none
Exchange 2007: Aktivierung von TLS erzeugt Event ID 11005 "UntrustedRoot"

    Frage

  • Hallo zusammen,

    in einem Exchange 2007 möchte ich im Sendeconnector die TLS-Option aktivieren. Dies erzeugt beim Neustart des Transportprotokolls einen Fehler im Ereignisprotokoll:

    "Protokollname: Application
    Quelle:        MSExchangeTransport
    Datum:         10.04.2019 12:36:08
    Ereignis-ID:   11005
    Aufgabenkategorie:SecureMail
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:     *****
    Beschreibung:
    Das TLS-Zertifikat (Transport Layer Security) des Smarthosts für den Connector 'Windows SBS Internet Send ***' konnte nicht überprüft werden. Der Zertifikatüberprüfungsfehler für das Zertifikat ist UntrustedRoot. Wenn das Problem weiterhin besteht, wenden Sie sich an den Administrator des Smarthosts, um das Problem zu beheben."

    Es existiert aber ein korrektes Zertfikat von Sectigo/Comodo, welches für IMAP, POP, IIS und SMTP eingetragen ist.

    Wo könnte ich anfangen zu suchen?

    Vielen Dank für Eure Hilfe!

    TC

    Mittwoch, 10. April 2019 10:58

Antworten

Alle Antworten

  • Das Zertifikat wird über die Zertifikatsstelle ggf. geprüft (Firewall?) und muss ggf. auch in Windows installiert sein.
    Mittwoch, 10. April 2019 11:17
  • Vielen Dank für Deinen Hinweis,

    ich habe das Zertifikat mit dem SBS2008-Assistenten installiert und es taucht im Zertifikate Snap-In unter "eigene Zertifikate" als gültig auf. Dann sollten Windows und Firewall es kennen, oder nicht?

    Gruß TC


    • Bearbeitet Tielman Cortez Mittwoch, 10. April 2019 13:03 Rechtschreibefehler
    Mittwoch, 10. April 2019 13:00
  • Die Firewall muss das nicht kennen sondern den Zugriff zum Ersteller Comodo ggf. erlauben.
    Welcher Port dafür zuständig ist weiß ich aber nicht.

    Ggf. hilft dir aber dieses weiter:
    https://www.thewindowsclub.com/manage-trusted-root-certificates-windows

    • Bearbeitet bfuerchau Mittwoch, 10. April 2019 14:15
    Mittwoch, 10. April 2019 14:14
  • Moin,

    1. vertraut Exchange selber der Zertifizierungskette für das Zertifikat?
    2. sind auch andere gültige Zertifikate, vielleicht selbstsignierte, in den "eigenen Zertifikaten" des Exchange-Computers enthalten, die an SMTP gebunden sind?

    Und der Klassiker:

    • sind unter "Trusted Roots" evtl. Zertifikate enthalten, die keine Root CA-Zertifikate sind, sprich: wo der Aussteller und der Antragssteller nicht identisch ist?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 10. April 2019 14:50
  • Hi,

    get-exchangecertificate zeigt mehrere Zertifikate (auch abgelaufene), aber nur eines mit SMTP als Service. Damit kann ich doch davon ausgehen, dass Exchange dem Zertifikat vertraut?

    CertificateDomains : {remote.xxx.de, www.xxx.de}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=Sectigo RSA Domain Validation Secure Server CA, O=Secti
                         go Limited, L=Salford, S=Greater Manchester, C=GB
    NotAfter           : 13.02.2021 00:59:59
    NotBefore          : 13.02.2019 01:00:00
    PublicKeySize      : 2048
    RootCAType         : ThirdParty
    SerialNumber       : xxx
    Services           : IMAP, POP, IIS, SMTP
    Status             : Valid
    Subject            : CN=xxx, OU=COMODO SSL, OU=Domain Control Validated
    Thumbprint         : xxx

    Den "Klassiker" verstehe ich nicht so richtig: unter "Vertrauenswürdige Stammzertifikate" habe ich noch nie rumgefummelt. das o.a. SMTP-Zertifikat hat in seinem Zertifizierungspfad drei gültige Zertifikate (lt. mmc-Konsole).

