Exchange 2010 SSL Zertifikat, Probleme mit CAcert

  • Für Outlook-Anywhere bzw. RPC über HHTP brauche ich ein SSL Zertifikat. Beim Exchange 2003 war das kein Problem, beim 2010er habe ich jedoch mehrere Probleme.


    Zu meinem Exchange: Der läuft auf einem Windows 2008er Server der gleichzeitig auch DC, und Webserver ist. Mein Mailserver ist von aussen über mail.firma.com erreichbar. Intern ist der FQDN des Servers srvmail.firma.com.
    Bis jetzt bin ich mit den kostenlosen Zertifikaten von CAcert (http://www.cacert.org) gut gefahren. Das Root Zertifikat ist auch auf allen Clients. Deswegen würde ich nur ungern ein Zertifikat woanders beziehen.


    Das habe ich bis jetzt probiert:


    * Bei Clientzugriff überall geprüft ob auch mail.firma.com als externe URL eingetragen ist (OWA, ECP, etcface-smile
    * In der EVC unter Serverkonfiguration - Exchange Zertifikate "Neues Zertifikat" ausgewählt und alles entsprechend ausgefüllt. Eine Anleitung dafür habe ich hier gefunden: 1
    * Bei CAcert habe ich dann das Zertifikat erstellt und mir dieses auf den Server geladen.
    * In der EVC bin ich dann bei Zertifikat auf "Anstehende Anforderung abschliessen" gegangen und habe das Zertifikat so installiert.



    Was mir jetzt als erstes auffällt ist, das vor dem Abschliessen das Zertifikat als "für die Verwendung von Exchange-Server gültig" gelistet wurde und nach dem Abschliessen als "für die Verwendung von Exchange-Server UNgültig". Es ist auch mit einem roten X markiert statt mit dem weißen Häkchen im blauen Kreis. Weshalb dieses?


    => Was habe ich falsch gemacht?


    Danke fürs Feedback bzw. jegliche Hilfe. Ich habe schon Stunden mit dem Sch.... ver....

  • Aber das ist ja mein Problem: Ich mache es genau so nach Anleitung und es funktioniert nicht. Ich habe es auch ausschliesslich über die Konsole und nicht über die MMC gemacht.


    Ich habe auch das Script von DigiCert https://www.digicert.com/easy-csr/exchange2010.htm verwendet. Auch kein Erfolg.


    Was mir jedoch aufgefallen ist: Ich gebe den CN an. Dieser ist "mail.firma.com" . Der FQDN lautet "server.firma.com" . Auch den Servernamen "server" wollte ich ins Zertifikat aufnehmen. Dieser wird von CaCert jedoch nicht zugelassen da ich nicht der Eigentümer der Domain "server" bin. Ist dies ein Problem?


    Ich bekomme auch beim Erstellen, Importieren, Aktivieren in der Shell keine Fehlermeldung. Dennoch der Fehler:


    Hat jemand dafür einen Rat?

  • Ich sehe hier 2 Möglichkeiten:


    Ein richtiges Zertifikat von einer CA der MS Windows / Exchange vertraut. (kostet ein paar EURO)


    Oder:


    Du installierst eine eigene CA in deinem Unternehmen (geht mit Windows 2003/2008) und erstellst dir dein eigenes Zertifikat mit allen Namen/Hostnames/FQDN usw.


    z.B.


    mail.deinefirma.com
    fqndn also z.b. exchange-server-01.deinefirma.local
    exchange-server-01
    autodiscover.deinefirma.com


    usw.


    Dann musst du nur dafür sorgen, dass deine Clients deiner Root CA (deinem DC) vertrauen. Dafür musst du lediglich die Root CA als vertrauenswürdige Zertifikat-Stelle auf deinen Clients integrieren.

    viele Grüsse


    StevensDE

    • Offizieller Beitrag

    @honkmann:


    Zitat

    Was mir jedoch aufgefallen ist: Ich gebe den CN an. Dieser ist "mail.firma.com" . Der FQDN lautet "server.firma.com" . Auch den Servernamen "server" wollte ich ins Zertifikat aufnehmen. Dieser wird von CaCert jedoch nicht zugelassen da ich nicht der Eigentümer der Domain "server" bin. Ist dies ein Problem?


    In der Tat. Du kannst nur "mail.firma.com" nehmen. Unter diesem Namen muß der Exchange auch aus dem Internet erreichbar sein (DNS). Wie der Exchange tatsächlich intern heißt, ist völlig nebensächlich.
    Also über Deinen DNS-Provider klären lassen, dass der Name auf die IP des Exchange zeigt.