Problem mit selbst signiertem Exchange-Zertifikat

[wolfiru 0]

Liebe Forumsuser,

 

ich komme bei der Anbindung von IPhones an den Exchange nicht weiter. Bis jetzt hatten wir hauptsächlich Android im Einsatz, wo man das Zertifikatsproblem überspringen kann, aber es werden immer mehr IPhone User und jetzt muss ich das leider angehen.

 

Ich verstehe nicht, welches Zertifikat da nicht stimmen soll. Die Zertifikate vom Exchange-Server für unseren OWA habe ich selbst signiert von unserem Domänenkontroller. Ich habe das über Firefox getestet und ihm das Domänenkontroller-CA-Zertifikat eingespielt und seitdem ist für ihn das OWA Zertifikat wenn ich die OWA Seite im Browser aufrufe in Ordnung.

 

Wenn ich dieses Domänenkontroller-CA-Zertifikat allerdings am Handy einrichte, dann meint das IPhone noch immer, dass irgend ein Zertifikat nicht passt. Das selbe konnte ich jetzt auch auf meinem Android-Handy nachvollziehen. Es sagt auch "Anmeldefehler: Ihr E-Mail-Server-Zertifikat ist ungültig. Möchten Sie sich trotzdem anmelden?" - Leider erhalte ich keinerlei Information was für ein Zertifikat das denn nun ist. Wird denn hier ein anderes Zertifikat geschickt als dass jenige welches für den IIS und die OWA Seite verwendet wird? Welches Dienst-Zertifikat wird da mitgeschickt?

 

Ich habe auch noch einen weiteres Zertifikat gefunden, welches ebenfalls den Dienst IIS und SMTP zugewiesen hat. Der Aussteller ist da der Exchange-Server selber. Eventuell wird das mitgesendet. Allerdings weiß ich nicht wie ich den Exchange-Server als CA exportieren kann, bzw. ob das überhaupt geht?

Wäre für nen Hinweis dankbar!

Beste Grüße
Wolfi

 

 

bearbeitet 27. September 2021 von wolfiru

[mikro 66]

Moinsen,

selbstsigniert bleibt eben selbst signiert.

Dein Handy erwartet etwas offizielles. SSL Zertifikate kosten heute echt nichts mehr... Schon mal Let's Encrypt probiert?

 

Gruß Mikro

 

[wolfiru 0]

vor 15 Minuten schrieb mikro:

Moinsen,

selbstsigniert bleibt eben selbst signiert.

Dein Handy erwartet etwas offizielles. SSL Zertifikate kosten heute echt nichts mehr... Schon mal Let's Encrypt probiert?

 

Gruß Mikro

 

 

Ich habe einige Let's Encrypt Zertifikate auf einer Linuxmaschine mit Apache laufen, wo ein Task läuft, welcher die notwendigen Let's Encryp-Zertifikate immer wieder erneuert. Das Problem bei Lets Encrypt ist ja, dass die Zertifikate nach einiger Zeit immer wieder erneuert werden müssen. Kann man das auch für den Exchange automatisieren. Ich weiß jetzt auch nicht genau welche Namen ich da alle anmelden muss. Autodiscover und ... und ... ?

Gruß Wolfi

[mikro 66]

vor 1 Minute schrieb wolfiru:

 

Ich habe einige Let's Encrypt Zertifikate auf einer Linuxmaschine mit Apache laufen, wo ein Task läuft, welcher die notwendigen Let's Encryp-Zertifikate immer wieder erneuert. Das Problem bei Lets Encrypt ist ja, dass die Zertifikate nach einiger Zeit immer wieder erneuert werden müssen. Kann man das auch für den Exchange automatisieren. Ich weiß jetzt auch nicht genau welche Namen ich da alle anmelden muss. Autodiscover und ... und ... ?

Gruß Wolfi

 

vor 1 Minute schrieb wolfiru:

Ist Dein Google kaputt?

Schau Dir mal sowas in der Art an.

https://www.frankysweb.de/certificate-assistant-neue-version/

Gruß Mirko

[winmadness 79]

@wolfiru Ich verwende  Windows PKI mit dem entsprechenden CA-Zertifikat. Dementsprechend ist das Exchange Zertifikat über meine PKI ausgestellt. Evtl. hilft Dir die kostenlose Software iMazing Profil Editor weiter, dort kannst Du ein Exchange Profile mit Zertifikaten anlegen und dann auf dem iPhone installieren. Ich erstelle mit Hilfe dieser Software meine iPhone Profile für ActiveSync mit Anmeldung über User Zertifikaten - läuft problemlos.

Auf dem iPhone kannst Du das CA Zertifikat in der App "Einstellungen" unter "Allgemein -> Info -> Zertifikatsvertrauenseinstellungen" mit "volles Vertrauen ..." aktivieren. Du musst vorher natürlich das CA Zertifikat auf dem iPhone installieren.

 

bearbeitet 27. September 2021 von winmadness

[wolfiru 0]

vor 1 Stunde schrieb mikro:

 

https://www.frankysweb.de/certificate-assistant-neue-version/

Gruß Mirko

 

Ich hab jetzt 1.5h versucht das zum Laufen zu bringen. Leider ohne Erfolg. Zuerst muss man da noch ein Posh-ACME installieren, damit das Script funktioniert. Dieses will wieder irgend ein NuGet installieren und bricht mir dort immer mit einer Fehlermeldung ab, dass kein Anbieter NuGet gefunden werden kann. Ich fürchte da komme ich nicht wirklich weiter.

[Nobbyaushb 1.464]

Dann kaufe doch einfach ein Cert bei einem Anbieter - so teuer ist das heute ja nicht mehr.