    Gruß

    TC

    Mittwoch, 10. April 2019 15:54
  • Hi,

    get-exchangecertificate zeigt mehrere Zertifikate (auch abgelaufene), aber nur eines mit SMTP als Service. Damit kann ich doch davon ausgehen, dass Exchange dem Zertifikat vertraut?

    Nö. Erstens muss die gesamte Kette komplett eingespielt sein (Root in Root, Issuing in Intermediate), zweitens muss auch die Validierung funktionieren. Drittens, wählt SMTP-TLS manchmal auch Zertifikate, die nicht explizit SMTP zugewiesen sind...

    Den "Klassiker" verstehe ich nicht so richtig: unter "Vertrauenswürdige Stammzertifikate" habe ich noch nie rumgefummelt. 

    Einfach nur prüfen und bei Auffindung löschen. Manchmal fliegt da aus der Group Policy was rein, was nicht reingehört. Das blöde bei diesem Phänomen ist, das Zertifikat, das im Endeffekt stört, muss nichts mit den produktiven Zertifikaten zu tun haben...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 10. April 2019 16:17
  • Nö. Erstens muss die gesamte Kette komplett eingespielt sein (Root in Root, Issuing in Intermediate), zweitens muss auch die Validierung funktionieren. Drittens, wählt SMTP-TLS manchmal auch Zertifikate, die nicht explizit SMTP zugewiesen sind...

    Ok, und wie bringe ich SMTP-TLS dazu, das "richtige" Zertifikat zu benutzen? BTW: wie finde ich eigentlich heraus, welches Zertifikat überhaupt benutzt wird (und so offensichtlich den Fehler erzeugt)?

    Die Kette beinhaltet übrigens nur gültige Zertifikate.

    Gruß

    TC

    Mittwoch, 10. April 2019 16:23
  • Ok, und wie bringe ich SMTP-TLS dazu, das "richtige" Zertifikat zu benutzen? BTW: wie finde ich eigentlich heraus, welches Zertifikat überhaupt benutzt wird (und so offensichtlich den Fehler erzeugt)?

    ad a. Indem Du ihm keine Wahl lässt ;-)

    ad b.

    openssl s_client -connect exchange.server.local:25 -starttls smtp


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 10. April 2019 16:28
  • Nur mal als Hinweis - seit dem 11.04.2017 - also ziemlich genau vor 2 Jahren! wurde der Support für Exchange 2007 eingestellt

    https://docs.microsoft.com/de-de/office365/enterprise/exchange-2007-end-of-support

    Nothing to add...


    Gruß Norbert


    Mittwoch, 10. April 2019 18:09
    Moderator
  • Mittwoch, 10. April 2019 19:49
  • Das hilft mir sehr - vielen Dank!

    Gruß

    TC

    Mittwoch, 10. April 2019 20:26
  • Hat das jetzt mit dem Hinweis von Evgenij geklappt?

    Gruß Norbert

    Mittwoch, 10. April 2019 21:08
    Moderator
  • Hat das jetzt mit dem Hinweis von Evgenij geklappt?

    Gruß Norbert

    Insofern, als dass mir folgendes klar ist:

    1. Das Zertifikat ist gültig und bekannt.

    2. Es gibt nur ein SMTP-Zertifikat, welches auch vom Exchange korrekt eingetragen ist (und auch zum Beispiel im IIS / OWA funktioniert).

    3. Nach dem oben angegebenen Flussdiagramm wird genau dieses Zertifikat ausgewählt.

    4. Der Fehler kommt trotzdem. Möglicherweise liegt der Fehler ganz woanders, weil die Fehlermeldung nicht korrekt ist (wäre ja nicht das erste Mal).

    Offtopic: Der Hinweis auf den abgelaufenen Support ist natürlich völlig berechtigt. Es stellt sich allerdings die Frage, wie man mit dem Auftrag eines "systemrelevanten" Kunden umgeht, der genau diese Strukturen hat und sich seit Jahren gegen die unbedingt notwendige Migration wehrt.

