keitheyeball
Goto Top

Zielprinzipalname falsch (Outlook 2016 und lokaler Mailserver)

Guten Tag zusammen,

ich stehe vor einem, für mich, unlösbarem Problem. Auch mit tagelanger Suche bei Google komme ich nicht weiter, was zum einen daran liegen könnte das ich mich zu dumm anstelle, oder die Lösung so einfach ist das ich den Wald vor lauter Bäumen nicht sehe.

Ich arbeite in einem kleinen Betrieb und wir haben nun anfangen müssen, Mails etc. zu archivieren wie es der Gesetzgeber fordert. Dafür wurde folgende Infrastruktur angeschafft und soweit durch mich in Betrieb genommen:

- HP MicroServer Gen10 mit Windows 2016 Server
- hMailServer als lokaler Mailserver
- MailStore Server zum Archivieren der Mails
- MailStore Proxy als Schnittstelle zwischen dem Mailserver und Mailstore
- Outlook 2016 auf allen Clients

Alles funktioniert soweit wunderbar. Der Proxy schaltet sich zwischen Mailclient und MailStore Server und fängt eingehende und ausgehende Mails ab um sie direkt zu archivieren. Allerdings gibt es ein Problem, wessen ich nicht Herr werde. Verschicke ich aus Outlook 2016 heraus eine Mail, kommt ein mal pro Session der Hinweis das der Zielprinzipalname des Zertifikats falsch sei. Das Zertifikat stammt laut Name vom MailStore Proxy, dort finde ich aber keine Möglichkeiten es zu ändern oder ein neues einzuspielen. In den Dokumentationen (die sehr dürftig sind finde ich) steht dazu auch nichts. Es ist nervig, diese Meldung jedesmal wegklicken zu müssen.
Bei Google finde ich dann immer Antworten wie "Installiere einfach dein eigenes Zeritifkat", aber ich weiß nicht so wirklich wie und vor allem welches. Die meisten Anleitungen beziehen sich immer auf IIS, und das nutzen wir ja gar nicht.

Folgende Fragen hätte ich

a) Wie installiere ich ein eigenes Zertifikat richtig?
b) Kann ich dieses selber ausstellen, oder muss ich eines kaufen?
c) Könnte ich das vorhandene (welches laut Meldung eine Gültigkeit bis 2038 besitzt) "bearbeiten" und diesen Zielprinzipalnamen ergänzen?

Content-Key: 383231

Url: https://administrator.de/contentid/383231

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: SeaStorm
SeaStorm 13.08.2018 aktualisiert um 15:40:54 Uhr
Goto Top
Hi

entschuldige die "blöde" Antwort, aber: Du hast gerade ein Produkt für nicht wenig Geld gekauft.
Bemühe den Herstellersupport. Dafür zahlt man das doch....

Zu
a) Siehe oben face-smile (EDIT: Kurz gegoogled: https://help.mailstore.com/en/spe/Replace_Self-signed_SSL_Certificates ist es das ?)
b) kommt drauf an ob du schon eine interne Trusted CA hast. Wenn nein, ist es wohl einfacher eins zu kaufen. Wenn du eine hast, kannst du dir einfach über diese eines ausstellen
c)Nein
Mitglied: KeithEyeball
KeithEyeball 13.08.2018 aktualisiert um 15:59:01 Uhr
Goto Top
Dafür zahlt man das doch....
Die Lizenz ist nicht wirklich teuer, und davon abgesehen hat uns der Support gesagt das sie zwar Produktsupport leisten, aber keinen Support dafür, das wir eigene Zertifikate bekommen und einspielen. Außerdem geht es nicht um MailStore Archiv, sondern um den frei erhältlichen ProxyServer.

kommt drauf an ob du schon eine interne Trusted CA hast
Da ich nichtmal weiß was das ist, gehe ich mal davon aus das nicht. Also ich kaufe mir jetzt ein SSL Zertifikat und installiere das auf dem Server und fertig? Irgendwie verstehe ich das nicht, tut mir leid, wenn ich bei Anbietern schaue sind die alle für Webseiten oder eben IIS. Ich habe mich jetzt schon so weit durchgekämpft, dass ich das letzte kleine Problem gerne selber lösen möchte - blicke aber bei dem Zertifikatsdschungel noch nicht durch.

Zu deinem EDIT:
Nein, ist es nicht. Das ist die SPE Version von MailStore. Das zertifikat kommt aber vom MailStore Proxy, was mit dem MailStore Archivprogramm nichts zu tun hat. MailStore selber funktioniert, es geht nur um den Proxy und das Zertifikat dafür.
Mitglied: bloodstix
bloodstix 13.08.2018 aktualisiert um 17:20:12 Uhr
Goto Top
Ein SSL-Zertifikat ist ein SSL-Zertifikat. Diese Unterscheidung für IIS oder was anderes gibts eher nur bei MS.
Der "Zielprinzipalname" ist der Hostname/DNS-Name des Servers. Das vorinstallierte von Mailstore btw. dem Proxy ist ein selbstsigniertes Zertifikat von einer "nicht global bekannten/anerkannten Certificate Authority". Ein "richtiges" Zertifikat ist halt von einer CA ausgestellt, von denen die Browser/Betriebssysteme das Zertifikat der CA im Cert-Store haben.

