Jump to content

2010 - Problem mit Zertifikatskette für ActiveSync


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich hab vor einigen Tagen einen EX2010 auf einem firsch Installieren 2008R2 installiert. Nach dem der Server jetzt soweit stabiel läuft wollte ich mal dran gehen und das Active Sync einrichten um meinen PDA mit dem Server zu verbinden.

 

Ich hab für die Verbindung zum Server und auch zum OWA einen dyndns Domain registriert. Auf dem Exchange hab ich jetzt mit hilfe des Zertifikatassistenten ein neues Zertifikat erstellt das die dyndns Domain abdeckt.

 

Wenn ich jetzt mit dem PDA versuche auf dem Exchange zu verbinden bekomm Ich als Rückmeldung den Fehler 0x80072F0D, der aussagt das ein Sicherheitszertifikat auf dem Server ungültig ist.

 

Was außerdem dazu kommt, Ich kann seit meinem gebastel heute auch nicht mehr aufs OWA über Web zugreifen. Ich vermute also das Ich auf dem Server irgend etwas grundlegend verbogen habe.

 

Von 10 versuchen auf das OWA zuzugreifen gelingt einer mit Zertifikatfehler. Firefox gibt aus das Zertifikat welches für xxx.dyndns.info ausgestellt ist, entspricht nicht der Domain xxx.dyndns.info auf welche ich zugreifen will. Das ergibt in meinen Augen aber keinen Sinn. Die anderen Verbindungsversuche schlagen auf grund eines Timeouts fehl.

 

Wenn ich mit dem Exchange Remote Connectivity Analyzer die verbindung zum Active Sync teste, dann sagt der mir folgendes:

ExRCA is testing Exchange ActiveSync.

The Exchange ActiveSync test failed.

 

Test Steps

 

Attempting to resolve the host name xxx.dyndns.info in DNS.

Host successfully resolved

 

Additional Details

IP(s) returned: 78.43.xxx.xxx

Testing TCP Port 443 on host wolf-breisach.dyndns.info to ensure it is listening and open.

The port was opened successfully.

ExRCA is testing the SSL certificate to make sure it's valid.

The SSL certificate failed one or more certificate validation checks.

 

Test Steps

 

The certificate name is being validated.

Successfully validated the certificate name

 

Additional Details

Found hostname xxx.dyndns.info in Certificate Subject Common name

Validating certificate trust for Windows Mobile Devices

Certificate trust validation failed.

 

Additional Details

The certificate chain couldn't be built. You may be missing required intermediate certificates. For more information, see Microsoft Knowledge Base article KB 927465.

Die Fehlermeldung im Connectivity Analyzer kommt wohl daher das mein Root-CA nicht als Vertrauenswürdig eingestuft ist, da es selbst ertellt ist. Das wäre ja soweit in Ordnung.

Wenn ich den übrigens den Test ohne SSL ausführe, dann kann wohl laut dem Connectivity Analyzer eine Verbindung hergestellt werden. Er gibt mir aus wieviele Mails im Postfach sind und wieviele Ordner das Postfach hat. Der PDA kann sich aber ohne SSL nicht verbinden?

 

Ich probier jetzt hier schon seit ca. 6 stunden rum und hab das gefühl es wird immer schlimmer :)

Ich denke als erste sollte ich das OWA wieder zum laufen bekommen und dann erst ans Active Sync gehen oder?

 

Gruß Torsten

 

Nachtrag:

 

Ich hab eben versucht von einem anderen PC aus der eine andere externe IP hat auf das OWA zu zugreifen. Dort bekomme ich auf den Zertifikatfehler, kann mich dann aber ganz normal im OWA anmelden. Von Intern geht es nach wie vor nicht, bzw. wenn es mal geht dann nur extrem langsam.

 

Vielleicht noch zur Info auf dem Server hab Ich eine eigene Zertifizierungsstelle installiert.

Link zu diesem Kommentar

How certificate chains work

 

Du hast mit Deiner internen CA versucht, ein Zertifikat für die Adresse wolf-breisach.dyndns.info auszustellen? Würde das funktionieren, wären Zertifikate per se ausgehebelt und nutzlos.

