none
Zertifkatsproblem Exchange2007 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Tag,

    in einer Kundenumgebung war das Zertifikat für den Zugriff auf den Exchange2007 aubgelaufen.

    Ich habe eine neues Zertifikat erstellt.  An einem PC habe ich mich an Outlook angemeldet und habe das Zertifkat installiert. An diesem Rechner hat das funktioniert. 

    Bei allen anderen PC`s im Netzwerk, wird das installierte Zertifikat immer vergessen.

    Sprich, jeden Morgen kommt zweimal der Sicherheitshinweis "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingstuft haben. Zeigen Sie das Zertifkat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten."

    Wenn ich der Zertifiezierungsstelle vertraue, ist das spätestens mit einem Rechnerneustart vergessen!!!

    Dienstag, 30. Oktober 2012 12:06
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Aber mit PKI und soweiter ist ja eine Wissenschaft für sich.

    Ist es eigentlich nicht und es ist schnell installiert:
    http://www.msxfaq.de/signcrypt/setupca2008.htm

    "Es ist jetzt die Frage intern/extern und ob die Verbindung verschlüsselt sein soll"

    Die Nutzer in der Firma brauchen, denke ich nicht unbedingt eine Verschlüsselung.

    Dann haken raus, wie beschrieben.

    Eine Frage steht ja auch noch im Raum. warum hat es vorher funktioniert, mit dem alten Zertifikat ?

    Gekauftes Cert oder doch eine CA vorhanden?

    Viele Grüße
    Christian

    • Als Antwort markiert Patrick10315 Montag, 7. Januar 2013 14:04
    Mittwoch, 31. Oktober 2012 15:46
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    könntest Du mal genauer beschreiben, was Du gemacht hast. Es gibt mehrere Möglichkeiten, ein Zertifikat auszustellen (Extern, Intern, Selfsigned).

    "Zertifikat installiert" ist in diesem Zusammenhang nicht eindeutig.

    Wenn ich der Zertifiezierungsstelle vertraue, ist das spätestens mit einem Rechnerneustart vergessen!!!

    Klingt nach Gruppenrichtlinien.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 30. Oktober 2012 12:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Also es wurde auf den Clients angezeigt das das Sicherheitszertifikat (ein selbst siniertes ) abgelaufen ist.

    Also habe ich versucht ein neues zu erstellen. Ich habe dieses nach den Anleitungen gemacht die man im Internet findet. Irgend wie lief es aber nicht so, wie in der Beschreibung.

    Irgend wann, nach mehreren Versuchen hatte ich dann ein neues Zertifikat.

    Und es sah auch aus wie das alte Zertifikat (das ist aber schon gelöscht).

    Dann habe ich es an einem Client eingebunden und es gab keinen Sicherheitshinweis.

    Das war aber auch der einzigste Client, wo es funktioniert hat.

    Die anderen Clients haben, das Zertifikat scheinbar nicht da abgelegt, wo es vorgesehen ist.

    Oder es wurde auch gar nicht abgelegt ?

    Wenn das Zertifikat nicht in Ordnung ist, warum funktionierte es dann auf einem PC ?

    Mittwoch, 31. Oktober 2012 07:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    wie hast du es genau ausgerollt? Ist es in der lokalen Speicher zu finden?

    http://www.unixwiz.net/techtips/deploy-webcert-gp.html

    Viele Grüße
    Christian

    • Als Antwort markiert Patrick10315 Mittwoch, 31. Oktober 2012 08:29
    • Tag als Antwort aufgehoben Patrick10315 Mittwoch, 31. Oktober 2012 08:40
    Mittwoch, 31. Oktober 2012 08:16
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Ausgerollt habe ich eigentlich gar nichts.

    Ich habe nur ein neues selbst zertifiziertes Zertifkat erstellt.

    Es hat den gleichen Namen, wie das alte Zertifikat und wurde auch wie das alte Zertifikat vom gleichen Server ausgestellt. 

    In welchem lokalen Speicher sollte es den zu finden sein ?

    Gruß Patrick

    Mittwoch, 31. Oktober 2012 08:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Ausgerollt habe ich eigentlich gar nichts.

    das solltest du nachholen.

    Ich habe nur ein neues selbst zertifiziertes Zertifkat erstellt.