Du könntest dieses Zertifikat vom Proxy abrufen und speichern und mit certmgr.msc an den Clients importieren, dann wird dem Zertifikat vertraut und die Warnung kommt nicht mehr.
Oder du kaufst dir von einem Zertifikatshändler wie www.thawte.de eins, welches die Clients dann ohne Beihilfe vertrauen. Hat den Nachteil das es Geld kostte und dafür müsstest du ein "Certificate Signing Request" (CSR) anfertigen.
Oder du suchst dir im Netz eine Lösung die mit Letsencrypt funktioniert, da gibts "richtige" Zertifikate für Umsonst.

Deutsche Anleitung von Mailstore:
https://help.mailstore.com/de/server/Verwendung_eigener_SSL_Zertifikate
Mitglied: KeithEyeball
KeithEyeball 13.08.2018 aktualisiert um 17:25:07 Uhr
Goto Top
Danke für die Erklärung. Das installieren des Zertifikates auf dem Client bringt leider nichts. Das Problem was ich nach wie vor habe: Wo sage ich wann das Zertifikat benutzt werden soll? Ich kaufe mir eines, oder zertifiziere mir selber eines, aber ich muss doch auch irgendwo sagen "Nimm jetzt das, und nicht mehr das alte".
Hier sieht man wie das Programm aussieht, und das ich dazu keine Möglichkeit habe weshalb ich vermute, ich kann/muss das irgendwo unter Windows direkt machen?
https://help.mailstore.com/de/server/MailStore_Proxy

EDIT:
Die Anleitung bezieht sich wieder auf MailStore Archiv! Dort geht es direkt über die Programmoberfläche wenn man möchte. Bitte beachtet das es zwei unterschiedliche Programme sind, einmal der Proxy, und einmal das Archiv. Diese Programme sind getrennt voneinander und brauchen sich für ihre Grundfunktion auch thereotisch nicht gegenseitig. Es ist nett, dass ihr mir immer auf die MailStore Archiv Hilfe linkt, aber die brauche ich nicht. Das Archiv läuft, es geht um den Proxy!
Mitglied: bloodstix
bloodstix 13.08.2018 um 17:41:38 Uhr
Goto Top
Also wenn es eine Warnung ist, das dem Zertifikat nicht vertraut wird, dann muss es etwas bringen dieses am Client zu installieren. Definitiv, sonst machst du leider was falsch.

Ich hab für dne Proxy bei Google dazu nichts gefunden. Ich würde dir vorschlagen dem Hersteller ne Mail zu schreiben und zu fragen wie genau man das entweder ein neues eigenes Zertifikat für den Proxy installieren kann, oder wie man das vom Proxy den Clients schönreden kann.
Mitglied: KeithEyeball
KeithEyeball 13.08.2018 um 17:51:06 Uhr
Goto Top
Also wenn es eine Warnung ist, das dem Zertifikat nicht vertraut wird, dann muss es etwas bringen dieses am Client zu installieren. Definitiv, sonst machst du leider was falsch.

Nein, mache ich nicht, es bringt nichts und das findet man auch überall in den Suchergebnissen zu dem Fehler bei Google. Das klappte bei älteren Clients, jedoch nicht bei Outlook 2016.
Beispiel: https://www.mailhilfe.de/warnung-fuer-sicherheitszertifikate-kann-nicht- ...
Mitglied: SeaStorm
SeaStorm 13.08.2018 um 21:35:55 Uhr
Goto Top
dann muss es etwas bringen dieses am Client zu installieren
Nein, nicht wenn das Zertifikat auf einen anderen Namen ausgestellt wurde, als die Clients drauf zugreifen.
Wenn das Zertifikat auf "mailstore.local" läuft und die Clients den Server unter mailstore.company.com drauf zugreife, kannst du das Zertifikat installieren wie du willst.
Mitglied: KeithEyeball
KeithEyeball 14.08.2018 um 14:22:17 Uhr
Goto Top
Problem gelöst. Für alle die vielleicht über Google mal hier landen mit dem gleichen Problem hier die Lösung:

MailStoreProxy bietet keine Möglichkeit das Zertifikat über die Benutzeroberfläche zu wechseln. Nachdem ich mich mit einer anderen Firma kurzgeschlossen habe die auch so archivieren, kam vom dortigen Admin der finale Tipp. Es muss ein neues Zertifikat erstellt werden (haben das mit XCA gemacht, geht super einfach: https://sourceforge.net/projects/xca/ ), wichtig ist das der CommonName (CN) auf jeden Fall immer MailStoreProxy lautet, ansonsten klappt es nicht. Zusätzlich muss man einen SubjectAlternativeName angeben, dies geht im Programm beim Erstellen des Zertifikats unter dem Tab Erweiterungen ganz unten, dort wählt man dann z. B. die IP aus und trägt den Wert des Servers ein, auf dem der MailStoreProxy läuft. Das Zertifikat installiert man dann auf dem Server unter "Eigene Zertifikate" und schon klappts auch mit Outlook face-smile