 

Ich empfehle folgende Optionen:

 

1. Stammzertifikat Deiner internen CA manuell auf ActiveSync-Geräte verteilen, damit sie Zertifikaten vertrauen, die Deine interne CA ausgestellt hat. Internes SSL-Zertifikat für OWA mit FQDN Deiner internen Domäne erzeugen (z.B. "webmail.wolf-breisach.de") und dafür sorgen, dass dieser FQDN von extern erreichbar ist (Hosteintrag externer Nameserver, registrierte Domäne z.B. "wolf-breisach.de" und fixe öffentliche IP-Adresse).

2. Kommerzielles SSL-Zertifikat für OWA mit FQDN Deiner registrierten Domäne kaufen(z.B. "webmail.wolf-breisach.de") und dafür sorgen, dass dieser FQDN von extern erreichbar ist (Hosteintrag externer Nameserver, setzt registrierte Domäne z.B. "wolf-breisach.de" voraus und fixe öffentliche IP-Adresse voraus). Kommerzielle SSL-Zertifikate gibt es z.B. bei rapidSSL.com.

 

- Du kannst kein kommerzielles Zertifikat kaufen, das auf die Adresse wolf-breisach.dyndns.info lautet:

DynDNS.com SSL Certificates Readme "Third-party SSL certificates cannot be used with our free Dynamic DNS hosts, including the certificates we offer. You may use self-signed certificates for Dynamic DNS hosts. If you need the security of our certificates for business transactions or corporate use, you may wish to create your own domain registration and DNS service and purchase SSL certificates for your new domain."

Link zu diesem Kommentar

Hi dmetzger,

 

ich hatte bis vor ein paar Wochen einen S2008 mit Exch 2007 am laufen, ebenfalls mit OWA und Active Sync.

 

Ich hab da auf dem Exchange ein Zertifikat erstellt für die DynDNS Adresse und hab auf dem PDA das Stammstellenzertifikat installiert. Das hat dann einwandfrei funktioniert. Ich hab weder bei OWA noch bei ActiveSync irgendwelche Zertifikatfehler bekommen.

 

Jetzt mit dem neuen System funktioniert das aber irgendwie nicht mehr und da die Umgebung ja blos zum testen ist, möchte ich ungern ein Zertifikat kaufen, es hat ja bisher auch ohne funktioniert.

Link zu diesem Kommentar

Ok, soweit verstanden. Du willst nur, dass bestimmte eigene Geräte dem Zertifikat vertrauen, nicht die ganze Welt.

 

Wenn der OWA-Zugriff von extern klappt, nicht aber von intern, solltest Du die interne Namensauflösung prüfen (DNS). Hast Du intern eine Zone "dyndns.info" oder "wolf-breisach.dyndns.info" mit korrespondierenden internen IP-Adressen für den OWA-Zugriff angelegt? Kannst Du intern die Adresse für den OWA-Zugang pingen, was sagen nslookup und tracert?

 

ich hatte bis vor ein paar Wochen einen S2008 mit Exch 2007 am laufen, ebenfalls mit OWA und Active Sync.

 

Windows Server 2008 oder Windows Small Business Server 2008?

 

Ich hab da auf dem Exchange ein Zertifikat erstellt für die DynDNS Adresse und hab auf dem PDA das Stammstellenzertifikat installiert. Das hat dann einwandfrei funktioniert.

 

Wie genau hast Du das Zertifikat auf dem IIS erstellt - selbstsigniert, Domänenzertifikat einer internen CA?

 

Firefox gibt aus das Zertifikat welches für xxx.dyndns.info ausgestellt ist, entspricht nicht der Domain xxx.dyndns.info auf welche ich zugreifen will.

 

Ist die Adresse xxx.dyndns.info irgendeine fremde oder ebenfalls auf Dich registriert, und hast Du jemals für diese Adresse ebenfalls ein internes Zertifikat ausgestellt? Wie lautet die Adresse ohne Verschleierung?

Link zu diesem Kommentar
Ok, soweit verstanden. Du willst nur, dass bestimmte eigene Geräte dem Zertifikat vertrauen, nicht die ganze Welt.