    Gruß

    TC

    Donnerstag, 11. April 2019 08:39
  • Mooooment. Ich lese hier gerade nochmal im OP:

    Das TLS-Zertifikat (Transport Layer Security) des Smarthosts für den Connector

    Welches Zertifikat wird denn vom next hop präsentiert und traut Exchange diesem?


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 11. April 2019 08:54
  • "Next Hop" ist der Provider, in diesem Falle froxlor.edenmarket.de, richtig? Wenn ich Deinen o.g. openssl-Befehl darauf ansetze, erhalte ich ein LetsEncrypt-Zertifikat. Wie stelle ich jetzt fest, ob der Exchange ihm vertraut?

    Gruß

    TC

    Donnerstag, 11. April 2019 09:11
  • Moin,

    abspeichern als .cer und sehen, ob der ganzen Kette vertraut wird. Derzeit ist der Root von Let's Encrypt die "DST Root CA X3". Diese musst Du dem Exchange als vertrauenswürdig verklickern.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 11. April 2019 09:21
  • Habe es geprüft: Das LetsEncrypt-Zertifkat ist bis zur root gültig für den SBS2008.

    Gruß

    TC

    Donnerstag, 11. April 2019 09:41
  • "...seit Jahren gegen die unbedingt notwendige Migration wehrt.." ist durchaus verständlich bei den zu erwartenden Migrationskosten, hat aber mit dem Thread nichts zu tun.

    Vielleicht lässt sich dies auch Exchange 2007 noch irgendwie anwenden:
    https://www.frankysweb.de/exchange-2010-zertifikate-von-lets-encrypt-nutzen-teil-1/
    https://www.frankysweb.de/exchange-2010-zertifikate-von-lets-encrypt-nutzen-teil-2/

    Donnerstag, 11. April 2019 10:24
  • Die Antwort auf deine Frage ist relativ einfach - was passiert, wenn du eine Änderung einpflegst und sich das System komplett weglegt, weil du dich vertipp hast und es nicht wieder ans laufen bringst - wer trägt die Verantwortung oder hilft dann weiter?

    MS jedenfalls nicht, auch nicht durch Einwurf von Münzen...

    Ich selber leiste mir als externer die "Arroganz" solche Aufträge abzulehnen, da würde noch nicht einmal meine Versicherung zahlen.

    Dann guckst du in ganz große Augen....


    Gruß Norbert

    Donnerstag, 11. April 2019 14:08
    Moderator
  • Wenn ich keinen Wartungsvertrag habe helfen auch die Münzen nichts, egal bei welcher Version.
    Ich sag ja, wenn ich es mir finanziell nicht mehr leisten kann, weil Microsoft den Upgrade einfach unverschämt teuer gemacht hat, dann habe ich halt keine Chance mehr.
    Dann kann ich halt nur noch auf die vielen freundlichen Forenuser hoffen, die vielleicht ihre Erfahrung einbringen und das Problem dann trotzdem lösen können;-).

    Das ist wie bei Autos. Auch wenn der Diesel Fahrverbot hat muss ich halt nur warten, bis das Auto 30 Jahre alt ist, dann ist es historisch und ich darf doch wieder fahren.

    Donnerstag, 11. April 2019 15:32
  • ...weil Microsoft den Upgrade einfach unverschämt teuer gemacht hat, 

    Das schreibst Du andauernd. Aber ist es so? Jede US-amerikanische Software-Firma, die ich kenne, und auch die eine oder andere europäische, verlangt mindestens 18% im Jahr SnS. Bei vielen ist es sogar so, dass die Knowledge Base im Internet Dir nur angezeigt wird, wenn Du einen gültigen SnS-Vertrag hast. Bei 10 Jahren Product Lifecycle zahlst Du dann insgesamt 180% vom Kaufpreis und darfst dann kostenpflichtig upgraden, vielleicht für 30% des Neupreises. Sind wir rechnerisch bei 21% p.a. für Self-Help, Bugfixes und Upgrade am Ende.

