none
RPC over HTTPS Zertifikatsprobleme RRS feed

  • Frage

  • Hi Leute, leider rennt meine Outlook 2007 über HTTPS mit Exchange 2007 noch immer nicht.

    Hi Leute, ich hole den Thread nochmal hoch, da ich Probleme bei RPC over HTTPS habe.

    Kurze Vorgeschichte: Hatte einen Exchange 2003 am Laufen. Für diesen habe ich ein 3 Jahre lang gültiges Zertifikat von Thawte gekauft. Mit dem Server funktioniere sowohl OWA als auch Outlook over HTTPS.

    Vor einiger Zeit habe ich meinen Exchange 2003 auf einen Exchange 2007 migriert. Das Zertifkat habe ich im IIS 7 importiert. OWA funktioniert auch tadellos mit gültigem Zertifikat.
    Aber die Verbindun über HTTPS kommt nicht zustande. Leider bekomme ich von meinem Entfernten Outlook 2007 Client keine Rückmeldung was der Fehler ist, aber die Verbindung kommt nicht zustande.

    Was mir aufgefallen ist,das Zertifikat ist ganz einfach auf folgende URL ausgestellt "testseite.de"
    Wenn ich nun über einen Client im internen Netz Outlook starte, bekomme ich die FEhlermeldung "Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Webseite überein".
    Hier gibt der Exchange 2007 sich nicht als "testseite.de" aus sondern mit seinem vollständigen Servernamen.

    OWA ist mit der internen und externen URL auf den Zertifkatsnamen im Exchange konfiguriet.


    Im Prinzip denke ich, dass der Fehler daran liegt, dass der Server sich nicht mit dem Zertifikatsnamen meldet sondern seinen eingen Servernamen ausgibt.

    Liege ich mit der Annahme richtig? Was kann ich tun um mein RPC over HTTPS ans Rennen zu bekommen? Wäre dankbar für eure Hilfe.
    Nach der Anleitung von http://www.amset.info/exchange/singlenamessl.asp bin ich bereits vorgegangen leider ohne Erfolg.

    Donnerstag, 18. Juni 2009 21:56

Antworten

  • Hallo Roger

    Das ist klar, das geht natürlich nicht, du kannst kein bestehendes Zertifikat bei Exchange 07 importieren. Jeder Request bei der Zertifizierungsstelle ist eindeutig, somit muss du einen neuen Reguest für deinen neuen Server einreichen.

    Gruss
    Dominik
    Dienstag, 7. Juli 2009 11:08

Alle Antworten

  • Hi Roger,

    ich habe bisher nur Erfahrungen mit RPC over HTTPS mit Exchange 2003. Da es aber mit Exchange 2007 simpler und einfach geworden ist, ist es wohl auch nicht weiter schlimm.

    Was passiert denn, wenn du den OWA von einen Client über die externe FQDN des Servers versuchst zu erreichen? Gibt es denn da eine Zertifikatswarnung?
    Wenn du Outlook über "Ausführen" mit "outlook /rpcdiag" startest... kann Outlook da über HTTPS Verbindungen aufbauen, oder nur über TCP/IP?

    Deine Vermutung ist falsch. Es spielt keine Rolle, ob du im Intranet eine Zert. Warnung bekommst, weil der Server über die interne FQDN angesprochen wird. Wichtig ist nur, dass du über die externe FQDN des Servers, ochne Zert. Warnungen auf den OWA zugreiffen kannst.

    Gruß
    Martin
    Freitag, 19. Juni 2009 07:23
  • Hi,
    also bisher muss ich sagen, fand ich es bei Exchange 2003 einfacher, mag aber auch daran liegen, dass es dort immer sofort geklappt hat;-)

    Das Problem ist wohl doch das fehlende SAN-Zertifikat. Wenn ich Outlook starte über deinen genannten Befehl (danke für den Tip), dann bekomm ich ebenfalls ne Zertifikatswarnung. 

    "Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Der Name des Sicherheitszertifikat ist ungültig oder entspricht nicht dem Namen der Zielwebseite ".

    Er versucht den FQDN des Servers aufzurufen aber kein Eintrag nimmt den Zertifikatsnamen.

