Jump to content

Sicherheitshinweis Autodiscover abstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Ich habe folgendes Problem:

Outlook 2016 ist mit einem Exchange Server 2016 Standard außerhalb der Domäne verbunden.
Der Exchange Server verwendet ein selber ausgestelltes Zertifikat.

Um den Assistenten im Outlook  2016 auszutricksen und mich per autodiscover mit dem Exchange Account zu verbinden,
habe ich die Hosts Datei des Client (ausserhalb der Domäne) folgendermaßen angepasst (ja, ich weiß, es ist schmutzig, aber eine schnelle wenn auch keine dauerhafte Lösung).

192.168.4.10  SERVERNAME.domain.local
192.168.4.10  autodiscover.domain.de

Nun kann ich mich zwar per Autodiscover verbinden und alles funktioniert wunderbar, bis auf den nun erscheinenden Sicherheitshinweis:
 
Sicherheitshinweis:
autodiscover.domain.de

Das Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle. (OK)
Das Sicherheitszertifikat ist gültig (OK)
Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein. (NICHT OK)
Möchten Sie den Vorgang fortsetzen?

Bestätige ich mit ja, kann man auch wunderbar mit Outlook arbeiten, bis nach einiger Zeit ja wieder der Sicherheitshinweis aufpoppt.
Das ist logisch, der Fehlergrund steht ja auch in der Fehlermeldung (Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein)

Schaue ich mir das Zertifikat an, steht dort

Antragsteller:
SERVERNAME

Alternativer Antragsstellername:
DNS-Name=SERVERNAME
DNS-Name=SERVERNAME.domain.local

Der öffentliche Domainname taucht nirgends auf.

habe das Serverzertifikat auch in den Stammzertifizierungspfad des lokalen Computer kopiert, aber das ändert ja auch nichts an der Sachlage.


Wie umschiffe ich nun das Problem. Möglichst ohne öffentliches Zertifikat?  (Server ist sowieso nicht öffentlich zugängig, nur per VPN ins interne Netz)

 

 

 

 


 

Link zu diesem Kommentar
vor 8 Minuten schrieb NilsK:

beste Option: Lass das bleiben und mach es richtig. Das wird dir sonst auf die Füße fallen. 

würde es gerne "richtig" machen, sobald am Standort Internet angekommen ist.

 

vor 9 Minuten schrieb NilsK:

Andere Option: Stell halt ein Zertifikat auf den Zielnamen aus. Dazu gibt es genügend Tools, im Zweifel OpenSSL.

kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet?

 

 

Link zu diesem Kommentar
vor 10 Minuten schrieb snoopy16:

kann ich nicht im Server ein Zertifikat auf autodiscover.domain.de austellen und einen DNS-Eintrag machen, der nur die Subdomain autodiscover.domain.de auf den Server umleitet?

Nennt sich Split-DNS und ist Best-Practice

 

Ob der Server Internet hat oder nicht spielt keine Rolle, alle URL zeigen auf die öffentlichen Namen / URL.

 

Bitte minimum eine interne CA verwenden, Self-signed Cert sind nicht supportet...

Link zu diesem Kommentar

Moin,

 

rein funktional ist es auch ein Irrglaube, dass Zertifikate einer eigenen CA gegenüber Self-signed-Zertifikaten einen Sicherheitsvorteil hätten. Das Konstrukt, nach dem der TO fragt, wird auch durch eine noch so gut aufgebaute interne CA nicht sicherer. (Abgesehen davon, ist das Konzept einer "CA" ohnehin sehr Windows-lastig ... in der Unix-Welt versteht man darunter oft nur einen Satz von Dateien, keine separaten Systeme.)

 

Ein Sicherheitsvorteil im Sinne einer üblichen PKI entstünde nur durch ein kommerzielles Zertifikat, dessen Aussteller in die Trust List der Browser und Betriebssysteme eingetragen ist.

 

Der Punkt wäre hier eher, dass die einfachen Methoden, ein Self-signed-Zertifikat zu erzeugen, dies eben nur für den vorgegebenen Computernamen tun und nicht für einen wählbaren Namen. Man wird also sehr wahrscheinlich um ein separates Tool nicht herumkommen.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

In Ergänzung zu Nils: ein Mittelweg zwischen einer "richtigen" Windows-CA und mittels OpenSSL erstellten selbst signierten Zertifikaten wäre eine einfache CA. Deren Zertifikat könnte man auf allen Clients als vertrauenswürdig hinterlegen und für die Server dann von ihr signierte Zertifikate ausstellen. Eine einfach bedienbare Software wäre zum Beispiel https://hohnstaedt.de/xca/. (Geht alles mit OpenSSL auch, aber wenn man es nicht so häufig braucht, ist es etwas mühsam mit den Befehlen.)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...