none
Frage zu Zertifikat für Outlook Anywhere 2010 RRS feed

  • Frage

  • Hallo,

    ich nutze am Exchange OWA, ActiveSync und hätte zusätzlich gerne Outlook Anywhere eingerichtet. Als Zertifikat verwende ich lediglich ein Multidomain Zertifikat, welches u.A. die Domains

    mydomain.de

    email.mydomain.de

    autodiscover.mydomain.de

    beinhaltet. Der Allgemeine Name ist auf mydomain.de festgelegt.

    Teste ich nun die Verbindung über testexchangeconnectivity.com erhalte ich folgendes Ergebnis:

    Wenn ich dem Link in der Fehlermeldung folge, verstehe ich es so dass ich statt mydomain.de als Allgemeiner Name im Zertifikat besser email.mydomain.de angeben muss. Ist das soweit korrekt?

    Ich fragte also bei meinem Zertifikatsanbieter nach. Er meinte man könne es austauschen, aber er könne nicht versprechen dass der Allgemaine Name auf die gewünschte Domain festgelegt wird, da dies i.d.R. Alphabetisch sortiert wird. Die Aussage verunsichert mich. Ich bin davon ausgegangen die CSR schlicht falsch ausgefüllt zu haben, und nahm an wenn ich es stattdessen so mache:

    erhalte ich mein Zertifikat wie ich es benötige.

    Groß Thorsten

    Mittwoch, 29. Februar 2012 14:10

Antworten

  • Hallo Thorsten,

    grundsätzlich kann man den Outlook Provider anpassen und den CertPrincipalName setzen. Das musst Du machen, wenn sich der Name von Deinem Server, von dem CN des Zertifikats unterscheidet - z.B. auch bei der Verwendung von Wildcard Zertifikaten. In Deinem Fall z.B.:

     Set-OutlookProvider EXPR -CertPrincipalName mydomain.de

    Ob das nun so schön ist musst Du selbst entscheiden. Letztlich liegt es aber in der Verantwortung Deines Zertifikate-Anbieters, was er Dir aus Deinem Request generiert. Dein Request sieht so i.O. aus. Das Abändern des CN durch den Anbieter ist meines Wissens eher ungewöhnlich und mehrere CNs im Zertifikat kommen mir auch irgendwie nicht richtig vor.

    Hier findest Du übrings noch weitere Informationen zu dem Thema Outlook Provider:  http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

    Viele Grüße
    Timo

    • Bearbeitet Timo Geuken Donnerstag, 1. März 2012 22:52
    • Als Antwort markiert eclere Freitag, 2. März 2012 06:23
    Donnerstag, 1. März 2012 22:43

Alle Antworten

  • Hallo Thorsten,

    ich kenne deinen Zertifikatsanbieter nicht aber grundsätzlich würde ich Dir recht geben, dass wenn Dein CSR "email.mydomain.de" enthält, dieser auch in der Zeile "ausgestellt an" auftaucht.

    Gruß

    Sascha

    Mittwoch, 29. Februar 2012 15:20
  • Hi eclere,

    was steht bei IssuedTo in deinem Zertifikat (Antragsteller bei Anfrage).

    Siehe auch:
    http://technet.microsoft.com/de-de/library/dd439371(v=exchg.80).aspx

    Alternativ kannst du auch den Outlook-Provider am Cert anpassen - schöner wäre aber das Cert gerade zu ziehen:
    http://www.agileit.com/Blog/Lists/Posts/Post.aspx?Id=278
    http://technet.microsoft.com/de-de/library/dd439371


    Viele Grüße
    Christian

    Mittwoch, 29. Februar 2012 15:25
    Moderator
  • Hallo,

    Beim Antragsteller steht:

    CN = mydomain.de
    OU = PositiveSSL Multi-Domain
    OU = Domain Control Validated
    CN = autodiscover.mydomain.de
    CN = email.mydomain.de

    Gruß Thorsten

    Mittwoch, 29. Februar 2012 15:44
  • Den Technet Artikel hatte ich schon gelsen. Den Befehl über die PS hatte ich schon probiert. Leider ohne Erfolg. Ich frage mich eben auf welches Feld im Zertifikat sich der im Technet Artikel genannte "Allgemeine Name" bezieht.
    Mittwoch, 29. Februar 2012 15:51
  • Weiter nach unten verschoben...
    • Bearbeitet eclere Mittwoch, 29. Februar 2012 18:39
    Mittwoch, 29. Februar 2012 18:39
  • Hi,

    nun bräucht ich noch mal einen Tipp. Ich habe nun ein neues Zertifikat, aber das Problem ist tatsächlich das gleiche. Jetzt wirds als Autodiscover.***.de angezeigt.