    So hab nochmal geschaut, hatte gestern Testweise einen Proxyserver einetragen. Wenn ich diesen rausnehme, kommt keine Verbindung zu stande und es erfolgt auch die Fehlermeldung von Outlook dass "keine Verbindung mit Microsoft Exchange zur Verfügung steht".

    Freitag, 19. Juni 2009 12:18
  • Hallo Roger

    Ich empfehle dir das Zertifikat nicht per IIS zu importieren sondern im Powershell vom Exchange. Ich hatte das gleiche Problem, jedoch funktionierte es einwandfrei nachdem ich das Ganze per Powershell neu gemacht habe.

    Vielleicht hilft dir das ja weiter http://www.msexchange.org/articles_tutorials/exchange-server-2007/mobility-client-access/securing-exchange-2007-client-access-server-3rd-party-san-certificate.html

    Gruss
    Dominik
    Freitag, 19. Juni 2009 12:37
  • Sollte Dominiks Vorschlag nichts bringen, dann kannst du auch mal hier reinschauen : http://support.microsoft.com/default.aspx/kb/923575/de

    Zwei interessante Links hätte ich da noch :

    http://www.nowal.de/?p=45

    http://support.microsoft.com/kb/940726/de
    Freitag, 19. Juni 2009 13:09
  • HI,

    du brauchst wahrscheinlich ein SAN - Zertifikat, vielleicht hilft dir ja das hier weiter:

    http://msmvps.com/blogs/wstein/archive/2009/02/09/zertifikate-bei-cacert-f-252-r-exchange-erneuern.aspx

    RPC over https muß unter Exchange 2007 im CAS-Server freigeschaltet werden, hast du das gemacht? Und der Import muß zwingen per Powershell erfolgen. Per IIS Import funktioniert nicht. Zudem mußt du per Powershell noch mitgeben welcher Dienst welches Zertifikat verwendet.
    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Sonntag, 21. Juni 2009 18:04
    Moderator
  • Erstmal danke für die zahlreichen Antworten.
    Es wird wohl am fehlenden SAN-Zertifikat liegen, wollte aber eigentlich mein erst vor einem Jahr (für drei Jahre) gekautes Single-Named-Zertifikat weiter benutzen.

    Es würde damit, nach de zahlreichen Anleitungen wohl auch Funktionieren, aber ich werde mir jetzt eine eigene CA aufbauen und damit eins erstellen.
    Somit habe ich auch bei zukünftigen Szenarien mehr Handungsfreiraum.

    Das Signle-Zertifikat htte ich bereis per Powershell unter Angabe der erlaubten Dienste importiert

    Noch eine Frage zum Forensystem, wenn ein Beitrag als erledigt gekennzeichnet ist, lässt sich deser nicht mehr reaktivieren?
    Dienstag, 23. Juni 2009 06:49
  • Hmm, solangsam fange ich an an mr selbst zu zweifeln. Zur Zeit läuft das alles nicht so rund.
    Hab mir nun nach dem Vorbild von http://www.msxfaq.eu/howto/setupca.htm eine CA eingerichtet, mit einer Offline Stammca und einer Online Sub-CA.

    So, nun hab ich acuh nach dem Vorbild von http://www.msxfaq.de/howto/e2k7ssl.htm das Zertifikat mit dem Befehl New-ExchangeCertificate  `
        -SubjectName "c=DE, o=domain, cn=server"  `
        -IncludeAcceptedDomains `
        -IncludeAutoDiscover `
        -privatekeyexportable $true `
        -domainName server server
        -Services "SMTP, IMAP, POP, UM, IIS"
    angefordert.
    Wenn ich nun das Zertifikat importieren will, bekomm ich von der Powershell die Fehlermeldung "Private Key Missing".
    Dabei habe ich doch bei derAnforderung gesagt, dieser soll exportierbar sein.

    Habe ich ein Fehler bei der Anforderung oder ein Fehler in meiner CA-Installation?

