none
Exchange 2007 - Outlook 2010 - Zertifikatproblem RRS feed

  • Frage

  • Hallo,

    wir betreiben seit zwei Jahren einen Exchange 2007-Server. Über einen ISA-Server 2006 können die Mitarbeiter mittels OWA auf ihre Mails zugreifen. Für dieses Szenario haben wir ein Zertifikat installiert, damit die Kommunktion ausschließlich über HTTPS läuft.

    Interner Domäne: linde

    Zertifikat: lindemail.de (da linde als Name schon existiert im www)

    d.h. über https://lindemail.de greifen die Nutzer über das Internet auf die Exchange-Daten zu.

    Intern greifen wir natürlich über Outlook auf die Daten des Exchange-Servers zu. Nach Umstellung von Outlook 2003 auf 2010 erscheint plötzlich beim Starten folgender Sicherheitshinweis:

     

    srv-cas.linde.de

    ... Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt mit dem Namen der Webseite nicht überein.

     

    Natürlich kann ich den Vorgang fortsetzen. Im Zertifikat vom srv-cas steht der Name lindemail.de, damit die Kette ISA-Server -> CAS-Server funktioniert.

    Kann ich was tun, damit die Meldung mit dem Sicherheitshinweis nicht mehr erscheint?

     

    Gruß

    BuschH

    Mittwoch, 2. November 2011 14:19

Antworten

  • Hallo Hermann,

    ich Einrichtung (ISA-Server / Exchange) ist schon ein paar Tage her. Seinerzeit haben wir den ISA-Server in einer DMZ plaziert.

    Genauso habe ich es bei ein paar von unseren Kunden. Der ISA Server steht in der DMZ der Firewall.

    Die Kommunkation zwischen ISA-Server und CAS-Server läuft über HTTPS mit ebenfalls dem  gleichen externen Zertifikat.

    Du leitest die Anfrage also vom ISA and en Exchange nur per HTTPS weiter.. Das ist auch Ok.

    D.h. momentan funktioniert die Kommunikation für OWA nur dann einwandfrei, wenn auch auf dem CAS-Server das externe  Zertifikat an das HTTPS-Protokoll gebunden ist.

    Was waren denn die Fehler damals bzw. was klappt dann nicht mehr?
    Wichtig bei der ganzen Geschichte ist, dass alle Geräte (Exchange, ISA und Clients) den internen Root Zertifikat vertrauen. Wenn das der Fall ist wirst du mit den beiden Zertifikaten keine Probleme haben.

    Kann ich auf dem ISA-Server mit unterschiedlichen Zertifikaten arbeiten?

    Du meinst wohl mit unterschiedlichen Zertifikaten zwischen ISA und Exchange Server oder? Sprich ISA das öffentliche Zertifikat und Exchange das neue interne. So habe ich es bei unseren Kunden im Einsatz und es läuft ohne Probleme.



    Viele Grüße
    Malte Schoch - www.msblog.eu

    Donnerstag, 3. November 2011 15:19

Alle Antworten

  • Hallo BuschH,

    ist das ein öffentliches Zertifikat oder von einer internen CA?

    Ab Exchange 2007 und Outlook 2007/2010 brauchst du intern ein Zertifikat, welches auf den Namen des Exchange Servers ausgestellt ist. Du könntest natürlich auch die internen URLs ändern aber das macht bei deiner Konstellation (ISA Server) nicht soviel Sinn. Ich würde dir folgendes empfehlen:

    Du erstellst intern für den Exchange 2007 Server ein neues Zertifikat, welches folgende Namen enthält:

    • Servername
    • Servername.domäne.local
    • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
    • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
    • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
    • autodiscover.domäne.eu

    Das Zertifikat importiert du dann in den Exchange Server 2007 Server bzw. in den IIS.

    Danach erstellst du ein weiteres Zertifikat, auf dem du nur den externen Namen für OWA einträgst, z.B. mail.msblog.eu

    Dieses Zertifikat setzt du auf den Weblistener des ISA Servers...

    Du könntest natürlich auch das neuerstellte Zertifikat von dem Exchange 2007 Server auf dem Weblistener setzen, aber das finde ich eher unschön, weil dann jeder auf dem Zertifikat sehen könnte, wie deine Namensgebung intern ist.. Funktionieren würde es aber auch....

