none
problém s certifikátem v OUTLOOKu 2007++

    Dotaz

  • Zdravím, mám problém s certifikátem - když spustím Outlook objeví se:

     

    Název certifikátu zapezpečení není platný nebo neodpovídá názvu webu.


    Exchange je 2007 na SBS 2008. Vytvořil jsem si nový self-signed certifikát, zkoušel jsem postup podle KB940726 a pořád bez výsledku.

    Nevíte čím je přesně způsobeno a jak se toho zbavit? Certifikát obsahuje jak vnitří tak vnější adresu Exchangu.

    28. března 2011 8:13

Odpovědi

  • v tom případě nemáš ten certifikát uložený mezi důvěryhodnými certifikačními autoritami v té stanici odkud se připojuješ jak se tě ptal Jirka na začátku.

    navíc si nejsem jist ale zdá se mi že máš špatně alternativní názvy. zkus se připojovat do OWA přes ten FQDN název který máš publikován ven do internetu což by měl být remote.firma.cz a nebo server.domena.local

    ten server se jmenuje jak - "mail" (uvnitř firmy)? a nebo to je vnější název místo výchozího "remote"?

    třeba název server.local je rozhodně špatně. zkontroluj si znova ty alternativní názvy a pošli sem a změň skutečný název domény na například tebou užívaný firma - abysme pochopili jak to máš udělané.


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    29. března 2011 14:56

Všechny reakce

  • Ahoj,

    je uložený v důvěryhodných certifikačních autoritách v úložišti počítače i uživatele? Proč na tom SBSku nepoužíváš CA? Resp, proč ona nevydává ty certifikáty...

    • Označen jako odpověď dan.p 28. března 2011 13:05
    • Zrušeno označení jako odpověď dan.p 28. března 2011 13:06
    28. března 2011 9:35
  • Ahoj, na SBSku samozřejmě CA je, tam jsem si vygeneroval cert podle návodu p. Ševečka http://oldweb.sevecek.com/index.php?id=148 

    nový cert jsem zaregistroval v iiSku na https vazbu + v Exchange consoli Enable-ExchangeCertificate -Thumbprint xxxxx -Services "SMTP, IIS"

    A pořád to vyskakuje. Nemůže to být problém na třeba v DNS záznamech. Díky ža každou radu.

    28. března 2011 13:12
  • Ok, co se stane, když se tam připojuješ přes OWA?

    Mimochodem, máš tam tyto tvary:

    server

    server.domena.local

    remote.firma.cz

    ??

    28. března 2011 16:20
  • OWA zahlásí klasický problém o nedůvěryhodnosti certifikátu.

    Cert. obsahuje CN = mail.firma.cz

    Alternativní názvy:

    záznam DNS: mail.domena.local
    Záznam DNS: IP adresa
    Záznam DNS: sites
    Záznam DNS: server
    Záznam DNS: server.local
    Záznam DNS: autodiscover.domena.cz
    Záznam DNS: domena.cz

    29. března 2011 13:25
  • v tom případě nemáš ten certifikát uložený mezi důvěryhodnými certifikačními autoritami v té stanici odkud se připojuješ jak se tě ptal Jirka na začátku.

    navíc si nejsem jist ale zdá se mi že máš špatně alternativní názvy. zkus se připojovat do OWA přes ten FQDN název který máš publikován ven do internetu což by měl být remote.firma.cz a nebo server.domena.local

    ten server se jmenuje jak - "mail" (uvnitř firmy)? a nebo to je vnější název místo výchozího "remote"?

    třeba název server.local je rozhodně špatně. zkontroluj si znova ty alternativní názvy a pošli sem a změň skutečný název domény na například tebou užívaný firma - abysme pochopili jak to máš udělané.


