Jump to content

Exchange 2007 - Problem mit Zertifikat


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben seit kurzem Exchange 2007 bei uns installiert (vorher gab's ein anderes Mailsystem).

Im LAN steht unser Exchange-Server mit dem FQDN exchange07.firma.int. In der DMZ steht ein ISA 2006 um OWA extern nutzbar zu machen. Das Zertifikat für OWA ist auf den Namen mail.firma.de ausgestellt. mail.firma.de ist der CNAME für den PTR-Eintrag exchange07.firma.de.

Der Zugriff von extern auf OWA funktioniert ohne Probleme. Allerdings haben wir intern das Problem beim Zugriff über den Namen exchange07.firma.de, dass wir die Zertifikats-Fehlermeldung bekommen, dass der angegebene Name ungültig ist ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").

 

Was müssen wir ändern, damit wir auch intern kein Fehler mehr mit dem Zertifikat bekommen?

 

 

PS: Die Artikel Exchange 2007 & Outlook Zertifikat Problem, Fehlende Übereinstimmung bei Zertifikat-Prinzipal Exchange 2007 und Exchange 2007 Zertifikate haben wir schon gelesen. Wir sind damit aber nicht weitergekommen.

Link zu diesem Kommentar

OWA funktioniert mit dem externen FQDN aus dem LAN (ohne Proxy), aber nicht mit der externen IP-Adresse.

Wenn wir über die externe IP-Adresse gehen, kommt die Fehlermeldung mit dem Zertifikat wie beim internen Zugriff, danach allerdings wird die Anmeldemaske von OWA nicht angezeigt. Fehler: "Fehlercode: 403 Verboten. Der Server hat die angegebene URL verweigert. Wenden Sie sich an den Serveradministrator. (12202)"

Link zu diesem Kommentar
  • 3 Wochen später...

Hallo zusammen,

 

unser Zertifikat ist nun richtig ausgestellt. Wir haben einen neuen CSR erstellt und die SANs (Subject Alternative Names) angegeben. Hier ne kurze Auflistung wie wir vorgegangen sind:

 

New-ExchangeCertificate -GenerateRequest -SubjectName "C=DE, O=Firma, CN=mail.firma.de" -DomainName mail.firma.de,mail.firma.int,autodiscover.firma.de,autodiscover.firma.int,exchange07.firma.int,exchange07 -privatekeyexportable $true -Path c:\install\exchange07.certreq.txt

 

Das Zertifikat importiert

Import-exchangecertificate –path C:\install\mail.firma.de.cer

 

und das Zertifikat für den IIS aktiviert

Enable-exchangecertificate -services IIS –thumbprint 8C878D9E99064617192807528562FAB98C9E8588

 

 

Von intern funktioniert der Zugriff über die (interne) URL https://mail.opitz-consulting.int/owa/ ohne Probleme. Auch die Zertifikatsfehler beim starten von Outlook 2007 sind verschwunden.

Beim Zugriff von intern über die externe URL https://mail.opitz-consulting.de/owa/ bekommen allerdings eine Fehlermeldung vom ISA2006.

"Fehlercode: 500 Interner Serverfehler. Der Zielprinzipalname ist falsch. (-2146893022)"

 

Wir haben das Zertifikat vom Exchange Server exportiert und im Listener für OWA auf dem ISA2006 importiert (wir haben nur 1 Zertifikat; werden 2 Zertifikate benötigt?). Die IP-Adresse für mail.firma.de verweist per NAT auf den ISA2006.

 

Weiß jemand, wie wir das Problem lösen können? Wir würden gerne mit dem einen Zertifikat auskommen (falls dies das Problem ist).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...