Jump to content
Sign in to follow this  
maverick82

Exchange 2007 - Problem mit Zertifikat

Recommended Posts

Hallo zusammen,

 

wir haben seit kurzem Exchange 2007 bei uns installiert (vorher gab's ein anderes Mailsystem).

Im LAN steht unser Exchange-Server mit dem FQDN exchange07.firma.int. In der DMZ steht ein ISA 2006 um OWA extern nutzbar zu machen. Das Zertifikat für OWA ist auf den Namen mail.firma.de ausgestellt. mail.firma.de ist der CNAME für den PTR-Eintrag exchange07.firma.de.

Der Zugriff von extern auf OWA funktioniert ohne Probleme. Allerdings haben wir intern das Problem beim Zugriff über den Namen exchange07.firma.de, dass wir die Zertifikats-Fehlermeldung bekommen, dass der angegebene Name ungültig ist ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").

 

Was müssen wir ändern, damit wir auch intern kein Fehler mehr mit dem Zertifikat bekommen?

 

 

PS: Die Artikel Exchange 2007 & Outlook Zertifikat Problem, Fehlende Übereinstimmung bei Zertifikat-Prinzipal Exchange 2007 und Exchange 2007 Zertifikate haben wir schon gelesen. Wir sind damit aber nicht weitergekommen.

Share this post


Link to post
Share on other sites

OWA funktioniert mit dem externen FQDN aus dem LAN (ohne Proxy), aber nicht mit der externen IP-Adresse.

Wenn wir über die externe IP-Adresse gehen, kommt die Fehlermeldung mit dem Zertifikat wie beim internen Zugriff, danach allerdings wird die Anmeldemaske von OWA nicht angezeigt. Fehler: "Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)"

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

unser Zertifikat ist nun richtig ausgestellt. Wir haben einen neuen CSR erstellt und die SANs (Subject Alternative Names) angegeben. Hier ne kurze Auflistung wie wir vorgegangen sind:

 

New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, O=Firma, CN=mail.firma.de" -DomainName mail.firma.de,mail.firma.int,autodiscover.firma.de,autodiscover.firma.int,exchange07.firma.int,exchange07 -privatekeyexportable $true -Path c:\install\exchange07.certreq.txt

 

Das Zertifikat importiert

Import-exchangecertificate –path C:\install\mail.firma.de.cer

 

und das Zertifikat für den IIS aktiviert

Enable-exchangecertificate -services IIS –thumbprint 8C878D9E99064617192807528562FAB98C9E8588

 

 

Von intern funktioniert der Zugriff über die (interne) URL https://mail.opitz-consulting.int/owa/ ohne Probleme. Auch die Zertifikatsfehler beim starten von Outlook 2007 sind verschwunden.

Beim Zugriff von intern über die externe URL https://mail.opitz-consulting.de/owa/ bekommen allerdings eine Fehlermeldung vom ISA2006.

"Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. (-2146893022)"

 

Wir haben das Zertifikat vom Exchange Server exportiert und im Listener für OWA auf dem ISA2006 importiert (wir haben nur 1 Zertifikat; werden 2 Zertifikate benötigt?). Die IP-Adresse für mail.firma.de verweist per NAT auf den ISA2006.

 

Weiß jemand, wie wir das Problem lösen können? Wir würden gerne mit dem einen Zertifikat auskommen (falls dies das Problem ist).

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...