    Bei Microsoft (von Software Assurance mal abgesehen) zahlst Du zehn Jahre lang genau NICHTS und bekommst fünf Jahre lang Feature-Updates und weitere fünf Jahre lang immerhin noch Security Fixes. Und das Upgrade am Ende kostet ca. 60-80% des Neupreises, umgerechnet bist Du also bei 6-8% pro Jahr für die gleiche Leistung wie oben.

    Anderer Blickwinkel. Der Server, auf dem Dein Exchange läuft, hat eine Abschreibungsdauer von fünf Jahren. Und der Hersteller nimmt den abgeschriebenen Server nicht etwa in Zahlung für den Neuen, sondern der Neue kostet einfach den Neupreis plus Entsorgung des alten. 105% in fünf Jahren (damit wir auf 10 Jahre Lifecycle kommen), da sind wir wieder bei den 21% p.a., s. oben. Da sagt aber keiner was zu, sondern es ist halt so.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 11. April 2019 19:47
  • Dabei ist allerdings zu berücksichtigen:
    Habe ich eine Anwendung auf Basis SQL-Server, so verlangt sicherlich der Hersteller seine Lizenzen und Wartungskosten. Allerdings muss ich den SQL-Server nun mal zusätzlich bezahlen.
    Mit den dazu auch noch geänderten Lizenzmodellen (SQL-Server, aber auch Oracle) kommen neben meiner Anwendung von vielleicht 5-10.000€ zusätzlich noch mal 16.000€ SQL-Serverkosten, da ich auch auf einem 1 oder 2-Core-System 4 Cores lizensieren muss. Die Grenze nach User-Lizenzen bei einem SQL-Standard liegt rechnerisch bei angenommenen 100€/User bei 160 Usern. Es tauchen aber auch Preise von 249€/User auf.
    Die Core-Preise findet man, die User-Cals findet man von 49€ - 249€, also keine verweertbare Größe.

    Kommen wir nun zu Exchange 2019:
    Laut Microsoft wird empfohlen:
    - keine Virtualisierung
    - mindesten 128 GB Hauptspeicher

    Bei einer durchschnittlichen Größe von 2GB/Postfach kann ich demnach bereits 64 User nur durch den Hauptspeicher bedienen. Was sollen solche Rahmenbedingungen zumal ein solcher Server i.d.R. bei einer Auslastung von unter 1% liegt wenn nicht Millionen von Mails täglich verschickt und empfangen werden?
    In meiner virtualisierten Serverlandschaft benötige ich also nur für Exchange bereits einen eigenen Hardwareserver mit 128GB RAM?
    Dafür benötige ich natürlich einen Windows-Server und da die User ja alle mit Exchange arbeiten brauche ich da nicht auch noch Passthru-User-Cal's so wie es mit anderen Anwendungen ja auch gilt?

    Einem meiner Kunden (ca. 150MA) wurde für eine Ablösung seiner Serverlandschaft (mehrere Hardwareserver mit Virtualisierung zzg. mehrerer SQL-Server mit max. 1-2 CPU's) auf neueste Hard- und Software ein Angebot von ca. 400.000€ gemacht, dazu kämen dann bei 18% Wartung ja noch 72.000€ jährlich dazu.
    Daher unbezahlbar.
    Hinzu kommen Office-Lizenzen, z.B. Office 365 Pro = 8,80/Monat/User = 15.850€/Jahr.

    Warum muss ich 4 Cores lizensieren wenn ich nur 1 Core (und hier ggf. nur 2 CPU's) benötige?

    https://www.windowspro.de/wolfgang-sommergut/sql-server-2016-editionen-lizenzierung

    Der Kunde arbeitet heute immer noch mit WindowsServer 2008R2 sowie Office 2007 ohne irgendwelche Probleme und 400.000€ + laufende Kosten sprengt eben alles und sie werden wohl noch ein paar Jahre auf dem Stand bleiben.