    Es hat den gleichen Namen, wie das alte Zertifikat und wurde auch wie das alte Zertifikat vom gleichen Server ausgestellt. 

    Das ist egal, denn der Thumbprint ist ein anderer.

    In welchem lokalen Speicher sollte es den zu finden sein ?

    Schau in den TrustedRootCA - einfach MMC am Client öffnen und das Cert-Snapin hinzufügen...

    Viele Grüße
    Christian

    Mittwoch, 31. Oktober 2012 08:51
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    selbst signierte Zertifikate sind nicht supported, weil es vom Client und manchmal auch vom Servicepack-Stand abhängt, ob diese funktionieren oder nicht.

    Richtig sauber wärst Du, wenn Du eine Windows PKI installieren würdest (5 Minuten Aufwand), das Zertifikat von dieser ausstellen (10 Minuten Aufwand) und da Root-CA der Windows PKI per GPO verteilst (10 Minuten Aufwand).

    Dieser Mechanismus ist supported und funktioniert.

    In welchem lokalen Speicher sollte es den zu finden sein ?

    Vertrauenswürdige Stammzertifizierungsstellen.

    Eventuell muss Du dort das alte vorher noch löschen.

    Aber wie gesagt: Eventuell läuft es auch nie und Du hast den Grund erlebt, warum die nicht supported sind.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 31. Oktober 2012 08:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Jetzt habe ich an einem Vista-Client das alte Serverzertifikat gelöscht und das neue importiert unter vertr. Stammzertifizierungsstellen.

    Es funktioniert.

    An einem Windows7-Client sagt er mir zwar, das das Zertifikat erfolgreich installiert hat. 

    Aber es ist nicht da. Aber das ist wahrscheinlich das Problem mit selbst signierten Zertifikaten.

    Kann ich diese Zertifikats-Geschichte nicht einfach auf dem Exchange deaktivieren ?

    Damit die Benutzer nicht jeden Tag genervt werden ?

    Mittwoch, 31. Oktober 2012 10:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Es funktioniert.

    Gut!

    An einem Windows7-Client sagt er mir zwar, das das Zertifikat erfolgreich installiert hat. 

    Aber es ist nicht da. Aber das ist wahrscheinlich das Problem mit selbst signierten Zertifikaten.

    Wo ist es nicht? Ich vermute, dass es im falschen Zertikatsspeicher liegt, denn es sollt zu finden sein.

    Kann ich diese Zertifikats-Geschichte nicht einfach auf dem Exchange deaktivieren ?

    Intern kannst du unter O2010 einfach HTTPS/ExchangeProxy-Einstellungen im Profil deaktivieren.

    Damit die Benutzer nicht jeden Tag genervt werden ?

    Es ist jetzt die Frage intern/extern und ob die Verbindung verschlüsselt sein soll. Für dich kannst du es machen, wie du es möchtest - beim Kunden sollte die Sicherheit im Vordergrund stehen.

    Viele Grüße
    Christian

    Mittwoch, 31. Oktober 2012 10:36
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Kann ich diese Zertifikats-Geschichte nicht einfach auf dem Exchange deaktivieren ?

    Damit die Benutzer nicht jeden Tag genervt werden ?

    Na ja, Du kannst die ganzen internen URLs auf "http" umstellen. Autodiscover und EWS gehen nur über die Shell, OAB geht über die GUI.

    Ob das allerdings sauber funktioniert und supported ist, kann ich aus dem Kopf nicht sagen.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 31. Oktober 2012 10:41
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich habe auf dem Windows7-Client das Zertifikat unter 
    Vertrauenswürdige Stammzertifizierungsstellen\zertifikate installiert. Windows sagt mir auch, das es erfolgreich importiert wurde. Aber es ist nicht dort.
    Mittwoch, 31. Oktober 2012 11:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich würde ja gerne, das ganze vernünftige einstellen.

    Aber mit PKI und soweiter ist ja eine Wissenschaft für sich.

    "Es ist jetzt die Frage intern/extern und ob die Verbindung verschlüsselt sein soll"

    Die Nutzer in der Firma brauchen, denke ich nicht unbedingt eine Verschlüsselung.

    Eine Frage steht ja auch noch im Raum. warum hat es vorher funktioniert, mit dem alten Zertifikat ?