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    29. března 2011 14:56
  • to si mám vyexportovat cert ze serveru a uložit na pc? Přece musí existovat možnost jak mu poskytnou takovej cert aby byl OUTLOOK spokojenej,

    už jsem si nahrazoval asi tříkrát starej cert pro OWU protože vypršel novým a nikde nebyl problém, proto to nechápu.

    mail je místo remote, takže external URL OWA je https://mail.domena.cz/owa

    internal URL https://server/owa oba jsou uvedeny v alternativních názvech, ovšem je pravda server.local je blbost

    int. a ext. název domény je stejnej

     

     

     

     

    30. března 2011 13:35
  • pokud máš SBS tak ten si to umí šířit sám mezi klienty ale nevím už jestli nějakou politikou nebo nějakým skriptem (spíš to druhé). pokud tedy certifikát na klientech není stále mezi důvěryhodnými tak prověř proč tomu tak je. něco se prostě změnilo od té doby.

    a nebo si rovnou pořiď certifikát zdarma zde

    http://www.jiribrejcha.net/2009/11/duveryhodne-ssl-certifikaty-zdarma-od-starcomu/


    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    30. března 2011 14:23
  • certifikát zdarma nepodporuje SAN, takže není vhodný pro tebe...

    https://www.startssl.com/?app=40

    30. března 2011 20:44
  • Zdravim.

    Ak ste si vytvoril self-signed certifikat, ako pisete, tak mu nedoveruje "by default" nikto. SBS ho na klientov nerozdistribuuje. Aby bolo mozne povazovat certifikat za doveryhodny, musi byt vystaveny doveryhodnou CA - to znamena, ze certifikat CA musite mat nainstalovany medzi doveryhodnymi certifikacnymi autoritami pre Computer ( nestaci, ze je CA doveryhodna pre Usera ). Kedze self-signed certifikat je podpisany sam sebou, bol ako keby vystaveny sam sebou, a nebude mozne ho povazovat za doveryhodny, kym nebude nainstalovany ZAROVEN aj v zozname doveryhodnych CA pre dany computer. Mate niekolko moznosti :

    1. Manualne nainstalujete tento self-signed certifikat na vsetky PC, ktore sa chcu pripajat na server ( Exchange server, v tomto pripade ). Postup instalacie som popisal tu :

      http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/cf0dfbc8-9d49-4bb7-a6fe-ce289dbb060c

      Ak tieto klientske stanice, z ktorych sa chcete pripajat na Exchange ( to je jedno, ci pomocou Outlooku alebo cez Web browser na OWA ) nie su v domene, je to vlastne zaroven jedina moznost, ako takyto certifikat zdoveryhodnit.
    2. Ak mate PC v domene, certifikat mozete naimportovat na klientov pomocou skupinovej politiky ( Computer Configuration / Policies / Windows Settings / Security Settings / Public Key Policies /Trusted Root Certification Authorities ). Eventualne ho mozete naimportovat do AD pomocou certutil.exe prikazu ( ostatne, tieto kroky by sa udiali automaticky, keby ste na SBS nainstalovali Enterprise CA ).
    3. Pouzite certifikat vygenerovany externou ( komercnou ) certifikacnou autoritou, ktora je povazovana vseobecne za doveryhodnu - napriklad Thawte, VeriSign, na Slovensku napriklad Disig, alebo, ako tu uz ostatni pani radili, StartSSL.

    Dalsim nutnym predpokladom pre spravne fungovanie s tymto certifikatom je, aby v subject name bol uvedeny presne ten retazec, na aky pristupuje klient. V certifikate mate uvedene "mail.domena.cz" - fajn, potom klient MUSI pristupovat na "mail.domena.cz". Ci uz ten Outlook pusta vo vnutornom, intranetovom prostredi, alebo pristupuje z Internetu. To same plati pre browser, ktory ide na OWA. V tomto pripade by som sa asi preventivne vyhol pouzitiu SAN v certifikate, a pouzil len Subject Name a pre ine sluzby tento certifikat uz "nerecykloval" / dostupnost sluzby na prislusnom Subject Name riesil cez DNS.