Genau, ich will das mein MDA dem Zertifikat vertraut und ich Mails gepusht bekomme, mehr möchte Ich nicht.

Wenn der OWA-Zugriff von extern klappt, nicht aber von intern, solltest Du die interne Namensauflösung prüfen (DNS). Hast Du intern eine Zone "dyndns.info" oder "wolf-breisach.dyndns.info" mit korrespondierenden internen IP-Adressen für den OWA-Zugriff angelegt? Kannst Du intern die Adresse für den OWA-Zugang pingen, was sagen nslookup und tracert?

Im DNS hab Ich noch garnichts eingetragen bzgl. dem OWA.

Wenn Ich von meinem Notebook das über WLAN direkt mit dem Server verbunden ist, die IP Adresse vom Server im Browser eingeben, dann komm Ich direkt ins OWA. Wenn ich von dem Notebook aber wolf-breisach.dyndns.info/owa eingebe, dann bekomme Ich die Meldung das ein Zertifikatfehler vorliegt (Also wird der Server ja korrekt gefunden), wenn Ich die Meldung ignoriere, dann läd der Browser einige Zeit und kommt dann zu einem TimeOut

 

Wenn Ich von einem ander PC (Von der Firma mit anderer Ext. IP) auf wolf-breisach.dyndns.info gehe, dann bekomme Ich ebenfalls den Zertifikatfehler, kann diesen dann aber ignorieren und komme ins OWA.

Ich denke wenn Du auf wolf-breisach.dyndns.info gehst, wirst Du auch das OWA sehen.

 

Windows Server 2008 oder Windows Small Business Server 2008?

Server 2008 Standard

 

Wie genau hast Du das Zertifikat auf dem IIS erstellt - selbstsigniert, Domänenzertifikat einer internen CA?

 

Auf dem IIS selbst hab ich kein Zertifikat erstellt, ich hab nur auf dem Exchange ein Zertifikat erstellt, dort sind alle möglichen Domänen kombinationen eingetragen die evtl. abgefragte werden könnten(ua. wolf-breisach.dyndns.info;wolf-breiasch.de). Sobald ich dem Zertifikat über den Exchange Zertifikat Assistenten die Dienste zuweiße, wird das Zertifikat im IIS eingetragen. Zusätzlich ist im IIS noch das ein Standard Domänen Zertifikat drinnen, das wohl bei der Installation automatisch erstellt wurde.

 

Ist die Adresse xxx.dyndns.info irgendeine fremde oder ebenfalls auf Dich registriert, und hast Du jemals für diese Adresse ebenfalls ein internes Zertifikat ausgestellt? Wie lautet die Adresse ohne Verschleierung?

Die Adresse lautet wolf-breisach.dyndns.info, das ist die Adresse über die ich mein Server übers Netz erreichen kann. Ich hab also die dyndns Adresse um auf den Server zu kommen und die wolf-breisach.de gehört mir ebenfalls, wird aber nur für eine Website genutz.
Link zu diesem Kommentar
Im DNS hab Ich noch garnichts eingetragen bzgl. dem OWA.(...)Wenn ich von dem Notebook aber wolf-breisach.dyndns.info/owa eingebe, dann bekomme Ich die Meldung das ein Zertifikatfehler vorliegt (Also wird der Server ja korrekt gefunden), wenn Ich die Meldung ignoriere, dann lädt der Browser einige Zeit und kommt dann zu einem TimeOut.

 

Interne Aufrufe von OWA werden somit nicht intern aufgelöst, sondern extern (per DNS-Server von dyndns.info).

 

Versuche Folgendes:

 

1. Im internen DNS die Zone "dyndns.org" anlegen;

2. den Hosteintrag "www" mit dem IP-Ziel 204.13.248.116 in diese Zone eintragen (damit Du weiterhin die externe Website von dyndns.info aufrufen kannst;

3. den Hosteintrag "wolf-breisach" mit der privaten IP-Adresse des Exchange Server 2010 in diese Zone eintragen;

4. auf dem internen Testclient den DNS Cache leeren (ipconfig /flushdns);

5. erneut intern OWA aufrufen.

 

Was stellst Du fest?