    • Bearbeitet bfuerchau Freitag, 12. April 2019 09:03
    Freitag, 12. April 2019 08:59
  • Dabei ist allerdings zu berücksichtigen:
    Habe ich eine Anwendung auf Basis SQL-Server, so verlangt sicherlich der Hersteller seine Lizenzen und Wartungskosten. Allerdings muss ich den SQL-Server nun mal zusätzlich bezahlen.

    Und das siehst Du bereits vollkommen falsch. Es ist nicht "zusätzlich", sondern "für die Leistung, die der Kunde wirklich kriegt, ohne vorher beurteilen zu können, ob er sie wirklich braucht". Der Kunde könnte für das Geld 50 Instanzen mit Tausenden von Datenbanken auf dem SQL Server betreiben... wen denn der Bedarf da wäre. Dafür wäre nicht 1 Cent an zusätzlichen Microsoft-Lizenzen notwendig. Braucht er aber nicht. Und nur weil der Third Party-Hersteller zu blöd ist, seine Software ordentlich und zielgruppenorientiert zu schreiben, muss der Kunde jetzt Hunderttausende von Euros lassen.

    Ich kenne diese Sorte zu Genüge. Haben ihre Hausaufgaben nicht gemacht und jammern dem Kunden stattdessen stundenlang vor, wie scheiße Microsoft ist, bis er unterschreibt, damit sie endlich weggehen und ihn arbeiten lassen.

    Statt zu sagen: Kunde, Du hast zwei Varianten, wie wir ins Geschäft kommen.

    1. Du kaufst für Hunderttausend vier Kerne Standard und kannst Deine Bewegungsdaten solange in einer monolithischen Datenbank aufheben, bis irgendwann das halbe Petabyte erreicht ist. Jammern über Preise --> bitte bei Microsoft ausheulen.
    2. Oder Du lässt dich auf ne Express ein, mit der Maßgabe, dass Du jedes Vierteljahr neu rollen musst wegen 10 Gig. Dafür haben wir extra ein "Small Business Rollup and Reporting Pack" entwickelt, kostet einmalig zehntausend. Hat auch den Vorteil, dass die Daten der vergangenen Vierteljahre Read-Only sind und nicht mehr gesichert werden müssen, spart Platz auf Band.

    Und machen wir uns dabei nichts vor - die wenigsten dieser Popel-Anwendungen erreichen jemals 10GB - höchstens in Logs, weil die, die sie installieren, zu dämlich sind, den Recovery Mode auf Simple zu stellen oder ein Backup einzurichten.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 12. April 2019 12:38
  • Also mit den 2-3-Useranwendungen kann es sein, dass du mit ca. 10GB auskommst. Ich kenne aber nun mal ERP's die durchaus mit mehreren 100GB's arbeiten.
    Sicherlich hast du Recht, wenn man jedes Jahr die Daten wegreorganisieren könnte, allerdings sind ja 10 Jahre sowieso zugriffspflichtig und dann habe ich halt meine 300-500GB an der Backe.
    Nun baut sich eine Landschaft in der Zeit halt stückweise auf:
    1 Server mit ERP-Anwendung
    1 Server für DWH
    1 Server Lagerverwaltung
    1 Web-Server
    bla bla ...
    100te Schnittstellen zwischen den Systemen zur Datenversorgung, aus Performancegründen eben getrennte Systeme. Und somit lässt sich eben erklären, dass ich u.U. 4 oder mehr SQL-Server (nicht nur Datenbanken) brauche und je nach Last nicht alles auf 1 Hardware, somit habe ich mal schnell 3-4, oder auch mehr, SQL-Server á 16.000€ an der Backe.
    Das hat mit schlechtem Design nichts zu tun sondern sind getrennte Systeme die nix von einander wissen und die deshalb auch nicht auf einem SQL-Server laufen dürfen.
    Die Skalierung über mehrere Server, da getrennte Anwendungen, ist da einfacher, als 1 Server zu skalieren.

    In meinem Umfeld kommen Datenbanken unter 10GB nicht vor.
    Beim Aufbauen von DWH's, losgelöst von den Anwendungen, gehen schon mal schnell in die 60, 70, oder 100GB.

