14
SSL-Zertifikat für SBS2003
Hallo zusammen,
zu Testzwecken habe ich einen guten alten SBS2003 übernommen. Nun würde ich gerne Outlook den Zugriff von außen auf den SBS via RPC über http ermöglichen. Leider besitze ich kein vertrauenswürdiges Zertifikat.
Da wir mehrere statische IP's besitzen habe ich den SBS also direkt hinter die Firewall gehangen und erstmal nur den Port 443 auf den Server weitergeleitet.
Der Exchange ist so konfiguriert, dass er über einen Email-Account bei 1und1 versendet. Eingehende Mails landen bei 1und1, werden aber von POPCon abgeholt und in die Postfächer auf dem Exchange verteilt.
Der Zugriff von außen auf OWA funktioniert. Auch lassen sich Mobiltelefone problemlos einrichten. Auch die Anbindung eines Mail-Clients (Evolution auf Linux) funktioniert.
Leider kann ich mich aber nicht mit Outlook am Exchange via HTTPS anmelden. Ich komme bis zur Anmeldung und gebe als Logindaten domain\username und das Passwort ein. Dann fängt Outlook an zu rödeln und quittiert mit der Fehlermeldung, dass Outlook, bzw. der Exchange-Server offline seien. Alle Versuche eine andere Authentifizierung zu verwenden sind ebenfalls gescheitert. Habe daraufhin im Web gesucht und vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird. Evolution meldete das Zertifikatproblem bei der Einrichtung ebenfalls. Jedoch konnte ich dort "trotzdem fortsetzen" anklicken und es funktionierte.
Meine Frage ist, ob ich nicht ein SSL-Zertifikat oder einen SSL-Proxyserver von 1und1 nutzen kann. Beides ist in unserem Vertrag (1und1 Managed Server) inklusive und wird bisher nicht genutzt. Leider kenne ich mich nicht wirklich mit SSL-Zertifikaten, bzw. Proxyservern aus. Wenn ich das richtig verstanden habe dient der Proxyserver als Zwischenstelle. Den kann ich ja im Outlook auch angeben wenn ich ein Konto erstellen möchte, dass Exchange über HTTPS ansprechen soll.
Im 1und1 Control-Center habe ich eine Domain mail.firma.de mit DNS-Umleitung auf meine feste IP-Adresse eingerichtet. Wenn ich die nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort, nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Nun kann ich aber im Control-Center auch ein SSL-Zertifikat und/oder einen SSL-Proxyserver für eine Domain, bzw. Subdomain anlegen. Daher nun die Frage, ob ich bei 1und1 ein Zertifikat auf mail.firma.de ausstellen und dieses dann aber auf meinem privaten SBS installieren kann obwohl die Subdomain auf meine feste IP zeigt?
Oder kann ich einen SSL-Proxyserver bei 1und1 für die Domain mail.firma.de anlegen und gebe diesen dann für die Verbindung im Outlook-Konto an? Irgendwo fehlt mir da die Logik. Denn schließlich ist die Subdomain ja auf meine feste IP geroutet. Demnach könnte ich ja die subdomain auf jede IP der Welt routen und der SSL-Proxyserver würde die als vertrauenswürdig einstufen? Kann ja irgendiwe nicht sein... - oder doch?
Letztlich könnte ich natürlich auch ein Zertifikat erwerben und dieses auf dem Server installieren. Aber wenn ich ja schon ein Zertifikat bei 1und1 bekomme, bzw. einen SSL-Proxyserver einrichten kann, kann man ja mal nachfragen ob das so auch möglich ist.
Viele Dank für Eure Mithilfe.
Gruß
Michael
zu Testzwecken habe ich einen guten alten SBS2003 übernommen. Nun würde ich gerne Outlook den Zugriff von außen auf den SBS via RPC über http ermöglichen. Leider besitze ich kein vertrauenswürdiges Zertifikat.
Da wir mehrere statische IP's besitzen habe ich den SBS also direkt hinter die Firewall gehangen und erstmal nur den Port 443 auf den Server weitergeleitet.
Der Exchange ist so konfiguriert, dass er über einen Email-Account bei 1und1 versendet. Eingehende Mails landen bei 1und1, werden aber von POPCon abgeholt und in die Postfächer auf dem Exchange verteilt.