Link zu diesem Kommentar

Den Thread hab Ich auch schon gefunden, hat mir aber nicht weitergeholfen:

 

  1. Da bei mir die Synchronisation nicht mal ohne SSL funktioniert. Synchronisiere ich ohne SSL bekomme 0x85010018 - "Der Server konnte nicht erreicht werden. Möglicherweiße liegen temporäre Netzwerkprobleme vor." Es macht dabei auch kein Unterschied ob ich über UMTS oder im WLAN Synchronisiere. Das heißt also wohl das der Exchange Active Sync nicht erreichbar ist, den im WLAN sollte es ja keine probleme geben.
  2. Die *.p7b Zertifikatskette habe Ich auch schon importiert, leider ohne Erfolg.

Link zu diesem Kommentar

Ich glaub ich bin dem Fehler jetzt auf die Spur gekommen, weiß aber nicht was ich dagegen machen kann.

 

In der Exchange Management Console hab ich in der Zertifikatsliste zwei Zertifikate eingetragen. Mein selbst erstelltes Zertifikat welches die dyndns Domain enthält und ein weiteres Zertifikat das vermutlich vom Root-CA kommt.

 

Zum einen ist das Zertifikat welches vermutlich vom Root-CA kommt Selbstsigniert. Das Zertifikat welches ich selber erstellt habe ist laut der Console nicht selbst erstellt. Ich weiß zwar nicht warum, den das Zertifikat ist vom Root-CA erstellt aber ok.

 

Zum anderen hab ich mir mal das Zertifikat angeschaut, welches ich auf dem PDA Installiert habe und welches das Stammstellenzertifikat vom Root-CA ist.

Dieses Zertifikat hat den selben Fingerabdruck wie das Zertifikat in der Exchange Console welches als Selbstsigniert angezeigt wird.

 

Vermutlich vertraut mein PDA dem selbst erstellten Zertifikat nicht, da dieses nicht selbst signiert ist. Auch wenn Ich mir die Stammstellenzertifikatsketten anschaue, ist dort nur das eine Zertifikat aufgelistet, welches im Exchange als Selbstsigniert angezeigt wird. Mein eigenes Zertifikat ist nicht enthalten.

 

Wie kann Ich den jetzt ein Zertifikat erstellen welches Selbstsigniert ist, damit es in der Zertifikatskette eingebunden wird?

Link zu diesem Kommentar

Also ich weiß jetzt echt nicht mehr weiter.

Ich hab eben eine Zertifikatsanforderung in der Exchange Shell erstellt:

 

New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=Wolf-Breisach, cn=wolf-breisach.dyndns.info" -PrivateKeyExportable $true

 

Auf diese anforderung erhalte ich den Zertifikats Request. Anschließend öffne ich im Browser mein CertSrv, dort klicke ich auf "Ein Zertifikat anfordern" --> "erweiterte Zertifikatanforderung" --> "Reichen Sie eine Zertifikatanforderung ein, die...". Ich kopier dann die ausgabe von der Shell in das Textfenster, wähle bei Zertifikatsvorlage "Webserver" aus und klicke auf "Einsenden". Ich bekomme dann eine *.crt Datei, mit welcher ich die Zertifikatanforderung im Exchange abschließe. Anschließend weiße ich dem Zertifikat die Dienste "POP3, SMTP, IMAP, IIS" zu.

 

Wenn Ich das Zertifikat anschauen steht drinen:

Ausgestellt von: Root-CA

Ausgestellt für: wolf-breisach.dyndns.info

 

Aber ich kann nach wie vor keine Verbindung zum Active Sync aufbauen. Ich bekomme immer noch folgende Meldung bei Exchange Connectivity Test

The certificate chain couldn't be built. You may be missing required intermediate certificates. For more information, see Microsoft Knowledge Base article KB 927465.

 

Auf dem PDA kommt auch noch den Fehler "0x80072F0D" der auf einen Fehler im Sicherheitszertifikat hinweißt.

Wie muss ich den die Lücke in der Zertifikatskette schließen? Ich kann doch nicht mehr machen als eine Zertifikatsanforderung zu erstellen, ein Zertifikat vom Root-CA erzeugen und das dann in den Exchange laden ?

 

Langsam verzweifle ich komplett.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...