 

Und du sparst dir den ganzen Ritt mit dem installieren etc. auf den Devices

[Gerber 15]

Gerade eben schrieb wolfiru:

Ich hab jetzt 1.5h versucht das zum Laufen zu bringen. Leider ohne Erfolg. Zuerst muss man da noch ein Posh-ACME installieren, damit das Script funktioniert. Dieses will wieder irgend ein NuGet installieren und bricht mir dort immer mit einer Fehlermeldung ab, dass kein Anbieter NuGet gefunden werden kann. Ich fürchte da komme ich nicht wirklich weiter.

 

Für diese Zeit hättest du bereits mindestens 3 Zertifikate kaufen können 😅.

Ich würde an dieser Stelle nicht lange rummachen und wie @mikro bereits geschrieben hat, ein öffentliches Zertifikat kaufen.

 

Edit:

Da war jemand schneller 🙉😅

[wolfiru 0]

vor 1 Minute schrieb Gerber:

 

Für diese Zeit hättest du bereits mindestens 3 Zertifikate kaufen können 😅.

Ich würde an dieser Stelle nicht lange rummachen und wie @mikro bereits geschrieben hat, ein öffentliches Zertifikat kaufen.

 

Edit:

Da war jemand schneller 🙉😅

 

Ja, bin gerade dabei zu sehen, welcher der günstigste Anbieter ist. .... Ja wenn man das immer vorher wüsste. Manchmal klappt was gut und ein andermal kommt man von einem Problem zum Nächsten...

[NorbertFe 2.013]

https://www.psw-group.de/ (da gibts für so ziemlich alle Bedürfnisse was). Nein ich bekomme dafür kein Geld, sondern kann die einfach nur empfehlen: Deutschsprachiger Support, Rechnung auf deutsch usw.

[wolfiru 0]

vor 18 Minuten schrieb NorbertFe:

https://www.psw-group.de/ (da gibts für so ziemlich alle Bedürfnisse was). Nein ich bekomme dafür kein Geld, sondern kann die einfach nur empfehlen: Deutschsprachiger Support, Rechnung auf deutsch usw.

Danke für den Tipp. Bin über einen anderen Anbieter auch schon auf Certum gekommen. Die scheinen da für bis zu 4 Subdomains die günstigsten zu sein.

 

Was mir jetzt aufgefallen ist. Ich habe im selbstsignierten Zertifikat auch die interne Domainenbezeichung drinnen und weiß nicht, ob ich dann nur mit dem Externen Zertifikat nicht in neue andere Probleme reinlaufe. Keine Ahnung, ob das Outlook die internen verwendet. Jedenfalls habe ich da auch autodiscover.<intern>.local oder <intern>.local drinnen verspeichert, sowie den Servernamen EXCH2016.

 

Leider ist das für mich total intransparent, wie das Outlook abarbeitet. Bei IMAP oder POP hab ich meine Konfig, wo ich die URL eingebe, aber Outlook hat irgendwie seine eigenen Vorstellungen wie das abzulaufen hat...

bearbeitet 27. September 2021 von wolfiru

[NorbertFe 2.013]

Gerade eben schrieb wolfiru:

ob ich dann nur mit dem Externen Zertifikat nicht in Probleme reinlaufe.

Nein, wenn man es richtig konfiguriert. Alternativ weiter in Exchange einlesen, oder jemanden holen der sich auskennt. ;) Die internen Namen werden nicht in einem öffentlichen Zertifikat ausgestellt. Also wirst du deine Konfiguration ggf. anpassen (lassen) müssen.

vor 1 Minute schrieb wolfiru:

Leider ist das für mich total intransparent,

 

Ja, da hilft dann wie gesagt "lernen und üben" oder jemanden holen, der das erledigt und erklärt. ;) Ist keine Raketentechnik, aber als Laie eben auch nichts, was man sofort kapiert.

[Gerber 15]

Du kannst keine öffentlichen Zertifikate für interne Namen ausstellen.
Also z.B. exch-01.domain.local kann nicht ausgestellt werden.

Im Standard hören die Exchange Server allerdings auf interne Namen und SPLIT DNS muss zunächst von dir konfiguriert werden.
Nach dem du dies korrekt konfiguriert hast, kannst du die Zertifikate binden.

In der Regel werden 2 SANs ins Zertifikat aufgenommen.

autodiscover.domain.de

mail.domain.de oder outlook.domain.de oder was auch immer du willst.

 

Eventuell sollte dir hier jemand unter die Arme greifen, der bereits etwas mehr Erfahrung in Exchange hat und dir die Fragen beantworten und die Konfiguration für SPLIT DNS durchführen kann.

 

 

 

[wolfiru 0]

vor 3 Minuten schrieb NorbertFe:

Nein, wenn man es richtig konfiguriert. Alternativ weiter in Exchange einlesen, oder jemanden holen der sich auskennt. ;) Die internen Namen werden nicht in einem öffentlichen Zertifikat ausgestellt. Also wirst du deine Konfiguration ggf. anpassen (lassen) müssen.

 

Ja, das habe ich schon befürchtet, dass ich mir hier jemanden externen kommen lassen muss. Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

[Gerber 15]

vor 3 Minuten schrieb wolfiru:

Ja, das habe ich schon befürchtet, dass ich mir hier jemanden externen kommen lassen muss. Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

Naja, dafür hast du dann einen korrekt konfigurierten Exchange Server...

Ich besitze zwar kein IPhone, bilde mir aber durchaus auch ein, dass Mails/Kalender/Kontakte auf dem Handy doch auch wichtig sind .
 

bearbeitet 27. September 2021 von Gerber