Der Zugriff von außen auf OWA funktioniert. Auch lassen sich Mobiltelefone problemlos einrichten. Auch die Anbindung eines Mail-Clients (Evolution auf Linux) funktioniert.
Leider kann ich mich aber nicht mit Outlook am Exchange via HTTPS anmelden. Ich komme bis zur Anmeldung und gebe als Logindaten domain\username und das Passwort ein. Dann fängt Outlook an zu rödeln und quittiert mit der Fehlermeldung, dass Outlook, bzw. der Exchange-Server offline seien. Alle Versuche eine andere Authentifizierung zu verwenden sind ebenfalls gescheitert. Habe daraufhin im Web gesucht und vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird. Evolution meldete das Zertifikatproblem bei der Einrichtung ebenfalls. Jedoch konnte ich dort "trotzdem fortsetzen" anklicken und es funktionierte.
Meine Frage ist, ob ich nicht ein SSL-Zertifikat oder einen SSL-Proxyserver von 1und1 nutzen kann. Beides ist in unserem Vertrag (1und1 Managed Server) inklusive und wird bisher nicht genutzt. Leider kenne ich mich nicht wirklich mit SSL-Zertifikaten, bzw. Proxyservern aus. Wenn ich das richtig verstanden habe dient der Proxyserver als Zwischenstelle. Den kann ich ja im Outlook auch angeben wenn ich ein Konto erstellen möchte, dass Exchange über HTTPS ansprechen soll.
Im 1und1 Control-Center habe ich eine Domain mail.firma.de mit DNS-Umleitung auf meine feste IP-Adresse eingerichtet. Wenn ich die nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort, nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Nun kann ich aber im Control-Center auch ein SSL-Zertifikat und/oder einen SSL-Proxyserver für eine Domain, bzw. Subdomain anlegen. Daher nun die Frage, ob ich bei 1und1 ein Zertifikat auf mail.firma.de ausstellen und dieses dann aber auf meinem privaten SBS installieren kann obwohl die Subdomain auf meine feste IP zeigt?
Oder kann ich einen SSL-Proxyserver bei 1und1 für die Domain mail.firma.de anlegen und gebe diesen dann für die Verbindung im Outlook-Konto an? Irgendwo fehlt mir da die Logik. Denn schließlich ist die Subdomain ja auf meine feste IP geroutet. Demnach könnte ich ja die subdomain auf jede IP der Welt routen und der SSL-Proxyserver würde die als vertrauenswürdig einstufen? Kann ja irgendiwe nicht sein... - oder doch?
Letztlich könnte ich natürlich auch ein Zertifikat erwerben und dieses auf dem Server installieren. Aber wenn ich ja schon ein Zertifikat bei 1und1 bekomme, bzw. einen SSL-Proxyserver einrichten kann, kann man ja mal nachfragen ob das so auch möglich ist.
Viele Dank für Eure Mithilfe.
Gruß
Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 194764
Url: https://administrator.de/contentid/194764
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo.
Gibt es beim Zugriff auf OWA eine Zertifikatsfehlermeldung?
LG Günther
vermute nun, dass es am selbsterstellten Zertifikat liegt, welches als nicht vertrauenswürdig eingestuft wird
Gibt es beim Zugriff auf OWA eine Zertifikatsfehlermeldung?
LG Günther
Zitat von @michael2105:
Wenn ich die
nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort,
nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Wenn ich die
nun aufrufe lande ich auf der default-Website des IIS. Auf den OWA-Login komme ich mit mail.firma.de/exchange und kann mich dort,
nachdem ich das nicht vertrauenswürdige Zertifikat akzeptiert habe auch einloggen.
Oder hab ichs grad verrafft?
Gruß
Hallo und vielen Dank für Eure Hilfe.
Es erscheint die Meldung, dass dieser Verbindung nicht vertraut wird, da das Zertifikat von keiner vertrauenswürdigen Beglaubigungsstelle unterzeichnet wurde.
Das Protokoll ist SSL 3.0 und wurde mit RC4 und 128bit verschlüsselt.
Viele Grüße
Michael
Es erscheint die Meldung, dass dieser Verbindung nicht vertraut wird, da das Zertifikat von keiner vertrauenswürdigen Beglaubigungsstelle unterzeichnet wurde.
Das Protokoll ist SSL 3.0 und wurde mit RC4 und 128bit verschlüsselt.