    Erinnere dich an einen anderen Thread, in dem die BI-User direkt auf das ERP-System losgelassen werden und durch Abfragen den Betrieb quasi lahmlegen. Dies kannst du nur durch 2 getrennte Hardwareserver vernünftig lösen.

    Ich hatte mal bei einem Kunden die Rückfrage bekommen, wieso ich einen BI-Server zu 100% auslaste. In der VM-Welt würde bei den anderen Servern nahezu Stillstand herrschen. Nach der Analyse konnte ich nur sagen:
    a) wieso laufen mehr VM's als CPU's und Speicher verfügbar ist auf einer Hardware?
    b) warum darf ich einen Server (auch wenn er virtualisiert ist) nicht zu 100% auslasten? Wofüer ist der denn sonst da?

    Lange Rede kurzer Sinn:

    Es gibt viele Gründe seine Landschaft auf mehrere Hardware-Server zu verteilen.
    Ich sträube mich halt nur dagegen, für etwas bezahlen zu müssen, was ich nicht einsetzen will da ich es nicht brauche, also nur 1 Core, 200GB Datenbank steigend, alle paar Minuten mal ein paar komplexe Abfragen für mehrere 10 oder auch 100 BI-User und schon benötige ich viel Geld für die Lizenzen.

    Ich zahle für mein Auto auch nur die Steuern, die der Motor leistet. Man könnte ja auch auf dem Standpunkt stehen, alle zahlen die selben Steuern: 5Liter Hubraum und 780PS. Es liegt doch an dir die entsprechende Hardware einzusetzen um die Leistung dann auch auszureizen.

    So nun sind wir weit off topic und sollten da Schluss machen;-).

    Freitag, 12. April 2019 13:58
  • Als Threadersteller erlaube ich mir doch noch Kommentare:

    1. Dass die letzten Posts off-topic waren, finde ich nicht schlimm, denn die Diskussion ist wichtig.

    2. Meines Erachtens muss unterschieden werden:

      a) Ist es meinem Kunden zuzumuten, dass er upgraded? (Ich finde: ja, denn er hat in letzten Jahren viel gespart - nicht zuletzt dank meiner umsichtigen Hilfe)

      b) Ist es mir zuzumuten, die Risiken der Betreuung eines uralt-Systems auf mich zu nehmen? (Ich finde: bis zu einem gewissen Grad, der jetzt aber auch für mich überschritten ist)

      c) Ist es moralisch verwerflich, wenn ich auf die "vielen freundlichen Forenuser hoffe, die ihre Erfahrung einbringen"? Dies ist überhaupt nicht despektierlich gemeint, ich schätze die Technet-Foren sehr und habe auch schon versucht anderen zu helfen. Als Freelancer bin ich auf die Community angewiesen.

    3. Ich darf doch nochmal zu meinem konkreten Problem, das leider noch nicht gelöst ist, zurückkommen: In der Grundeinstellung des SBS2008/Exchange2007 ist TLS nicht aktiviert gewesen. So hat es bisher ohne Probleme geklappt (auf Kosten der Sicherheit, das ist mir klar). Nun kam eine Mail an eine Bank zurück mit dem Fehler "gate1.comdirect.de #<gate1.comdirect.de #5.0.0 smtp; 530 #5.7.0 Must issue a STARTTLS command first> #SMTP#". Deshalb habe ich im Sendeconnector TLS aktiviert, was zu urspünglichem Fehler führte. Falls irgendjemand dazu noch eine Idee hat, würde ich mich sehr freuen.

    Auf jeden Fall vielen Dank für alle bisherigen und zukünftigen Beiträge - auch off-topic!

    Gruß

    TC

    Samstag, 13. April 2019 05:51
  • Moin,

    zunächst einmal - toll, das du das so siehst, auch die Off-Topic Diskussion!

    DANKE!

    Der Beitrag von bfuerchau vom 11.04. hat nichts passendes dabei?

