Jump to content

Problem mit selbst signiertem Exchange-Zertifikat


wolfiru
Direkt zur Lösung Gelöst von wolfiru,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Liebe Forumsuser,

 

ich komme bei der Anbindung von IPhones an den Exchange nicht weiter. Bis jetzt hatten wir hauptsächlich Android im Einsatz, wo man das Zertifikatsproblem überspringen kann, aber es werden immer mehr IPhone User und jetzt muss ich das leider angehen.

 

Ich verstehe nicht, welches Zertifikat da nicht stimmen soll. Die Zertifikate vom Exchange-Server für unseren OWA habe ich selbst signiert von unserem Domänenkontroller. Ich habe das über Firefox getestet und ihm das Domänenkontroller-CA-Zertifikat eingespielt und seitdem ist für ihn das OWA Zertifikat wenn ich die OWA Seite im Browser aufrufe in Ordnung.

 

Wenn ich dieses Domänenkontroller-CA-Zertifikat allerdings am Handy einrichte, dann meint das IPhone noch immer, dass irgend ein Zertifikat nicht passt. Das selbe konnte ich jetzt auch auf meinem Android-Handy nachvollziehen. Es sagt auch "Anmeldefehler: Ihr E-Mail-Server-Zertifikat ist ungültig. Möchten Sie sich trotzdem anmelden?" - Leider erhalte ich keinerlei Information was für ein Zertifikat das denn nun ist. Wird denn hier ein anderes Zertifikat geschickt als dass jenige welches für den IIS und die OWA Seite verwendet wird? Welches Dienst-Zertifikat wird da mitgeschickt?

 

Ich habe auch noch einen weiteres Zertifikat gefunden, welches ebenfalls den Dienst IIS und SMTP zugewiesen hat. Der Aussteller ist da der Exchange-Server selber. Eventuell wird das mitgesendet. Allerdings weiß ich nicht wie ich den Exchange-Server als CA exportieren kann, bzw. ob das überhaupt geht?


Wäre für nen Hinweis dankbar!

Beste Grüße
Wolfi

 

 

bearbeitet von wolfiru
Link zu diesem Kommentar
vor 15 Minuten schrieb mikro:

Moinsen,

selbstsigniert bleibt eben selbst signiert.

Dein Handy erwartet etwas offizielles. SSL Zertifikate kosten heute echt nichts mehr... Schon mal Let's Encrypt probiert?

 

Gruß Mikro

 

 

Ich habe einige Let's Encrypt Zertifikate auf einer Linuxmaschine mit Apache laufen, wo ein Task läuft, welcher die notwendigen Let's Encryp-Zertifikate immer wieder erneuert. Das Problem bei Lets Encrypt ist ja, dass die Zertifikate nach einiger Zeit immer wieder erneuert werden müssen. Kann man das auch für den Exchange automatisieren. Ich weiß jetzt auch nicht genau welche Namen ich da alle anmelden muss. Autodiscover und ... und ... ?


Gruß Wolfi

Link zu diesem Kommentar
vor 1 Minute schrieb wolfiru:

 

Ich habe einige Let's Encrypt Zertifikate auf einer Linuxmaschine mit Apache laufen, wo ein Task läuft, welcher die notwendigen Let's Encryp-Zertifikate immer wieder erneuert. Das Problem bei Lets Encrypt ist ja, dass die Zertifikate nach einiger Zeit immer wieder erneuert werden müssen. Kann man das auch für den Exchange automatisieren. Ich weiß jetzt auch nicht genau welche Namen ich da alle anmelden muss. Autodiscover und ... und ... ?


Gruß Wolfi

 

vor 1 Minute schrieb wolfiru:

Ist Dein Google kaputt? :-)

Schau Dir mal sowas in der Art an.

https://www.frankysweb.de/certificate-assistant-neue-version/

Gruß Mirko

Link zu diesem Kommentar

@wolfiru Ich verwende  Windows PKI mit dem entsprechenden CA-Zertifikat. Dementsprechend ist das Exchange Zertifikat über meine PKI ausgestellt. Evtl. hilft Dir die kostenlose Software iMazing Profil Editor weiter, dort kannst Du ein Exchange Profile mit Zertifikaten anlegen und dann auf dem iPhone installieren. Ich erstelle mit Hilfe dieser Software meine iPhone Profile für ActiveSync mit Anmeldung über User Zertifikaten - läuft problemlos.

Auf dem iPhone kannst Du das CA Zertifikat in der App "Einstellungen" unter "Allgemein -> Info -> Zertifikatsvertrauenseinstellungen" mit "volles Vertrauen ..." aktivieren. Du musst vorher natürlich das CA Zertifikat auf dem iPhone installieren.

 

bearbeitet von winmadness
Link zu diesem Kommentar
vor 1 Stunde schrieb mikro:

 

Ich hab jetzt 1.5h versucht das zum Laufen zu bringen. Leider ohne Erfolg. Zuerst muss man da noch ein Posh-ACME installieren, damit das Script funktioniert. Dieses will wieder irgend ein NuGet installieren und bricht mir dort immer mit einer Fehlermeldung ab, dass kein Anbieter NuGet gefunden werden kann. Ich fürchte da komme ich nicht wirklich weiter.

