ich möchte nochmals hier einen Post dazu aufmachen, da ich es absolut nicht hinbekomme. Eigentlich würde es ja auch laufen, aber ich bekomme einfach im https:/www.testexchangeconnectivity.com nicht die Meldung weg, dass die Zertifikatskette nicht gefunden wird bezw dass das Zertifikat untrusted ist.
Ich weiss, dass ich es schon einmal hinbekommen hatte, fragt mich nicht wie. Ich weiss nur , dass ich dabei noch einen EdgeTransport Server in der DMZ stehen hatte. Ob das nun was damit zutun hat, weiss ich nicht.
Ich stelle mir im Augenblick die generelle Frage, ob man überhaupt in der Lage ist, mit einer eigenen ADintegrieten RootCA ein Zertifikat so herzustellen, dass über die Testseite alle Test funktionieren. Auch stelle ich mir nun die Frage, ob der Name der RootCA in Bezug auf Exchange 2007 / 2010 nicht doch einen Einfluss hat: wenn z.B. meine SMTP - Domäne test.Zuhause.ch heisst, muss die RootCA dann auch test.Zuhause.ch beinhalten oder könnte die auch "Hans Wurst - ROOTCA" heissen.
Leider bekomme ich es aber auch nicht intern hin. Soll heissen, selbst wenn ich nun den Outlook RPC über HTTPS Test machen vom Exchangeserver selber , selbst dann schlägt der Test wegen dem Zertifikatsfehler fehl. Angeblich fehlt mir ein Zertifikate der Zwischenzertifizierungsstelle.
Es wird doch unter Euch jemanden geben, der auch eine eigene RootCA betreut und weiss welchen Fehler man da machen Kann.
Generell habe ich schon sämliche Hinweise im Netz durchgeackert als da waren:
- DNS richtig konfigurieren
- SAN Zertifikat erstellt
- Alle Zertifikate nur über die PS installiert und eingerichtet
- mit und ohne aktiven ipv6
- hostfile modifiziert.
- Autodiscover Url in PS konfiguriert
So, ich habe nun wirklich Wochen getestet. Und dabei haben sich einige Punkte in Bezug auf das Thema Zertifikate beim Exchange 2007 / 2010 ergeben.
Ich habe nun eine RootCA erstellt auf einem STandaloneServer . Dann den Backend-Exchange installiert mit Domäne etc.... Dort habe ich eine Untergeordnete CA erstellt von der RootCA zertifizieren lassen. Dann RootCA offline genommen. Dann den Exchange wie immer installiert und konfiguriert. Ein SAN-Zertifikat erstllt, importiert, konfiguriert .
Wenn ich nun die Zertifizierungskette auf einem Client importiere, auch wenn er nicht in der Domäne ist, dann funktioniert es super. Auch das CA ist ok, trusted etc, alles Tip-Top.
FAZIT: Diese Fehlermeldung von der Testseite von Microsoft hat absolult nichts zu sagen. Sie hat nur eine Aussage:
"Kaufe Dir ein öffentliches Zertifikat von einer Zertifizierungsstelle die wir auch kennen"
Somit könnt ihr diese Fehlermeldung getrost übersehen, wenn Ihr:
- kein öffentliches Zertifikat kaufen wollte ( was sicher in kleinen Umgebungen auch nicht nötig ist)
- Ihr die Funktionsweise Eurer Umgebung mal auf einem externen client über Outlook, Mobile, WebAccess etc gestestet habt und Ihr keine Zertifikatsfehler erhaltet.
Somit ist ebend dann doch nicht alles schlecht auch wenns auf dem ersten Blick so aussieht.
