none
Problém s certifikátem SBS 2008 a Outlook/Outlook Mail

    Dotaz


  • Když se přihlásím klientem na exchange hlásí mi chybu "Server ke kterému jste připojen používá zabezpečovací certifikát, který nelze ověřit" Pouzivam standardni certifikat SBS 2008 SelfSigned.

    Zjistil jsem
    1. prošlý certifikát. Opravil jsem přes konzoli SBS
    2. vzdaleny pristup pres remote.domena.cz funguje spravne, outlook i oulook mail (pres IMAP), i pres hlaseni o chybe, funguje spravne

    Co mi nefunguje a zde zadam od vas pomoc
    1. na prikaz v konzoli Exchange 2007 get-exchangecertificate nedostavam odpoved, pouze ze "Pristup byl odepren"
    2. nevim presne, i pres mnozstvi ruznych zdroju vc. zde uvedenych, jak a kde ma vypadat nastaveni certifikatu a exchange, abych zkontroloval spravnost udaju
    3. v konzoli mi nejde otevrit (Sit-Pripojeni) "Zadejte internetovou adresu". Hlasi ze mam spustit pruvodce "Pripojit k internetu" Muze to s tim souviset?
    4. kde jsou certifikaty ulozeny na IIS? Je to IIS - Certifikaty serveru? Pokud vsak funguje remote, tak zde problem neni, ze?

    Diky
    Honza

    pondělí 23. července 2012 8:27

Odpovědi

  • Aby byl certifikat pri komunikaci uznan jako "spravny", musi byt splneno nekolik nalezitosti:

    1. musi byt casove platny - ze byl propadly, jste zjistil a nahradil novym

    2. vydavatel certifikatu musi byt duveryhodny. Ve svete X.509 certifikatu plati, ze kazdy certifikat musi nekdo vydat = certifikaty jsou hierarchicke. Ve vasem pripade je vydavatel i uzivatel stejny = mate selfsigned certifikat.

    3. musi se shodovat jmeno serveru v certifikatu a jeho opravdove jmeno. Tj. pokud je v certifikatu uvedeno Exchange a ja pristupuji na exchange.domena.cz  NENI to shoda jmen. Stejne tak, pokud budu pristupovat na IP adresu serveru. Pokud potrebuji vice moznosti komunikace, musim mit certifikat s vice jmeny - Exchange potrebuje prave napr. kvuli sluzbe autodiscover.

    4. muze se kontrolovat CRL - seznam zneplatnenych certifikatu, ktere sice plati casove, ale byly z nejakeho duvodu zneplatneny. Napriklad byl certifikat vydan osobe a ta zemrela.

    Ve vasem pripade pravdepodobne neni vas serverovy certifikat pro klientske PC duveryhodny. Snadno zkontrolujete napr v prohlizeci, pokud si nechate zobrazit vice informaci. V takovem pripade musite serverovy certifikat umistit RUCNE mezi duveryhodne vydavatele napr. pomoci MMC konzole a snapinu certifikaty.

    Pokud pristupujete na URL, ktere neni v certifikatu uvedeno, bude certifikat neduveryhodny vzdy a jedinou cestou je vygenerovat takovy certifikat, ktery obsahuje i potrebene jmeno.



    • Upravený Miroslav Tiser pondělí 23. července 2012 12:17
    • Označen jako odpověď Jan Komrska neděle 29. července 2012 21:37
    pondělí 23. července 2012 12:14

Všechny reakce

  • Certifikaty jsou ulozeny v certifikateovem ulozisti lokalniho pocitace. Zobrazit a pracovat s nimi muzete pres ruzna rozhrani. IIS konzole je jen jednim z nich. Nejlepe spustit MMC konzoli , pridat snapin certifikaty lokalniho PC.

    ad 1. Exchange powershell konzoli musite spustit jako administrator, jinak nema k tomuto ulozisti pristup.

    ad 2. SBS konzole moc neznam, ale certifikat Exchange musi mit jiste nalezitosti, aby byl pro exchange pouzitelny. Mimojine napr vice jmen (vlastni jmeno Exchange, autodiscovery atp). bezne se pro generovani noveho certifikatu exchange pouziva prikaz New-ExchangeCertificate. Ale v podstate jde jen o to, aby "Exchange WEBy" v IIS mely spravny ten spravny "exchange" certifikat.

    ad 3. viz bod 2 - SBS nemam rad, v jeho konzolich se neorientuji :)

    ad 4. Viz prvni veta - ulozeny jsou v certifikatovem ulozisti lokalniho PC. IIS konzole vam je jen zobrazuje a umi s nimi omezeny pocet operaci.