Viele Grüße
Michael
Was du bräuchtest wäre ein Multi Domain Zertifikat das die Interne und Externe Domain umfasst. Wenn du ein Zertifikat mit dem Interne Domainnamen verwendest bekommst du die Zertifikatsmeldung wenn du von Extern drauf gehst. Wenn du eines mit Externem Domainnamen nutzt dann bekommst du die meldung wenn du von Intern drauf gehst.
Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.
LG Andy
Daher brauchst du 1 Zertifikat das 2 Domains inkludiert hat.
LG Andy
Ja - das klingt logisch. Ich könnte aber auch das nicht vertrauenswürdige Zertifikat im LAN der Firma manuell installieren. Ist zwar ein bisschen Arbeit aber es ist überschaubar.
Leider beantwortet das jedoch nicht meine Frage, ob ich das 1und1-Zertifikat oder den 1und1-SSL-Proxyserver auf dem SBS hier im Haus nutzen kann.
Gruß
Michael
Das Zertifikat kannst du nutzen. Leider komme ich aus Österreich und kenne 1&1 nur aus der werbung im TV.
Ob der Proxy gut is kann ich dir nicht sagen. Ich würde aber bei einem SBS keinen Externen Proxy verwenden. Kannst du diesen Proxy selbst administrieren ?
LG Andy
Ob der Proxy gut is kann ich dir nicht sagen. Ich würde aber bei einem SBS keinen Externen Proxy verwenden. Kannst du diesen Proxy selbst administrieren ?
LG Andy
Moin moin
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
Ich denke nicht. Man kann den Proxy im Control-Center anlegen und für eine Domain oder Subdomain einrichten lassen. Das geht alles automatisch. Einen Root-Zugriff oder administrativen Zugang auf den Server bekommt man sicher nicht.
Hier ist ein Link zur Hilfe von 1und1 bzgl. SSLZertifakte und Proxy-Server:
http://hilfe-center.1und1.de/domains-c82638/ssl-und-weitere-services-c8 ...
Zitat von @100192:
Moin moin
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf
Zertifikat installieren, und folgen Sie den Anweisungen.
Moin moin
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https:/xyx.xy/remote
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf
Zertifikat installieren, und folgen Sie den Anweisungen.
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.
Gruß
Michael
Zitat von @michael2105:
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat
habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein
OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.
Gruß
Michael
Danke - aber das geht trotzdem nicht wenn ich Zuhause mein Outlook via HTTPS an den Exchange anbinden möchte. Das Zertifikat
habe ich bereits manuell installiert. Outlook ist da aber trotzdem hartnäckig und stellt keine Verbindung her. Auch ist mein
OWA zuhause mit manuell installiertem Zertifikat *vertrauenswürdig* - aber Outlook geht nicht.
Gruß
Michael
Ja Logisch weil im Zertifikat die Interne Domain steht und nicht die Externe. Wenn du mit dem Internet Explorer aud www.firma.de gehst und im Zertifikat firma.local steht meldet der Internet explorer das dieses Zertifikat nicht stimmen kann weil die Domain nicht gleich ist.
LG Andy
Hallo.
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
- Erstelle das Zertifikat mit dem korrekten Namen. Wenn du z.B. von extern auf webmail.deine_Firma.de zugreifst, dann muss auch das Zertifikat auf webmail.deine_Firma.de lauten.
- Importiere das Zertifikat in die vertrauenswürdigen Stammzertifikate
- Teste mit OWA, es darf keine Zertifikatsfehlermeldung kommen
- Konfiguriere Outlook, und sei glücklich damit
Es ist kein Problem mit dem SBS2003 und einem selbst erstellen Zertifikat zu arbeiten.
LG Günther
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
- Erstelle das Zertifikat mit dem korrekten Namen. Wenn du z.B. von extern auf webmail.deine_Firma.de zugreifst, dann muss auch das Zertifikat auf webmail.deine_Firma.de lauten.
- Importiere das Zertifikat in die vertrauenswürdigen Stammzertifikate
- Teste mit OWA, es darf keine Zertifikatsfehlermeldung kommen
- Konfiguriere Outlook, und sei glücklich damit
Es ist kein Problem mit dem SBS2003 und einem selbst erstellen Zertifikat zu arbeiten.
