Exchange 2007 SSL-Zertifikat

1. offizieller Beitrag

    Hallo,


    ich habe eine Frage zu SSL-Zertifikaten in Bezug auf Exchange 2007.


    Ich habe mit folgendem Befehl über die Exchange-PowerShell ein SSL-Zertifikat erzeugt:


    Code
    New-ExchangeCertificate -GenerateRequest -SubjectName "c=LOCAL, o=DOMAIN, cn=mail.domain.local" -IncludeAcceptedDomains -privatekeyexportable $true -Path c:\domain.local.req


    Anschließend an der selbst installierten Zertifizierungsstelle eingereicht und mit


    Code
    Import-ExchangeCertificate -Path c:\domain.local.cer Enable-ExchangeCertificate -Thumbprint <Fingerabdruck des Zertifikats> -Services IIS


    importiert und aktiviert.
    Nun habe ich allerdings folgendes Problem. Im internen LAN funktioniert zunächst alles wunderbar. Allerdings soll von extern über eine Domain die von unserem ISP gehostet wird (beispielsweise mail.domain.de) den Mitarbeitern Zugriff auf OWA ermöglicht werden. Da jedoch das Zertifikat für mail.domain.local ausgestellt ist kommt ständig die Warnung, dass das Zertifikat für einen anderen Host ausgestellt wurde. Gibt es eine Möglichkeit ein SSL-Zertifikat für mehrere Hosts / Domains gültig zu machen? (Sprich mail.domain.local und mail.domain.de) oder irgendwelche anderen Lösungsmöglichkeiten für das Problem? Ebenfalls wäre es ganz gut, wenn man beispielsweise auch owa.domain.local aufrufen könnte, ohne dass man eine Zertifikatswarnmeldung erhält.


    Liebe Grüße

    • Offizieller Beitrag

    Hi


    Der Fehler kommt daher, da du das Zertifikat auf .local ausstellst. Die Meldung besagt korrekter Weise, dass der Zugriff von .com nicht zum Zertifikat passt. Du musst deinen Request entsprechend erweitern: New-ExchangeCertificate -GenerateRequest -Path c:\mail_domain_com.csr -KeySize 2048 -SubjectName "c=CH, s=, l=Hauptstadt, o=MeineBude, ou=IT, cn=mail.domain.com" -DomainName owa.domain.com, autodiscover.domain.com, servername, servername.intern.local -PrivateKeyExportable $True


    Hilfe kriegst du dabei hier: https://www.digicert.com/easy-csr/exchange2007.htm


    Schau dir sonst auch mal die öffentlichen Zerts an. Wenn ein MA von extern (Internetcafe) auf das OWA zugreiff kommt eine Meldung dass das Root CA nicht vertrauenswürdig ist. Auch ist das Problem wenn du mit Windows Mobile synchronisierst. Alle Geräte müssen im Besitz des Root Zertifikat sein: http://www.digicert.com/unified-communications-ssl-tls.htm Digicert ist sehr zu empfehlen.


    Alternativ geht auch dies: http://www.server-talk.eu/2008…-single-name-certificate/


    Gruss
    Michel

    Hallo, danke für die Infos. Also ich habe momentan folgendes Problem. Beim Einreichen eines Zertifikates kommt immer folgende Meldung: "Fehler bei der Analyse der Anforderung. Der angeforderte Antragstellername ist ungültig oder zu lang. 0x80094001(-2146877439).
    Unter dem Punkt "Fehlgeschlagene Anforderungen" steht als Antragssteller bei den Zertifikaten DOMAIN\Administrator. Bei den gültigen steht DOMAIN\NameDerZertifizierungsstelle.


    Weiterhin kommt sobald ich statt "LOCAL" "DE" verwende, also:


    Mit folgendem Befehl

    Code
    New-ExchangeCertificate -GenerateRequest -Path c:\mail_domain_local.csr -KeySize 2048 -SubjectName "c=LOCAL, s=, l=, o=DOMAIN, cn=mail.domain.local"  -PrivateKeyExportable $True


    kommt die oben erwähnte Fehlermeldung.
    Wenn ich jedoch versuche für mail.domain.de ein Zertifikat auszustellen, kommt folgende:
    Die Anforderung enthält keine Zertifikatsvorlageninformationen. 0x80094801(-2146875391) Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatsvorlage, noch das Anforderungsattribut "CertificateTemplate".


