Exchange 2010 / Outlook 2010 Autodiscover Sicherheitzszertifikat

[NorbertFe 1.805]

Nein, wenn auf dem Transport Server auch die CAS Rolle liegt und dort Windows NLB läuft durchaus gängig gewesen damals.

[testperson 1.534]

Nunja, NLB würde ich als "(Software-) Loadbalancer" ansehen. Und nicht als "kein Loadbalancer".

[Maraun 12]

Naja, ich meinte damit, dass ich das Zertifikat per interner Root CA ausgestellt habe.

Also der Exchange sieht es als SelfSigned False an. Kann ich das Zertifikat so weiter nutzen?
 

Vor 5 Jahren wurde die 2010er Exchange-Server so in Betrieb genommen und da initial das Zertifikat verteilt.
Ja, wir haben das Software LoadBalancing und beide Transportserver haben auch die CAS-Rolle.

Die Frage ist, wie kann ich das neu ausgestellte Zertifikat jetzt an alle Clients verteilen?
Root-CA? GPO?

bearbeitet 4. Juli 2017 von Maraun

[NorbertFe 1.805]

Wenn ihr eine interne Root CA verwendet, dann müßtest du mal den CA Administrator fragen, woher die Clients wissen, dass die Root vertrauenswürdig ist. Und dann einfach ein neues Zertifikat anfordern. Da muß nichts verteilt werden, da das Root Certifikat ja als vertrauenswürdig eingestuft wird. Alternativ kann man ja auch mal jemanden ranholen, der sowas einfach schon häufiger erledigt hat. Arbeitet ihr mit dem Ding nur intern, oder warum wird da ein internes Zertifikat verwendet? Da müßte ja ansonsten bei jedem Handy und jedem Browser von extern eine Fehlermeldung aufploppen.

 

Bye

Norbert

[Maraun 12]

Wir nutzen die Root CA für WLAN intern. Extern wird nichts mehr genutzt, außer ein wenig Webmail (mit dem Vertrauensfehler).
Devices verbinden sich per MDM.

Jeder Client hat das zentrale Root-CA Zertifikat mit Zeichenkette im Speicher. Daher sollte der Trust kommen, aber ich checke das mal.
Ansonsten habe ich nachgelesen, dass das auch per GPO gehen sollte.

[NorbertFe 1.805]

Vergiß doch mal GPO! Du hast ein Root Zertifikat dem deine Clients vertrauen und dein Serverzertifikat ist offenbar abgelaufen. Das steht sogar oben genau SO in dem Screenshot. Dir fehlt also einfach nur ein neues Zertifikat, welches NICHT abgelaufen ist.

[Maraun 12]

Ja und das neue Zertifikat habe ich auf den Exchange-Servern ja auch vor Wochen erstellt.

 

Ich habe hier zwei Clients, ein Client (Win7) hat das alte abgelaufene Exchange-Zertifikat im Benutzerzertifikatsspeicher und startet Outlook 2010 ohne Fehlermeldung,
ein Win10 Client hat das Zertifikat nicht im eigenen Benutzerzertifikatsspeicher und startet ebenso ohne Probleme Outlook 2013.
 

Wird das Zertifikat da benötigt? Warum meckern nur zwei Clients von 1500?

[NorbertFe 1.805]

Und hast du es auch an die entsprechenden Services gebunden?

[Maraun 12]

Ja, wie vorher bereits geschrieben:

IMAP, POP, IIS, SMTP

 

Gleicher Name, webmail.domain.com.
Certificate Status ist okay, valid von 16.03.2017 bis 15.03.2022.

Hab jetzt zwei Surfaces gecheckt:
Einer hat das Zertifikat im eigenen Benutzerspeicher, der andere nicht. Beide starten ohne Fehlermeldung.

[NorbertFe 1.805]

Das Zertifikat BRAUCHT MAN nicht im BEnutzerspeicher oder irgendwo. Du brauchst nur das Root Zert deiner CA. Und wenn dann ein Fehler auftritt liegts entweder am abgelaufenen Zertifikat, oder du hast sonst einen Fehler drin. Das kann man dir aber hier schwer sagen, weil nur du die Zertifikate siehst. Vielleicht ist es ein SHA1 Zertifikat oder du hast ein SAN Zertifikat ohne den CN als SAN oder oder.

[testperson 1.534]

Poste doch mal die Ausgaben von

Get-ExchangeCertificate | where { $_.Services -notlike "None" } | fl Subject, Status, Services, RootCAType, NotBefore, NotAfter, Issuer, IsSelfSigned, HasPrivateKey, CertificateDomains

auf allen Servern.

[Maraun 12]

Okay, gerade gesehen:
 

Die Transportserver haben folgende Dienste:
IIS, SMTP, POP und IMAP

Die Mailbox-Server haben als Services: None

Wir haben 2x Hub Transport, Client Access, Mailbox und 2x Mailbox

Befehlsausgabe bei einem der Transportserver, siehe Anhang.

[NorbertFe 1.805]

Ich weiß grad nicht, ob ich lachen oder weinen soll. ;)

1. Was soll man mit dem zerhackstückten Output anfangen als Fremder?

2.

Poste doch mal die Ausgaben von

Get-ExchangeCertificate | where { $_.Services -notlike "None" } | fl Subject, Status, Services, RootCAType, NotBefore, NotAfter, Issuer, IsSelfSigned, HasPrivateKey, CertificateDomains

 

auf allen Servern.

[Maraun 12]

Okay, hier die beiden Transportserver, die ja als einzige Services im Zertifikat haben.

Und ein Postfacherserver Screenshot.
 

[NorbertFe 1.805]

Ist das bei allen Servern das selbe Zertifikat, oder hat jeder sein eigenes? Wenn du mal die Seriennummern vergleichst und das auch mit dem vergleichst, was dir der Client als fehlerhaft anzeigt.