    Wichtig ist, dass beide Zertifikate von der gleichen CA intern ausgestellt werden.. Dann solltest du keine Probleme mehr haben

    ACHTUNG:
    Wenn du ein öffentliches Zertifikat nutzen solltest, brauchst du für den ISA Server kein neues erstellen, sondern einfach nur das öffentliche Zertifikat auf den Weblistener binden. Hier ist es nur wichtig das die Zertifikatskette eingehalten wird.
    Aber das hast du ja schon bereits eo eingerichtet.. Also eigentlich müssen wir nur schauen, das du intern das richtige bzw. ein neues Zertifikat bekommst... :-)

     


    Viele Grüße
    Malte Schoch - www.msblog.eu

     


    Mittwoch, 2. November 2011 14:45
  • Hallo BuschH,

    ich habe hier noch zwei Links für die, welche dich bei der Zertifikatserstellung helfen könnten :-)

    http://www.msxfaq.de/howto/e2k7ssl.htm <-- Dort steht wie man es einrichtet...

    https://www.digicert.com/easy-csr/exchange2007.htm <-- Hier kannst du dir bequem die Anforderung des Zertifikats mit Hilfe der Powershell generieren lassen. Da muss man nicht ganz soviel tippen :-)


    Viele Grüße
    Malte Schoch - www.msblog.e
    Mittwoch, 2. November 2011 15:03
  • Langsam.

    Ehe du nun sofort neue ZErtifikate (gegen $$) ausstellst, muss man mal schauen was das ist.

    Deine Outlook2007/2010 machen intern Autodiscover und bekommen hoffentlich per LDAP einen Service Connection Point, der eine URL Enthält. Dann versuchen Sie mit dem Namen per HTTPS einen Exchange Cas zu erreichen und da passt das Zertifikat nicht. Das hat "erst mal" nichts mit dem externen Namen zu tun. Extern wirds erst interessant, wenn du Outlook Anywhere von extern machst. aber das steht mal hinten an.

    Die "InternalURLs" deiner Server müssen so sein , dass deine CLients auch "intern" ohne umweg über den ISA oder Proxy auf die Exchange Webseiten kommen. Also den INternalURL richtig setzen. Und dann muss das interne Zertifikat (Was durchaus Selfsigned sein kann) eben diesen Namen enthalten. UNd dann ist die MEldung auch weg

    http://www.msxfaq.de/e2007/casurls.htm

    http://www.msxfaq.de/e2007/autodiscover.htm

    Frank

     


    Exchange MVP www.msxfaq.net
    Donnerstag, 3. November 2011 08:51
  • Frank Carius [MVP] machte das folgende Beispiel :
    Hallo Frank,

    Ehe du nun sofort neue ZErtifikate (gegen $$) ausstellst, muss man mal schauen was das ist.

    Mein Ansatz war nicht das externe Zertifikat komplett auszutauschen. Wenn hier ein externes Zertifikat für OWA genutzt wird, kann dies ja ruhig auf dem Weblistener des ISA Servers bleiben. Da sollte natürlich nichts ausgetauscht werden..
    Mein Ansatz war es für intern ein neues Zertifikat von der Microsoft CA zu erstellen und das für die internen Services zu nutzen.

    Also intern ein neues Zertifikat mit den internen Namen...
    Extern das öffentliche Zertifikat weiter nutzen (Wenn es ein öffentliches ist)

    Die Frage ist eigentlich ist ein öffentliches Zertifikat vorhanden oder nicht :-)



    Viele Grüße
    Malte Schoch - www.msblog.eu

    Donnerstag, 3. November 2011 09:18
  • Hallo zusammen,

    vielen Dank für die Beiträge.

     

    Ein öffentliches Zertifikat ist vorhanden und ist auf dem ISA-Server an den Weblistener gebunden. Natürlich ist es auch auf dem CAS-Server zu finden (IIS, Bindung für HTTPS). Somit funktioniert auch die Anmeldung an Exchange von extern ohne Probleme.

    Ein gültiges, internes Zertifikat für den CAS-Server zu basteln ist nicht das Problem. Dieses habe ich nun gemacht. Da ich dem HTTPS-Protokoll bei nur ein Zertifikat mitgeben kann, habe ich nun zwei IP-Adressen (IP 1 mit externem Zertifikat, IP 2 mit internem Zertifikat) eingetragen. Damit verfügt der IIS über zwei Eintragungen für HTTPS bei Bindungen.

    Aber wie soll ich Outlook beibringen, über welche IP-Adresse er den CAS-Server anspricht? Oder machen ich da einen Denkfehler?

     

    Viele Grüße

    BuschH 

    Donnerstag, 3. November 2011 12:04
  • Hallo Hermann,

    Ein öffentliches Zertifikat ist vorhanden und ist auf dem ISA-Server an den Weblistener gebunden. Natürlich ist es auch auf dem CAS-Server zu finden (IIS, Bindung für HTTPS). Somit funktioniert auch die Anmeldung an Exchange von extern ohne Probleme.