    Das habe ich mit folgendem Befehl getestet:

    Code
    New-ExchangeCertificate -GenerateRequest -Path c:\mail_domain_local.csr -KeySize 2048 -SubjectName "c=LOCAL, s=, l=, o=DOMAIN, cn=mail.domain.local"  -PrivateKeyExportable $True

    Danke, jetzt klappt alles. Hatte die Zertifitierungsstellen-Webregistrierung nicht mal installiert :oops: .
    Braucht man für ActiveSync eigentlich öffentlich vertraute Zertifikate oder reicht dafür auch eins, das man mit einer eigenen Zertifizierungsstelle signiert hat, bzw. selbst signiert hat?
    Kennt jemand eventuell ein Tutorial, in dem beschrieben wird, wie man OMA und OWA unter dem gleichen Verzeichnis erreichbar machen kann? Also damit man nicht immer mail.domain.de/owa etc. angeben muss sondern OMA und OWA beide unter mail.domain.de erreichbar sind?


    Gruß

    • Offizieller Beitrag

    1. Ja, das mit der Web-Oberfläche musste ich auch erst schmerzlich lernen. :)


    2. Outlook Anywhere und Exchange Active Sync funktionieren NICHT mit selbstsignierten Zertifikaten. Du kannst allerdings das Zertifikat deiner CA exportieren (nur den öffentlichen Schlüssel) und beim Client als "vertrauenswürdige Stamm-CA" importieren.


    Merkregel: Der Internet Explorer MUSS das OWA-Zertificat fehlerfrei erkennen, dann sollte es auch mit Active Sync und Outlook Anywhere funktionieren (wenn beide den gleichen CAS benutzen)


    3. OMA gibt es in Exchange 2007 nicht mehr, wurde durch Active Sync komplett abgelöst.


    4. How to Simplify the Outlook Web Access URL

    Danke für die Infos, nur wie soll ich auf einem gewöhnlichem Handy Zertifikate importieren? Geht doch eigentlich in der Regel nicht. Heißt das um mit den Handys ActiveSync nutzen zu können, müsste ich ein öffentliches Zertifikat kaufen?


    Grüße

    • Offizieller Beitrag

    Sagen wir es mal so: Das kommt darauf an.


    Wie gesagt: Exchange 2007 kennt kein OMA mehr. Wenn Dein Handy kein Active Sync kann, kannst Du eh nur mit OWA zugreifen.


    Ich benutze Windows Mobile 6 und das Iphone für den Active Sync-Zugriff. Windows Mobile 6 hat sich sehr zickig, wenn es Probleme mit dem Zertifikat gibt. Das IPhone fragt einmal "Fehlerhaftes Zertifikat -> ignorieren oder abbrechen" und das wars. Danach kommt keine Frage mehr und Active Sync funktioniert problemlos.


    Solange der Fragestelle nichts anderes sagt, gehen wir hier im Forum eigentlich immer von Microsoft-Standard Produkten aus.

    Also hauptsächlich geht es um IPhones die ActiveSync nutzen sollen. Wenn das da schonmal geht, da man die Zertifikatsmeldung ignorieren kann, ist das schonmal was :) . Haben momentan aber auch zum Teil Sony Ericsson Handys die ActiveSync unterstützen, muss ich dann wohl mal Testen ob das da auch klappt. Habe hier grad folgende Info gefunden:
    Exchange ActiveSync: Das selbstsignierte Zertifikat kann nicht zum Verschlüsseln der Kommunikation zwischen Microsoft Exchange ActiveSync-Geräten und dem Servercomputer mit Exchange verwendet werden. Es wird empfohlen, ein Zertifikat von einer Windows-PKI oder einem vertrauenswürdigen kommerziellen Drittanbieter für die Verwendung mit Exchange ActiveSync zu beziehen.


    Demnach sollte es mit einem Zertifikat der eigenen CA ja eigentlich klappen (http://technet.microsoft.com/de-de/library/bb851554.aspx).


    Falls ich ein öffentliches Zertifikat holen würde, müsste ich dabei irgendwas beachten? Gibt ja da verschiedene zu unterschiedlichen Preisen. Würde da ein billiges für ca. 15 € im Jahr reichen? Wie zum Beispiel hier https://www.godaddy.com/gdshop/ssl/ssl.asp das Standard SSL Zertifikat.

    • Offizieller Beitrag

    Wie gesagt: IPhone geht.


    Wie ich oben schon sagte: Selbstsigniert geht nicht, eigene PKI ja.


    Der Hinweis im Technet ist korrekt, es fehlt nur der Vermerk, dass man eventuell das eigene Stamm-CA als vertrauenswürdig importieren muss.


    Theoretisch reicht ein billiges Cert aus (verschlüssel tun ja alle, auch die abgelaufenen, nicht vertrauenswürdigen oder selbstsignierten).


    Allerdings brauchst Du entweder ein Cert mit mehreren Domänennamen (leider hast Du die Domain-Names oben rausgenommen), das kostest dann ein wenig mehr - knapp über 60 Euro / Jahr. Oder Du musst in der IIS-Config mit zwei IP-Adressen und zwei Certificaten (eines für intern, eines für extern) arbeiten.