Jump to content
Sign in to follow this  
snoopy16

Sicherheitshinweis Autodiscover abstellen

Recommended Posts

Hallo,

 

Ich habe folgendes Problem:

Outlook 2016 ist mit einem Exchange Server 2016 Standard außerhalb der Domäne verbunden.
Der Exchange Server verwendet ein selber ausgestelltes Zertifikat.

Um den Assistenten im Outlook  2016 auszutricksen und mich per autodiscover mit dem Exchange Account zu verbinden,
habe ich die Hosts Datei des Client (ausserhalb der Domäne) folgendermaßen angepasst (ja, ich weiß, es ist schmutzig, aber eine schnelle wenn auch keine dauerhafte Lösung).

192.168.4.10  SERVERNAME.domain.local
192.168.4.10  autodiscover.domain.de

Nun kann ich mich zwar per Autodiscover verbinden und alles funktioniert wunderbar, bis auf den nun erscheinenden Sicherheitshinweis:
 
Sicherheitshinweis:
autodiscover.domain.de

Das Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle. (OK)
Das Sicherheitszertifikat ist gültig (OK)
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein. (NICHT OK)
Möchten Sie den Vorgang fortsetzen?

Bestätige ich mit ja, kann man auch wunderbar mit Outlook arbeiten, bis nach einiger Zeit ja wieder der Sicherheitshinweis aufpoppt.
Das ist logisch, der Fehlergrund steht ja auch in der Fehlermeldung (Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein)

Schaue ich mir das Zertifikat an, steht dort

Antragsteller:
SERVERNAME

Alternativer Antragsstellername:
DNS-Name=SERVERNAME
DNS-Name=SERVERNAME.domain.local

Der öffentliche Domainname taucht nirgends auf.

habe das Serverzertifikat auch in den Stammzertifizierungspfad des lokalen Computer kopiert, aber das ändert ja auch nichts an der Sachlage.


Wie umschiffe ich nun das Problem. Möglichst ohne öffentliches Zertifikat?  (Server ist sowieso nicht öffentlich zugängig, nur per VPN ins interne Netz)

 

 

 

 


 

Share this post


Link to post

Moin,

 

beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen.

 

Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL.

 

Gruß, Nils

 

Share this post


Link to post
vor 8 Minuten schrieb NilsK:

beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. 

würde es gerne "richtig" machen, sobald am Standort Internet angekommen ist.

 

vor 9 Minuten schrieb NilsK:

Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL.

kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet?

 

 

Share this post


Link to post
vor 10 Minuten schrieb snoopy16:

kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet?

Nennt sich Split-DNS und ist Best-Practice

 

Ob der Server Internet hat oder nicht spielt keine Rolle, alle URL zeigen auf die öffentlichen Namen / URL.

 

Bitte minimum eine interne CA verwenden, Self-signed Cert sind nicht supportet...

Share this post


Link to post

Moin,

 

rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.)

 

Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist.

 

Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen.

 

Gruß, Nils

 

Edited by NilsK
  • Like 1

Share this post


Link to post

In Ergänzung zu Nils: ein Mittelweg zwischen einer "richtigen" Windows-CA und mittels OpenSSL erstellten selbst signierten Zertifikaten wäre eine einfache CA. Deren Zertifikat könnte man auf allen Clients als vertrauenswürdig hinterlegen und für die Server dann von ihr signierte Zertifikate ausstellen. Eine einfach bedienbare Software wäre zum Beispiel https://hohnstaedt.de/xca/. (Geht alles mit OpenSSL auch, aber wenn man es nicht so häufig braucht, ist es etwas mühsam mit den Befehlen.)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...