    Ok

    Ein gültiges, internes Zertifikat für den CAS-Server zu basteln ist nicht das Problem. Dieses habe ich nun gemacht. Da ich dem HTTPS-Protokoll bei nur ein Zertifikat mitgeben kann, habe ich nun zwei IP-Adressen (IP 1 mit externem Zertifikat, IP 2 mit internem Zertifikat) eingetragen. Damit verfügt der IIS über zwei Eintragungen für HTTPS bei Bindungen.

    Gibt es deiner Sicht einen Grund, warum du das öffentliche Zertifikat intern für den IIS auf dem Exchange Server Benutzen möchtest?
    Damit man sich von extern ohne Zertifikatswarnung anmelden kann ist das nicht notwendig. Daher würde ich dir empfehlen, intern anstatt des öffentlichen Zertifikats das neue interne zu verwenden.
    Wichtig hierbei ist nur, dass die internen Clients und Server dem Root CA der Zertifizierungsstelle vertrauen. Das sollte aber bei einer Microsoft CA gegeben sein.
    Du hast das öffentliche Zertifikat ja auf dem Weblistener gebunden und die Anmeldeseite wird ja (wenn du es nicht umkonfiguriert hast) vom ISA Server bereitgestellt. Das bedeutet, es ist wichtig, dass das öffentliche Zertifikat hier vorhanden ist. Auf dem Exchange bzw. im IIS kann ein anderes vertrauenswürdiges Zertifkat genommen werden.



    Viele Grüße
    Malte Schoch - www.msblog.eu

    Donnerstag, 3. November 2011 12:16
  • Hallo Malte,

    ich Einrichtung (ISA-Server / Exchange) ist schon ein paar Tage her. Seinerzeit haben wir den ISA-Server in einer DMZ plaziert. Die Kommunkation zwischen ISA-Server und CAS-Server läuft über HTTPS mit ebenfalls dem gleichen externen Zertifikat. D.h. momentan funktioniert die Kommunikation für OWA nur dann einwandfrei, wenn auch auf dem CAS-Server das externe Zertifikat an das HTTPS-Protokoll gebunden ist.

    Kann ich auf dem ISA-Server mit unterschiedlichen Zertifikaten arbeiten?

    Guß

    Hermann Busch

     

    Donnerstag, 3. November 2011 14:48
  • Hallo Hermann,

    ich Einrichtung (ISA-Server / Exchange) ist schon ein paar Tage her. Seinerzeit haben wir den ISA-Server in einer DMZ plaziert.

    Genauso habe ich es bei ein paar von unseren Kunden. Der ISA Server steht in der DMZ der Firewall.

    Die Kommunkation zwischen ISA-Server und CAS-Server läuft über HTTPS mit ebenfalls dem  gleichen externen Zertifikat.

    Du leitest die Anfrage also vom ISA and en Exchange nur per HTTPS weiter.. Das ist auch Ok.

    D.h. momentan funktioniert die Kommunikation für OWA nur dann einwandfrei, wenn auch auf dem CAS-Server das externe  Zertifikat an das HTTPS-Protokoll gebunden ist.

    Was waren denn die Fehler damals bzw. was klappt dann nicht mehr?
    Wichtig bei der ganzen Geschichte ist, dass alle Geräte (Exchange, ISA und Clients) den internen Root Zertifikat vertrauen. Wenn das der Fall ist wirst du mit den beiden Zertifikaten keine Probleme haben.

    Kann ich auf dem ISA-Server mit unterschiedlichen Zertifikaten arbeiten?

    Du meinst wohl mit unterschiedlichen Zertifikaten zwischen ISA und Exchange Server oder? Sprich ISA das öffentliche Zertifikat und Exchange das neue interne. So habe ich es bei unseren Kunden im Einsatz und es läuft ohne Probleme.



    Viele Grüße
    Malte Schoch - www.msblog.eu

    Donnerstag, 3. November 2011 15:19
  • Hallo Hermann,

     

    Besteht das Problem weiterhin?

     

    Viele Grüße,

    Alex

    Montag, 7. November 2011 12:41
  • Hallo Hermann,

     

    Besteht das Problem weiterhin?

     

    Viele Grüße,

    Alex


    Hallo Alex,

    komme leider erst jetzt dazu, das letzte Posting von Malte zu lesen. Das muss ich noch umsetzen.

    Gruß

    Hermann

    Dienstag, 8. November 2011 07:26