    In einem Moment der Genervtheit habe ich mal eben mutig 

    Set-OutlookProvider EXPR -Server $null -CertPrincipalName none

    aufgerufen. Wie zu erfarten war, gehts deswegen auch nicht besser. Dummerweise kann ich den OutlookProvider nicht mehr korrekt aktivieren.

    Set-OutlookProvider EXPR -Server $null -CertPrincipalName email.mydomain.de

    Das reicht wohl nicht. Den der Remote Connectivity Analyzer meldet nun dass"

    'AuthPackage' war im EXPR-Abschnitt der Antwort der AutoErmittlung nicht angegeben."

    Weiß jemand wie ich das wieder zum laufen bekomme. Außerdem frage ich mich gerade ob ich nicht das Zertifikatsproblem mit folgender Zeile umgehen kann:

    Set-OutlookProvider EXPR -Server:email.mydomain.de -CertPrincipalName autodiscover.mydomain.de

    Somit ist der korrekte Server und der richtige Name im Zertifikat angegeben. Müsste doch klappen...

    Gruß Thorsten



    • Bearbeitet eclere Mittwoch, 29. Februar 2012 18:40
    Mittwoch, 29. Februar 2012 18:39
  • Normalerweise dürfteste du doch nur einen CN haben, der muss auf die Domän lauten die du nach draußen veröffentlichst (in deinem Fall email.mydomain.de). Die anderen Adressen solltest du in dem Attribut Subject Alternate Names stehen haben (autodiscover.mydomain.de etc.).

    Gruß

    Jörg

    Donnerstag, 1. März 2012 13:58
  • Hallo Thorsten,

    grundsätzlich kann man den Outlook Provider anpassen und den CertPrincipalName setzen. Das musst Du machen, wenn sich der Name von Deinem Server, von dem CN des Zertifikats unterscheidet - z.B. auch bei der Verwendung von Wildcard Zertifikaten. In Deinem Fall z.B.:

     Set-OutlookProvider EXPR -CertPrincipalName mydomain.de

    Ob das nun so schön ist musst Du selbst entscheiden. Letztlich liegt es aber in der Verantwortung Deines Zertifikate-Anbieters, was er Dir aus Deinem Request generiert. Dein Request sieht so i.O. aus. Das Abändern des CN durch den Anbieter ist meines Wissens eher ungewöhnlich und mehrere CNs im Zertifikat kommen mir auch irgendwie nicht richtig vor.

    Hier findest Du übrings noch weitere Informationen zu dem Thema Outlook Provider:  http://blogs.technet.com/b/exchange/archive/2008/09/29/3406352.aspx

    Viele Grüße
    Timo

    • Bearbeitet Timo Geuken Donnerstag, 1. März 2012 22:52
    • Als Antwort markiert eclere Freitag, 2. März 2012 06:23
    Donnerstag, 1. März 2012 22:43
  • Guten Morgen,

    die korrekte Zeile lautet tatsächlich

    Set-OutlookProvider EXPR -CertPrincipalName mydomain.de

    Die Verwendung hatte ich irgendwie falsch verstanden. Es funktioniert nun(fast). Habe nun noch ein Problem mit der Authentifizierung.

    Wenn es funktioniert finde ich es auch schön:-) Zertifikate finde ich ein unglaublich lästiges Theme. Mir graut jedes Jahr vor der Verlängerung. Eigentlich ist es egal was ich bestelle, Fallstricke scheints da viele zugeben. Daher bin ich froh dass ich davor erstmal wieder ein Jahr Ruhe habe.

    Gruß Thorsten

    Freitag, 2. März 2012 06:23
  • Hallo Thorsten,

    grundsätzlich kann man den Outlook Provider anpassen und den CertPrincipalName setzen. Das musst Du machen, wenn sich der Name von Deinem Server, von dem CN des Zertifikats unterscheidet - z.B. auch bei der Verwendung von Wildcard Zertifikaten. In 

    Hallo,hierzu hätte ich eine Frage.

    Wir haben uns ein Zertifikat bei Thawte ausstellen lassen.

    Antragsteller: xyz.domain.de

    Domain: xyz.domain.de

    Unser Exchange hat den namen: exc1.domain.de

    Nun gehen einige Outlook Dienste nicht und ein test brachte den Fehler das der Antragssteller nicht so heißt wie der Exchange Server sondern xyz.domain.de statt exc1.domain.de

    Kann ich diesen Fehler mit dem Oben genannten Befehl beheben ??

    Gruß Sebi

    Mittwoch, 12. Dezember 2012 11:50