    Hmm, Evgenij hatte auch was gefunden und verlinkt... - ich selber habe leider keine Idee mehr, sorry - kann auch nirgends mehr was gucken, habe letzte Woche den letzten 2010 bei einem Kunden zu 2016 migriert, ein paar sind auch zu O365 gegangen

    Du findest mich auch mit dem gleichen Namen im msxforum.de, trigger mich doch da mal an.


    Gruß Norbert

    Montag, 15. April 2019 20:41
    Moderator
  • "Es existiert aber ein korrektes Zertfikat von Sectigo/Comodo, welches für IMAP, POP, IIS und SMTP eingetragen ist."

    Du schreibst andererseits, dass du ein Zertifkat von LetsEncrypt erhältst.
    Somit müsstest du doch ein root-Zertifikat von denen installieren:

    https://letsencrypt.org/certificates/

    Aber vielleicht unterstützt 2007 eben noch kein Letsencrypt.
    Hast du diese Links denn mal geprüft?

    https://www.frankysweb.de/exchange-2010-zertifikate-von-lets-encrypt-nutzen-teil-1/
    https://www.frankysweb.de/exchange-2010-zertifikate-von-lets-encrypt-nutzen-teil-2/

    Dienstag, 16. April 2019 12:30
  • Und zum Thema OffTopic:

    Vielen Dank für die netten Worte, aber ich möchte noch mal meinen Senf dazugeben:

    "Und das siehst Du bereits vollkommen falsch. Es ist nicht "zusätzlich", sondern "für die Leistung, die der Kunde wirklich kriegt, ohne vorher beurteilen zu können, ob er sie wirklich braucht". Der Kunde könnte für das Geld 50 Instanzen mit Tausenden von Datenbanken auf dem SQL Server betreiben... wen denn der Bedarf da wäre"

    Ich brauche 1 SQL-Instanz auf 1 Core mit ca. 500 Usern.
    Warum muss ich nun 4 Cores kaufen?
    Das ganze Thema könnte preiswerte gestaltet werden und dann wären die Kunden auch bereiter den nötigen Upgrade zu fahren.

    Ich kaufe auch keinen 30 Tonner, wenn ich mal ab und zu zum Baumarkt fahren muss.

    "Meines Erachtens muss unterschieden werden:

    a) Ist es meinem Kunden zuzumuten, dass er upgraded? (Ich finde: ja, denn er hat in letzten Jahren viel gespart - nicht zuletzt dank meiner umsichtigen Hilfe)

    b) Ist es mir zuzumuten, die Risiken der Betreuung eines uralt-Systems auf mich zu nehmen? (Ich finde: bis zu einem gewissen Grad, der jetzt aber auch für mich überschritten ist)"

    Nun, ich komme i.W. aus einer anderen Welt, der sog. AS/400 die von IBM leider zu viele verschiedene Namen bekommen hat.
    Diese Maschine hat den großen Vorteil, dass ich Software, die ich vor 25 Jahren entwickelt habe, auch auf den neuesten Maschinen und Releasen immer noch problemlos läuft.
    zu a)
    Dem Kunden ist es nicht zuzumuten, wenn er das zu investierende Geld einfach nicht hat oder der Upgrade einfach zu teuer wird. Ein Upgrade in der Windowsweilt führt leider auch dazu, dass erheblich mehr ausgetauscht werden muss. Es gibt genug Hinweise in den Foren, dass Altsoftware auf dem nächsten Windows nicht mehr läuft und ich für meine Altsoftware auch keinen Ersatz mehr bekommen kann, es sei denn ich lasse alles noch mal neu entwickeln. Bei der AS/400 setze ich neue Hard- und Betriebssoftware ein, die Datenbank ist bereits dabei und fertig ist der Lack.