     

    Boris

    31. března 2011 7:17
  • Ak ste si vytvoril self-signed certifikat, ako pisete, tak mu nedoveruje "by default" nikto. SBS ho na klientov nerozdistribuuje. Aby bolo mozne povazovat certifikat za doveryhodny, musi byt vystaveny doveryhodnou CA - to znamena, ze certifikat CA musite mat nainstalovany medzi doveryhodnymi certifikacnymi autoritami pre Computer ( nestaci, ze je CA doveryhodna pre Usera ).
    nejsem si jist tvým tvrzením. podle mne jde o to že tazatel prodlužoval certifikát generovaný při instalaci který si vystavil sám pro sebe sbs a ten je generován z CA. distribuce takového certifikátu pak probíhá směrem ze serveru na klient v sbs síti automatizovaně. já to chápu tak že certifikát není doslova klasický self-signed, je vystaven v CA ale ta není ověřená takže to je jistá forma self-signed certifikátu - jestli chápeš jak to myslím.
    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    31. března 2011 16:57
  • Aha, ano, pan dan.p pise : " ... Ahoj, na SBSku samozřejmě CA je, tam jsem si vygeneroval cert ... ". Toto som prehliadol. Pokial je tato CA nainstalovana korektne, na klientov ( v prislusnej domene ) by sa mala distribuovat automaticky.

    Takze by ma zaujimalo toto : "... OWA zahlásí klasický problém o nedůvěryhodnosti certifikátu. ..."

    Co konkretne ale ? Ze je neplatny nazov servra, alebo aj ze je vystaveny nedoveryhodnou CA ?

     

    Boris.

    31. března 2011 17:21
  • Zdravím,

    to Boris: OWA zahlásí že certifikát byl vydaný nedůvěryhodnou CA.

     

    myslím si že cert. jsou v SBS síti distribuovány automaticky, protože změna certifikátu má vliv i na OUTLOOK, když jsem udělal chybu v názvech

    chtělo to po spuštění i jméno a heslo - netuším proč????

     

    Přidávám výpisy z nastavení Exchangu, třeba Vás něco trkne:

     

    Name                              : server
    DataPath                          : C:\Program Files\Microsoft\Exchange Server\
                                        Mailbox
    Domain                            : domena.local
    Edition                           : Standard
    ExchangeLegacyDN                  : /o=First Organization/ou=Exchange Administr
                                        ative Group (FYDIBOHF23SPDLT)/cn=Configurat
                                        ion/cn=Servers/cn=server
    Fqdn                              : server.domena.local

    NetworkAddress                    : {ncacn_vns_spp:server, netbios:server, ncac
                                        n_np:server, ncacn_spx:server, ncacn_ip_tcp
                                        :server.domena.local, ncalrpc:server}
    OrganizationalUnit                : domena.local/server
    AdminDisplayVersion               : Version 8.1 (Build 240.6)
    Site                              : domena.local/Configuration/Sites/Defaul
                                        t-First-Site-Name
    ServerRole                        : Mailbox, ClientAccess, HubTransport
    ProductID                         : 90554-351-4743296-05258
    IsExchange2007TrialEdition        : False
    IsExpiredExchange2007TrialEdition : False
    RemainingTrialPeriod              : 00:00:00
    IsValid                           : True
    OriginatingServer                 : server.domena.local
    ExchangeVersion                   : 0.1 (8.0.535.0)
    DistinguishedName                 : CN=server,CN=Servers,CN=Exchange Administra
                                        tive Group (FYDIBOHF23SPDLT),CN=Administrat
                                        ive Groups,CN=First Organization,CN=Microso
                                        ft Exchange,CN=Services,CN=Configuration,DC
                                        =domena,DC=local
    Identity                          : server
    Guid                              : 8ec04172-badc-475f-a165-a9e1f255fa1e
    ObjectCategory                    : domena.local/Configuration/Schema/ms-Ex
                                        ch-Exchange-Server
    ObjectClass                       : {top, server, msExchExchangeServer}
    WhenChanged                       : 23.3.2011 8:53:04
    WhenCreated                       : 18.12.2010 16:32:36

     

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                         .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                         ty.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {mail.domena.cz, domena.cz, server.domena.local}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=domena-server-CA
    NotAfter           : 30.12.2012 16:57:51
    NotBefore          : 31.12.2010 16:57:51
    PublicKeySize      : 2048
    RootCAType         : Registry
    SerialNumber       : 610B9388000000000005
    Services           : IMAP, POP, SMTP
    Status             : Valid
    Subject            : CN=mail.domena.cz
    Thumbprint         : 830395F148241B846ADB9A095F2F41C995667FA4

     

     


     

     

     

    1. dubna 2011 12:37
  • Ještě mě napadá jestli v tom nemám nějaký zmatky, když si nechám vypsat certifikáty, viz níže, tak na který se obrací OUTLOOK?