LG Günther
Ein Zertifikat habe ich ja bereits erstellt und arbeite damit. Ich habe mir nun nochmal das Zertifikat angesehen. Es ist gültig für alle ausegegebenen Richtlinien und alle Anwendungsrichtlinien.
In den Details steht unter Aussteller und Antragssteller folgendes:
CN = mail.firma.de
CN = companyweb
CN = firma-server
CN = localhost
CN = firma-server.firma.local
Wo soll ich das Zertifikat importieren? Am Client will ich das ja eben nicht manuell importieren. Im LAN innerhalb der Firma kann ich das machen - das ist ja kein Problem. Ich habe aber noch 50 Angestellte die gerne per Webmail Zuhause an ihrem Rechner auf OWA zugreifen oder sich per Outlook mit dem Exchange verbinden möchten. Und das geht halt nicht richtig. Leider haben Angestellte zumeist das Problem, dass sie bei dieser Meldung wie ein Ochse vor dem Berg stehen und damit nicht anfangen können. Und ich kann ja schlecht zu 50 Leuten nach Hause fahren um ein Zertifikat zu installieren.
Ich möchte dass der Otto-Normal-User Zuhause die OWA-Url eingibt und dann muss das gehen - und zwar ohne irgendeine Meldung. Und was anderes kommt auch nicht in Frage.
Meine Fragestellung war ja auch, ob ich das 1und1-Zertifikat auf dem SBS nutzen kann.
Das ich das nicht vertrauenswürdige Zertifikat Zuhause manuell installieren kann und die Fehlermeldung dann weg ist - soweit bin ich ja schon längst. Jedenfalls an meinem eigenen Rechner Zuhause. Trotzdem klappt der Zugriff mit Outlook nicht. Oder vestehe ich jetzt grundlegend etwas falsch?
Gruß
Michael
In den Details steht unter Aussteller und Antragssteller folgendes:
CN = mail.firma.de
CN = companyweb
CN = firma-server
CN = localhost
CN = firma-server.firma.local
Wo soll ich das Zertifikat importieren? Am Client will ich das ja eben nicht manuell importieren. Im LAN innerhalb der Firma kann ich das machen - das ist ja kein Problem. Ich habe aber noch 50 Angestellte die gerne per Webmail Zuhause an ihrem Rechner auf OWA zugreifen oder sich per Outlook mit dem Exchange verbinden möchten. Und das geht halt nicht richtig. Leider haben Angestellte zumeist das Problem, dass sie bei dieser Meldung wie ein Ochse vor dem Berg stehen und damit nicht anfangen können. Und ich kann ja schlecht zu 50 Leuten nach Hause fahren um ein Zertifikat zu installieren.
Ich möchte dass der Otto-Normal-User Zuhause die OWA-Url eingibt und dann muss das gehen - und zwar ohne irgendeine Meldung. Und was anderes kommt auch nicht in Frage.
Meine Fragestellung war ja auch, ob ich das 1und1-Zertifikat auf dem SBS nutzen kann.
Das ich das nicht vertrauenswürdige Zertifikat Zuhause manuell installieren kann und die Fehlermeldung dann weg ist - soweit bin ich ja schon längst. Jedenfalls an meinem eigenen Rechner Zuhause. Trotzdem klappt der Zugriff mit Outlook nicht. Oder vestehe ich jetzt grundlegend etwas falsch?
Gruß
Michael
Zitat von @GuentherH:
Hallo.
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
LG Günther
Hallo.
- Führe den Assistenten des SBS 2003 wie hier beschrieben aus - http://www.sbspraxis.de/owa/owa002/owa002.html
- Aktiviere zusätzlich noch Outlook Mobile Access und Outlook über das Internet
LG Günther
Den Assistenten habe ausgeführt, jedoch stimmt das Tutorial nicht mit meinem Assistenten überein. Ich kann nicht die einzelnen Emaildienste wie bei Punkt 6&7 auswählen. Bei mir steht da lediglich "Internet-Email aktivieren".
Gruß
Michael
Hi.
Dann musst du mit einem gekauften Zertifikat arbeiten.
LG Günther
Ich möchte dass der Otto-Normal-User Zuhause die OWA-Url eingibt und dann muss das gehen - und zwar ohne irgendeine Meldung
Dann musst du mit einem gekauften Zertifikat arbeiten.
LG Günther