    zu b)
    Was heißt schon Uraltsystem? Bei Anwendungen wie Office, Grafik und sonstigen Spielwiesen magst du recht haben.
    Bei den klassischen ERP-Anwendern ist das aber komplett anders:
    Für die Bearbeitung meines Geschäfts benötige ich ein Auftragswesen, eine (Lager-)Logistik, eine Finanzbuchhaltung, Produktions/Planungssysteme u.v.m.
    Da hilft es mir nicht, wenn ich hier verschiedene Anbieter auf verschiedenen Systemen anfange zu mischen. Ich suche mir ERP-Ersteller, die i.W. alles nötige mitbringen. Im Laufe der Zeit werden dann auch ständig Erweiterungen und auch Modernisierungen vorgenommen. Schnittstellen zu Drittsystemen wie Maschinenleitstände oder Lagerverwaltungssysteme kommen im Laufe der Zeit dann dazu.
    Ein Uralt-System gibt es in diesem Sinne also gar nicht.
    Hätte ich das Ganze auf Basis Microsoft und SQL-Server aufgebaut, hätte ich ein Vielfaches der nötigen Investitionskosten gehabt um alles am Laufen zu halten.

    In meinem persönlichen Umfeld entwickle ich ebenso PC-Anwendungen (BI), die von Windows XP bis Windows10, von Server 2003 bis Server 2016 und vermutlich auch auf Server 2019 problemlos laufen.
    Hätte ich mich damals für SQL-Server entschieden, so hätte ich heute bereits verschiedene Version programmieren müssen, da leider auch beim SQL-Server ab und an Kompatibilitätsbrüche auftreten.
    Im BI-Umfeld werden Datenbanken sehr schnell größer 10GB und auch die Anzahl User geht schnell mal über 100, denn BI ist nicht nur was für die Geschäftsführer oder Controller.
    Hier hätten meine Kunden inzwischen arge Bezahlprobleme, wenn der SQL-Server das 4-fache meiner Software kostet.
    Mit der Firebird habe ich da absolut kein Problem und somit habe ich ein kompatibles System incl Datenbank von Alt bis Neu und von Uralt-System kann man da wirklich nicht sprechen.

    Dienstag, 16. April 2019 13:00
  • "Es existiert aber ein korrektes Zertfikat von Sectigo/Comodo, welches für IMAP, POP, IIS und SMTP eingetragen ist."

    Du schreibst andererseits, dass du ein Zertifkat von LetsEncrypt erhältst.
    Somit müsstest du doch ein root-Zertifikat von denen installieren:


    Das habe ich unscharf ausgedrückt: auf dem betroffenen Exchange Server 2007 (auf SBS2008) meines Kunden ist ein gültiges gekauftes Sectigo/Comodo-Zertifkat installiert, welches den Zugang via SSL (OWA/ActiveSync bzw. via Android und IOS) gestattet. Als gültiger Dienst ist dem Zertifikat auch SMTP zugeordnet. Das habe ich im Exchange geprüft (mit get-exchangecertificate).

    Der Provider (Smarthost, Next Hop) verwendet ein LetsEncrypt Zertifikat, welches aber mit kompletten Pfad bis zum Root-Zertifikat im SBS2008 meines Kunden gültig ist.

    Die LetsEncrypt Zertifikat-Einbindung von FrankysWeb nutze ich bei anderen Kunden, die neuere Versionen von Exchange verwenden (superpraktisches Skript übrigens!). Ich würde mich schwer tun, hier zu experimentieren, ob das Script auch auf Exchange 2007 läuft. Wie weiter oben korrekt bemerkt wurde, könnte ein Fehler, der zu einem Gesamtausfall des Mailsystems führt, weil die Zertifikatvergabe völlig durcheinandergekommt, zu einem größeren Problem werden.

    Da lasse ich mich hier lieber einen "Feigling" nennen ;-)

    Gruß

    TC

    Dienstag, 16. April 2019 13:53
  • Da du ja von Exchange 2007 sprichst, widersprichst du dir da dann nicht selber?

    "a) Ist es meinem Kunden zuzumuten, dass er upgraded? (Ich finde: ja, denn er hat in letzten Jahren viel gespart - nicht zuletzt dank meiner umsichtigen Hilfe)"

    Nach einem Upgrade könntest du ja dann wohl die Scriplösung nehmen;-);-).

    Mittwoch, 17. April 2019 08:55