    Myslím to tak, že v exchangu registruji certifikaty různým službám - IIS, IMAP,POP, SMTP. A vlastně zde mám více certifikátů pro stejné

    služby. není to divné?

     

    [PS] C:\Users\spravce\Desktop>get-exchangecertificate

    Thumbprint                                Services   Subject
    ----------                                --------   -------
    4AA4D994FFFB0A96FF387BB505436AA44314B33A  ...W.      CN=mail.domena.cz
    830395F148241B846ADB9A095F2F41C995667FA4  IP..S      CN=mail.domena.cz
    0904C6E73EC1A63C0306C307389B4436692D3E54  IP..S      CN=server.domena.local
    6E4F49C559D1DBB6C333F9CE3F6D5CF875B47780  IP..S      CN=Sites
    64774FAD30B13D826A91B43C856FD66B691DE4A4  .....      CN=domena-server-CA
    68ED539F4FCB65D946ABEC0EEC8819B3CF1A2EBC  .....      CN=WMSvc-HA-DTHN9P6SA81X

    1. dubna 2011 13:01
  • to Boris: OWA zahlásí že certifikát byl vydaný nedůvěryhodnou CA.

     

    Toto mi neda pokoj :). Pretoze si myslim, ze sa to tyka aj ostatnych certifikatov - bez ohladu na to, ktory certifikat dostane Outlook, tak bol vydany tou samou "zatial-nedoveryhodnou" certifikacnou autoritou.

    Otvorte OWA a podivajte sa na certifikat, ktory dostane prehliadac - v IE8 napriklad na konci riadku s URL - ikona zamku. Kliknite na nu, zvolte View Certificates, prejdite na zalozku Certification Path. Tu by ste mali vidiet certifikat webu ( "mail.domena.cz" ? ) a nad nim certifikat CA, ktora webcertifikat vystavila ( "domena-server-CA" ? ). Tie nazvy v zatvorkach len tipujem z Vasho vypisu.

    Certifikat certifikacnej autority, ktora vystavila Web Certifikat, velmi velmi pravdepodobne nie je nainstalovany medzi "Trusted Root Certification Authorities" pocitaca ( NIE USER ACCOUNTU, ALE COMPUTER STORE ). Takze spustite MMC konzolu n tom klientovi, kde ma OWA problem, a podivajte sa, ci TEN certifikat TEJ certifikacnej autority je v Trusted Root CA store pre Local Computer.

     

    Zaujali ma este dva certifikaty vo vypise, ktori ste nam dali :

    6E4F49C559D1DBB6C333F9CE3F6D5CF875B47780  IP..S      CN=Sites

    a

    68ED539F4FCB65D946ABEC0EEC8819B3CF1A2EBC  .....      CN=WMSvc-HA-DTHN9P6SA81X.

     

    Bolo by mozne spustit prikaz "Get-ExchangeCertificate | Format-List" a dat sem vypis? V tom povodnom, co ste uviedli, mi chyba stlpec Services ... Teda, on tam je, ale ja z toho neviem vylustit "tie bodky a tu a tam pismenko" :) :).

     

    Boris

    1. dubna 2011 15:54
  • já bych se zaměřil na certifikáty a ne na exchange. psal jsi že ti to dělá po jejich prodloužení takže tam jsi udělal botu.
    michal zobec http://www.michalzobec.cz | http://www.virtualnipc.cz
    4. dubna 2011 17:14
  • Zdravím, tak jsem to díky výše uvedenému návodu vyřešil.

    Akorát by mě zajímalo jestli se něco změnilo mezi 2008 vs 2008 R2, protože na Serveru 2008 SBS, jsem nemusel distribuovat cert CA manualne/nebo přes politiky na pc po prodloužení cert na Exchange.

    každopádně díky

    21. dubna 2011 13:42