    Ale zaver: o co vam jde? Jaky presne mate problem, ceho se snazite dosahnout?

    pondělí 23. července 2012 9:50
  • ad.1 OK, jiz jsem zjistil

    ad.2 Certifikat nalezitosti splnuje

    ad.3 a ad.4 Jiste, to je jasne.

    Snazim se vyresit aby mi Outlook nehlasil chybu certifikatu.

    Jak zjistim, ktery certifikat v konkretnim pripade Exchange pouzije? A jde zvolit vychozi nebo prednastaveny?

    Pro komunikaci s Outlookem pouziva ten kde je definovano (mimo jine) remote.domena.cz? Tento ma povolene Services POP, SMTP, IMAP, IIS.

    V Get-ExchangeCertificate se mi zobrazuji vsechny certifikaty. Na klientovi mam oba dva (stary i novy).

    Diky

    pondělí 23. července 2012 10:07
  • Aby byl certifikat pri komunikaci uznan jako "spravny", musi byt splneno nekolik nalezitosti:

    1. musi byt casove platny - ze byl propadly, jste zjistil a nahradil novym

    2. vydavatel certifikatu musi byt duveryhodny. Ve svete X.509 certifikatu plati, ze kazdy certifikat musi nekdo vydat = certifikaty jsou hierarchicke. Ve vasem pripade je vydavatel i uzivatel stejny = mate selfsigned certifikat.

    3. musi se shodovat jmeno serveru v certifikatu a jeho opravdove jmeno. Tj. pokud je v certifikatu uvedeno Exchange a ja pristupuji na exchange.domena.cz  NENI to shoda jmen. Stejne tak, pokud budu pristupovat na IP adresu serveru. Pokud potrebuji vice moznosti komunikace, musim mit certifikat s vice jmeny - Exchange potrebuje prave napr. kvuli sluzbe autodiscover.

    4. muze se kontrolovat CRL - seznam zneplatnenych certifikatu, ktere sice plati casove, ale byly z nejakeho duvodu zneplatneny. Napriklad byl certifikat vydan osobe a ta zemrela.

    Ve vasem pripade pravdepodobne neni vas serverovy certifikat pro klientske PC duveryhodny. Snadno zkontrolujete napr v prohlizeci, pokud si nechate zobrazit vice informaci. V takovem pripade musite serverovy certifikat umistit RUCNE mezi duveryhodne vydavatele napr. pomoci MMC konzole a snapinu certifikaty.

    Pokud pristupujete na URL, ktere neni v certifikatu uvedeno, bude certifikat neduveryhodny vzdy a jedinou cestou je vygenerovat takovy certifikat, ktery obsahuje i potrebene jmeno.



    • Upravený Miroslav Tiser pondělí 23. července 2012 12:17
    • Označen jako odpověď Jan Komrska neděle 29. července 2012 21:37
    pondělí 23. července 2012 12:14
  • ahoj,

    doporučuju ti vytvořit si důvěryhodný certifikát zdarma u StartSSL: http://www.michalzobec.cz/2011/07/09/startssl-ssltls-certifikat-nejen-pro-exchange-server-zdarma/

    nejsem si jist co řešíš, z dotazu to není jasné. outlook na klientech hlásí chybu že certifikát není důvěryhodný? to je u selfsigned certifikátu přece jasné - pokud jsi si je nedistribuoval na stanice mezi důvěryhodné tak budou nedůvěryhodné. na companyweb je to hned druhý článek v pořadí aby sis certifikát mezi stanice rozdistribuoval... řešením je použití certifikátu od StartSSL (zažádej si o certifikát pro adresu).

    správný postup u SBS je generování certifikátu přes SBS konzoli, ta zajistí vše včetně instalace do OWA a Exchange...

    kdybys s tím měl nějaké potíže napiš před pár dny jsem si generoval nové certifikáty tak mám čerstvé zkušenosti (používám více než rok na 4 serverech)...


    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.


    • Upravený Michal Zobec úterý 24. července 2012 0:34
    • Navržen jako odpověď Michal Zobec pátek 10. srpna 2012 4:51
    úterý 24. července 2012 0:33