Domain mail.firma.de mit DNS-Umleitung auf meine feste IP-Adresse eingerichtet. Wenn ich die nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort, nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Nun kann ich aber im Control-Center auch ein SSL-Zertifikat und/oder einen SSL-Proxyserver für eine Domain, bzw. Subdomain anlegen. Daher nun die Frage, ob ich bei 1und1 ein Zertifikat auf mail.firma.de ausstellen und dieses dann aber auf meinem privaten SBS installieren kann obwohl die Subdomain auf meine feste IP zeigt?
Oder kann ich einen SSL-Proxyserver bei 1und1 für die Domain mail.firma.de anlegen und gebe diesen dann für die Verbindung im Outlook-Konto an? Irgendwo fehlt mir da die Logik. Denn schließlich ist die Subdomain ja auf meine feste IP geroutet. Demnach könnte ich ja die subdomain auf jede IP der Welt routen und der SSL-Proxyserver würde die als vertrauenswürdig einstufen? Kann ja irgendiwe nicht sein... - oder doch?
Letztlich könnte ich natürlich auch ein Zertifikat erwerben und dieses auf dem Server installieren. Aber wenn ich ja schon ein Zertifikat bei 1und1 bekomme, bzw. einen SSL-Proxyserver einrichten kann, kann man ja mal nachfragen ob das so auch möglich ist.
Viele Dank für Eure Mithilfe.
Gruß
Michael
zu Testzwecken habe ich einen guten alten SBS2003 übernommen. Nun würde ich gerne Outlook den Zugriff von außen auf den SBS via RPC über http ermöglichen. Leider besitze ich kein vertrauenswürdiges Zertifikat.
Da wir mehrere statische IP's besitzen habe ich den SBS also direkt hinter die Firewall gehangen und erstmal nur den Port 443 auf den Server weitergeleitet.
Der Exchange ist so konfiguriert, dass er über einen Email-Account bei 1und1 versendet. Eingehende Mails landen bei 1und1, werden aber von POPCon abgeholt und in die Postfächer auf dem Exchange verteilt.
Der Zugriff von außen auf OWA funktioniert. Auch lassen sich Mobiltelefone problemlos einrichten. Auch die Anbindung eines Mail-Clients (Evolution auf Linux) funktioniert.
Leider kann ich mich aber nicht mit Outlook am Exchange via HTTPS anmelden. Ich komme bis zur Anmeldung und gebe als Logindaten domain\username und das Passwort ein. Dann fängt Outlook an zu rödeln und quittiert mit der Fehlermeldung, dass Outlook, bzw. der Exchange-Server offline seien. Alle Versuche eine andere Authentifizierung zu verwenden sind ebenfalls gescheitert. Habe daraufhin im Web gesucht und vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird. Evolution meldete das Zertifikatproblem bei der Einrichtung ebenfalls. Jedoch konnte ich dort "trotzdem fortsetzen" anklicken und es funktionierte.
Meine Frage ist, ob ich nicht ein SSL-Zertifikat oder einen SSL-Proxyserver von 1und1 nutzen kann. Beides ist in unserem Vertrag (1und1 Managed Server) inklusive und wird bisher nicht genutzt. Leider kenne ich mich nicht wirklich mit SSL-Zertifikaten, bzw. Proxyservern aus. Wenn ich das richtig verstanden habe dient der Proxyserver als Zwischenstelle. Den kann ich ja im Outlook auch angeben wenn ich ein Konto erstellen möchte, dass Exchange über HTTPS ansprechen soll.
Im 1und1 Control-Center habe ich eine Domain mail.firma.de mit DNS-Umleitung auf meine feste IP-Adresse eingerichtet. Wenn ich die nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort, nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Nun kann ich aber im Control-Center auch ein SSL-Zertifikat und/oder einen SSL-Proxyserver für eine Domain, bzw. Subdomain anlegen. Daher nun die Frage, ob ich bei 1und1 ein Zertifikat auf mail.firma.de ausstellen und dieses dann aber auf meinem privaten SBS installieren kann obwohl die Subdomain auf meine feste IP zeigt?
Oder kann ich einen SSL-Proxyserver bei 1und1 für die Domain mail.firma.de anlegen und gebe diesen dann für die Verbindung im Outlook-Konto an? Irgendwo fehlt mir da die Logik. Denn schließlich ist die Subdomain ja auf meine feste IP geroutet. Demnach könnte ich ja die subdomain auf jede IP der Welt routen und der SSL-Proxyserver würde die als vertrauenswürdig einstufen? Kann ja irgendiwe nicht sein... - oder doch?
Letztlich könnte ich natürlich auch ein Zertifikat erwerben und dieses auf dem Server installieren. Aber wenn ich ja schon ein Zertifikat bei 1und1 bekomme, bzw. einen SSL-Proxyserver einrichten kann, kann man ja mal nachfragen ob das so auch möglich ist.
Viele Dank für Eure Mithilfe.
Gruß
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 194764
Url: https://administrator.de/contentid/194764
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @michael2105:
Wenn ich die
nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort,
nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Wenn ich die
nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort,
nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Oder hab ichs grad verrafft?
Gruß
Was du bräuchtest wäre ein Multi Domain Zertifikat das die Interne und Externe Domain umfasst. Wenn du ein Zertifikat mit dem Interne Domainnamen verwendest bekommst du die Zertifikatsmeldung wenn du von Extern drauf gehst. Wenn du eines mit Externem Domainnamen nutzt dann bekommst du die meldung wenn du von Intern drauf gehst.
Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.
LG Andy
Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.
LG Andy
Moin moin
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
Zitat von @michael2105:
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat
habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein
OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.
Gruß
Michael
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat
habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein
OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.
Gruß
Michael
Ja Logisch weil im Zertifikat die Interne Domain steht und nicht die Externe. Wenn du mit dem Internet Explorer aud www.firma.de gehst und im Zertifikat firma.local steht meldet der Internet explorer das dieses Zertifikat nicht stimmen kann weil die Domain nicht gleich ist.
LG Andy
Hallo.
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
- Erstelle das Zertifikat mit dem korrekten Namen. Wenn du z.B. von extern auf webmail.deine_Firma.de zugreifst, dann muss auch das Zertifikat auf webmail.deine_Firma.de lauten.
- Importiere das Zertifikat in die vertrauenswürdigen Stammzertifikate
- Teste mit OWA, es darf keine Zertifikatsfehlermeldung kommen
- Konfiguriere Outlook, und sei glücklich damit
Es ist kein Problem mit dem SBS2003 und einem selbst erstellen Zertifikat zu arbeiten.
LG Günther
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
- Erstelle das Zertifikat mit dem korrekten Namen. Wenn du z.B. von extern auf webmail.deine_Firma.de zugreifst, dann muss auch das Zertifikat auf webmail.deine_Firma.de lauten.
- Importiere das Zertifikat in die vertrauenswürdigen Stammzertifikate
- Teste mit OWA, es darf keine Zertifikatsfehlermeldung kommen
- Konfiguriere Outlook, und sei glücklich damit
Es ist kein Problem mit dem SBS2003 und einem selbst erstellen Zertifikat zu arbeiten.
LG Günther