Link zu diesem Kommentar
Gerade eben schrieb wolfiru:

Ich hab jetzt 1.5h versucht das zum Laufen zu bringen. Leider ohne Erfolg. Zuerst muss man da noch ein Posh-ACME installieren, damit das Script funktioniert. Dieses will wieder irgend ein NuGet installieren und bricht mir dort immer mit einer Fehlermeldung ab, dass kein Anbieter NuGet gefunden werden kann. Ich fürchte da komme ich nicht wirklich weiter.

 

Für diese Zeit hättest du bereits mindestens 3 Zertifikate kaufen können 😅.

Ich würde an dieser Stelle nicht lange rummachen und wie @mikro bereits geschrieben hat, ein öffentliches Zertifikat kaufen.

 

Edit:

Da war jemand schneller 🙉😅

Link zu diesem Kommentar
vor 1 Minute schrieb Gerber:

 

Für diese Zeit hättest du bereits mindestens 3 Zertifikate kaufen können 😅.

Ich würde an dieser Stelle nicht lange rummachen und wie @mikro bereits geschrieben hat, ein öffentliches Zertifikat kaufen.

 

Edit:

Da war jemand schneller 🙉😅

 

Ja, bin gerade dabei zu sehen, welcher der günstigste Anbieter ist. .... Ja wenn man das immer vorher wüsste. Manchmal klappt was gut und ein andermal kommt man von einem Problem zum Nächsten...

Link zu diesem Kommentar
vor 18 Minuten schrieb NorbertFe:

https://www.psw-group.de/ (da gibts für so ziemlich alle Bedürfnisse was). Nein ich bekomme dafür kein Geld, sondern kann die einfach nur empfehlen: Deutschsprachiger Support, Rechnung auf deutsch usw.

Danke für den Tipp. Bin über einen anderen Anbieter auch schon auf Certum gekommen. Die scheinen da für bis zu 4 Subdomains die günstigsten zu sein.

 

Was mir jetzt aufgefallen ist. Ich habe im selbstsignierten Zertifikat auch die interne Domainenbezeichung drinnen und weiß nicht, ob ich dann nur mit dem Externen Zertifikat nicht in neue andere Probleme reinlaufe. Keine Ahnung, ob das Outlook die internen verwendet. Jedenfalls habe ich da auch autodiscover.<intern>.local oder <intern>.local drinnen verspeichert, sowie den Servernamen EXCH2016.

 

Leider ist das für mich total intransparent, wie das Outlook abarbeitet. Bei IMAP oder POP hab ich meine Konfig, wo ich die URL eingebe, aber Outlook hat irgendwie seine eigenen Vorstellungen wie das abzulaufen hat...

bearbeitet von wolfiru
Link zu diesem Kommentar
Gerade eben schrieb wolfiru:

ob ich dann nur mit dem Externen Zertifikat nicht in Probleme reinlaufe.

Nein, wenn man es richtig konfiguriert. Alternativ weiter in Exchange einlesen, oder jemanden holen der sich auskennt. ;) Die internen Namen werden nicht in einem öffentlichen Zertifikat ausgestellt. Also wirst du deine Konfiguration ggf. anpassen (lassen) müssen.

vor 1 Minute schrieb wolfiru:

Leider ist das für mich total intransparent,

 

Ja, da hilft dann wie gesagt "lernen und üben" oder jemanden holen, der das erledigt und erklärt. ;) Ist keine Raketentechnik, aber als Laie eben auch nichts, was man sofort kapiert.

Link zu diesem Kommentar

Du kannst keine öffentlichen Zertifikate für interne Namen ausstellen.
Also z.B. exch-01.domain.local kann nicht ausgestellt werden.

Im Standard hören die Exchange Server allerdings auf interne Namen und SPLIT DNS muss zunächst von dir konfiguriert werden.
Nach dem du dies korrekt konfiguriert hast, kannst du die Zertifikate binden.

In der Regel werden 2 SANs ins Zertifikat aufgenommen.

autodiscover.domain.de

mail.domain.de oder outlook.domain.de oder was auch immer du willst. ;-)

 

Eventuell sollte dir hier jemand unter die Arme greifen, der bereits etwas mehr Erfahrung in Exchange hat und dir die Fragen beantworten und die Konfiguration für SPLIT DNS durchführen kann.

 

 

 

Link zu diesem Kommentar
vor 3 Minuten schrieb NorbertFe:

Nein, wenn man es richtig konfiguriert. Alternativ weiter in Exchange einlesen, oder jemanden holen der sich auskennt. ;) Die internen Namen werden nicht in einem öffentlichen Zertifikat ausgestellt. Also wirst du deine Konfiguration ggf. anpassen (lassen) müssen.

 

Ja, das habe ich schon befürchtet, dass ich mir hier jemanden externen kommen lassen muss. Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

Link zu diesem Kommentar
vor 3 Minuten schrieb wolfiru:

Ja, das habe ich schon befürchtet, dass ich mir hier jemanden externen kommen lassen muss. Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

Naja, dafür hast du dann einen korrekt konfigurierten Exchange Server...

Ich besitze zwar kein IPhone, bilde mir aber durchaus auch ein, dass Mails/Kalender/Kontakte auf dem Handy doch auch wichtig sind :grins1::prayer:.
 

bearbeitet von Gerber
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...