    Mittwoch, 31. Oktober 2012 11:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Aber mit PKI und soweiter ist ja eine Wissenschaft für sich.

    Ist es eigentlich nicht und es ist schnell installiert:
    http://www.msxfaq.de/signcrypt/setupca2008.htm

    "Es ist jetzt die Frage intern/extern und ob die Verbindung verschlüsselt sein soll"

    Die Nutzer in der Firma brauchen, denke ich nicht unbedingt eine Verschlüsselung.

    Dann haken raus, wie beschrieben.

    Eine Frage steht ja auch noch im Raum. warum hat es vorher funktioniert, mit dem alten Zertifikat ?

    Gekauftes Cert oder doch eine CA vorhanden?

    Viele Grüße
    Christian

    • Als Antwort markiert Patrick10315 Montag, 7. Januar 2013 14:04
    Mittwoch, 31. Oktober 2012 15:46
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Ich habe auf dem Windows7-Client das Zertifikat unter 
    Vertrauenswürdige Stammzertifizierungsstellen\zertifikate installiert. Windows sagt mir auch, das es erfolgreich importiert wurde. Aber es ist nicht dort.

    versuch es nochmal über die mmc - wie lautet die Endung?

    Viele Grüße
    Christian

    Mittwoch, 31. Oktober 2012 15:47
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Ich habe es auch über die MMC importiert. Ich habe das Zertifikat als *.p7b und *.cer exportiert bzw. importiert. 

    Aber wie gehabt es erscheint nicht im lokalen Zertifikatsspeicher.

    Das alte Zertifikat war auch ein selbst signiertes Zertifikat.

    Ich werde demnächst mal schauen, das ich bei den Windows7-Clients HTTPS/ExchangeProxy-Einstellungen im Profil  deaktivieren .

    Donnerstag, 1. November 2012 10:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    Ich habe es auch über die MMC importiert. Ich habe das Zertifikat als *.p7b und *.cer exportiert bzw. importiert. 

    Aber wie gehabt es erscheint nicht im lokalen Zertifikatsspeicher.

    vielleicht ein Problem mit dem Zertifikat... evtl. testest du mal ein neues...

    Das alte Zertifikat war auch ein selbst signiertes Zertifikat.

    Ich werde demnächst mal schauen, das ich bei den Windows7-Clients HTTPS/ExchangeProxy-Einstellungen im Profil  deaktivieren .

    ...oder so...

    Viele Grüße
    Christian

    Donnerstag, 1. November 2012 15:55
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Wo genau kann ich das einstellen ? 

    "Intern kannst du unter O2010 einfach HTTPS/ExchangeProxy-Einstellungen im Profil deaktivieren"

    Wo finde ich die ExchangeProxy-Einstellungen im Profil ?

    Ich frage so blöde, weil ich es bei mir nicht nachschauen kann.

    Aber wenn ich zum Kunden fahren, möchte ich nicht vor Ort rumprobieren bzw. suchen.

    Montag, 5. November 2012 07:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo 

    ich war beim Kunden und es gab keine Einstellung "HTTPS/ExchangeProxy-Einstellungen im Profil deaktivieren".

    Es gab nur "HTTP aktivieren". Das habe ich auch mal gemacht.

    Brachte aber auch keinen Erfolg.

    Auf einem neuen PC mit Win7 funktioniert die Zertifikatsgeschichte. Sprich das Zertifikat wird richtig installiert.

    Ich vermute das, das Problem vom Office her rührt.

    Es wurde auf dem Problem-PC ein Update von Office2007 auf Office2010 durchgeführt.

    Selbst eine Deinstallation und eine Neuinstallation von Office2010 behoben das Problem nicht.

    Gruß Patrick

    Freitag, 9. November 2012 07:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Patrick10315,

    ich war beim Kunden und es gab keine Einstellung "HTTPS/ExchangeProxy-Einstellungen im Profil deaktivieren".

    Es gab nur "HTTP aktivieren". Das habe ich auch mal gemacht.

    das nicht aktivieren ist das deaktivieren. :-)

    Hast du eine Lösung gefunden.

    Viele Grüße
    Christian

    Dienstag, 20. November 2012 20:56
    |
    Moderator