    Sonntag, 28. Juni 2009 21:43
  • Hallo Roger

    Ich glaube du hast dich da ein bisschen verrannnt.
    Eine Pause einlegen und tief durchatmen :)

    So wie ich dich verstehe willst du ja eigentlich nur dass OWA und RPC funktioniert, dazu bräuchtst du eigentlich nicht einmal ein SAN Zertifikat und das mit dem Private Key würde ich auch mal sein lassen. Ich würde ganz einfach einen neuen Request über den IIS stellen, diesen Text an Thawte schicken für ein neues Zertifikat und dann dieses Zertifikat per IIS Request verarbeiten, danach per Powershell importieren und die gewünschten Dienste aktivieren. Wichtig, den Request auf keinen Fall löschen bevor du das Zertifikat importiert hast, sonst muss du das Ganze noch einmal machen. Für ein SAN Zertifikat müsstest du eh zuerst alle DNS Einträge wie zum beispiel "domain.autodiscover.de" einrichten. Ich habe das Ganze mit einem Zertifikat von startssl.com welches Gratis ist gemacht, funktioniert einwandfrei, sogar mit IPhone. Wenn alles richtig gemacht wurde siehst du dann im Exchange Manager unter Outlook Anywhere, dass der Dienst von False auf True gewechselt hat, solange da nicht True steht, funktioniert RPC nicht. Die Aussage von Microsoft dass man das Zertifikat zwingend per Powershell anfordern muss gilt nur wenn du ein SAN/UN Zertifikat machen willst, dann jedoch geht dies nicht bei allen Ausstellern, siehe http://support.microsoft.com/default.aspx/kb/929395

    Wie gesagt, ich habe das ganze mit einem Gratis Zertifikat und einem Domain Name gemacht Z.B. wa.meinedomäne.de, zudem habe ich dies bei einem SBS 2008 und einenm W2k3 mit XCH07 gemacht. Bei mir sind alle zufrieden auch der exchange :)

    Vielleicht solltest du einfach noch einmal ganz in Ruhe von vorne anfangen und viel lesen lesen lesen.

    Gruss
    Dominik
    Montag, 29. Juni 2009 11:53
  • Hallo Dominik,
    im Prinzip hast du recht.

    Allerdings habe ich ja bereits ein noch zwei JAhre gültiges Zertifikat, was ich mir vor einem Jahr für den Exchange 2003 gekauft habe.

    Wenn ich dieses über Powershell importiere, und die Konfigurationsschritte vornehme, die mir hier bereits mitgeteilt wurden, dann haut es nicht hin.

    Werde es im Laufe dieser Woche erneut probieren. ERstma danke.
    Dienstag, 7. Juli 2009 10:21
  • Hallo Roger

    Das ist klar, das geht natürlich nicht, du kannst kein bestehendes Zertifikat bei Exchange 07 importieren. Jeder Request bei der Zertifizierungsstelle ist eindeutig, somit muss du einen neuen Reguest für deinen neuen Server einreichen.

    Gruss
    Dominik
    Dienstag, 7. Juli 2009 11:08
  • hallo, ich hab ein ähnliches Problem.
    Das Zertifikat für den Exchange 2007 soll auf den Namen der externen Server url lauten (mail.domain.de) . Ich hab also mit der PowerShell die Request Datei erstellt und an Thawte geschickt. Das zurück bekommene Zertifikat (ssl123) in eine txt kopiert und in *.cer umbenannt, dieses Zertifikat importiert und..... es wird kein Hinweis im Zertifikat angezeigt, dass ich einen privaten Schlüssel hierzu habe (was im Alten Zertifikat angezeigt wird)! Wenn ich dieses Zertifikat nun im IIS aktiv importiere, funktioniert der OWA nichtmehr, ich kann auch die Exchange Dienste (smtp usw.) nicht auf das Zertifikat aktivieren (Fehlermeldung : kein Privater Schlüssel vorhanden).
    Ich habe die Anforderung des Zertifikates wiederholt, ist aber das gleiche Spiel (kein priv. Schlüssel).
    laut MS wird bei einem Request doch automatisch ein priv. Schlüssel ertellt und in einem "Stor" gespeichert ?!

    Wer kennt die Lösung???
    Donnerstag, 8. Oktober 2009 07:57