none
Exchange 2010 Zertifikatswarnung abstellen RRS feed

  • Frage

  • Hallo,

    ich habe einen neuen Exchange 2010 installiert.
    Wenn sich nun ein Benutzer (Terminalserverfarm) über Outlook mit dem MX verbindet, kommt immer eine Zertifikatswarnung, die man mit Ja (verbinden) oder Nein (Verbindung wird nicht hergestellt) bestätigen kann.
    Ich habe mir erstmal so geholfen, das ich das selbstsignierte Zertifikat vom MX per GPO auf die RDS-Farm verteile.

    Ich bin neu bei Exchange 2010 und das ist mir unbekannt :)
    Muss ich denn das Zertifikat per GPO verteilen?


    Viele Grüße Oliver
    Freitag, 29. Oktober 2010 16:43

Antworten

  • Hi Oliver,

    Hallo,

    ich habe einen neuen Exchange 2010 installiert.
    Wenn sich nun ein Benutzer (Terminalserverfarm) über Outlook mit dem MX verbindet, kommt immer eine Zertifikatswarnung, die man mit Ja (verbinden) oder Nein (Verbindung wird nicht hergestellt) bestätigen kann.

    Aber warum wird es denn nicht akzeptiert? Ist es ein selbstsigniertes
    Zertifikat, dann muss es den Clients per GPO bekannt gemacht werden. ...oder
    fehlt der richtige Servername?

    Bei Frank findest du weitere Infos zu Zertifikaten und die Möglichkeit zur
    Installation einer eigenen CA:
    http://www.msxfaq.de/howto/e2k7ssl.htm

    Ich habe mir erstmal so geholfen, das ich das selbstsignierte Zertifikat vom MX per GPO auf die RDS-Farm verteile.

    Wenn der Herausgeber nicht vertrauenswürdig ist, ist das der richtige Weg,
    damit die Clients dem Zertifikat vertrauen...

    Ich bin neu bei Exchange 2010 und das ist mir unbekannt :)
    Muss ich denn das Zertifikat per GPO verteilen?

    Wie gesagt, es kommt aufs Zertifikat an. Eine CA im AD wird vertraut, genause
    wir den großen Zertifikatsstellen. Einem selbstsignierten Zert. wird wiederum
    nicht sofort vertraut...

    Viele Grüße
    Christian

    • Als Antwort markiert OliverHu Samstag, 30. Oktober 2010 04:52
    Freitag, 29. Oktober 2010 19:09
    Moderator

Alle Antworten

  • Hi Oliver,

    Hallo,

    ich habe einen neuen Exchange 2010 installiert.
    Wenn sich nun ein Benutzer (Terminalserverfarm) über Outlook mit dem MX verbindet, kommt immer eine Zertifikatswarnung, die man mit Ja (verbinden) oder Nein (Verbindung wird nicht hergestellt) bestätigen kann.

    Aber warum wird es denn nicht akzeptiert? Ist es ein selbstsigniertes
    Zertifikat, dann muss es den Clients per GPO bekannt gemacht werden. ...oder
    fehlt der richtige Servername?

    Bei Frank findest du weitere Infos zu Zertifikaten und die Möglichkeit zur
    Installation einer eigenen CA:
    http://www.msxfaq.de/howto/e2k7ssl.htm

    Ich habe mir erstmal so geholfen, das ich das selbstsignierte Zertifikat vom MX per GPO auf die RDS-Farm verteile.

    Wenn der Herausgeber nicht vertrauenswürdig ist, ist das der richtige Weg,
    damit die Clients dem Zertifikat vertrauen...

    Ich bin neu bei Exchange 2010 und das ist mir unbekannt :)
    Muss ich denn das Zertifikat per GPO verteilen?

    Wie gesagt, es kommt aufs Zertifikat an. Eine CA im AD wird vertraut, genause
    wir den großen Zertifikatsstellen. Einem selbstsignierten Zert. wird wiederum
    nicht sofort vertraut...

    Viele Grüße
    Christian

    • Als Antwort markiert OliverHu Samstag, 30. Oktober 2010 04:52
    Freitag, 29. Oktober 2010 19:09
    Moderator
  • Hi Christian,

    ok also war es der richtige Weg.
    Ich werde ich nächster Zeit sowieso eine CA installieren müssen, von daher kann ich dann ein Zertifikat meiner CA im MX installieren.

    Danke


    Viele Grüße Oliver
    Samstag, 30. Oktober 2010 04:52
  • Hi Oliver,
     
    > ok also war es der richtige Weg.
     
    Naja, Ansichtssache.
     
    Eigentlich hättest Du VORHER die Dokumentation von Exchange 2010 studieren
    (s. http://technet.microsoft.com/en-us/library/bb124558.aspx bzw. unten) und
    dann entweder eine CA vorab installieren oder Dir Gedanken über 3rd-Party
    SAN Certificates machen sollen.
     
     
    > Ich werde ich nächster Zeit sowieso eine CA installieren müssen, von daher
    > kann ich dann ein Zertifikat meiner CA im MX installieren.
     
    steht auch alles hier noch einmal beschrieben:
     
    Exchange 2010 - Understanding Digital Certificates and SSL
    [..]
    Default Exchange Certificates
     
    By default, Exchange installs a default self-signed certificate so that all
    network communication is encrypted. Encrypting all network communication
    requires that every Exchange server have an X.509 certificate that it can
    use. You should replace this self-signed certificate with one that is
    automatically trusted by your clients.
     
    “Self-signed” means that a certificate was created and signed only by the
    Exchange server itself. Because it wasn't created and signed by a generally
    trusted CA, the default self-signed certificate won't be trusted by any
    software except other Exchange servers in the same organization. The default
    certificate is enabled for all Exchange services. It has a Subject
    Alternative Name (SAN) that corresponds to the server name of the Exchange
    server that it's installed on. It also has a list of SANs that include both
    the server name and the fully qualified domain name (FQDN) of the server.
     
    Although other Exchange servers in your Exchange organization trust this
    certificate automatically, clients like Web browsers, Outlook clients,
    mobile phones, and other e-mail clients in addition to external e-mail
    servers won't automatically trust it. Therefore, consider replacing this
    certificate with a trusted third-party certificate on your Exchange servers
    that have the Client Access server role installed and also on any
    external-facing Hub Transport servers. If you have your own internal PKI,
    and all your clients trust that entity, you can also use certificates that
    you issue yourself.
    [..]
    Source: http://technet.microsoft.com/en-us/library/dd351044.aspx
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Samstag, 30. Oktober 2010 09:51