Zertifikat-req erstellt, und weiter? (Exchange remote und autodiscover Problem)

1. offizieller Beitrag

    Hallo.. mal wieder,


    ich verzweifel hier noch bis zum Umfallen...


    Nun, nach der Misere mit dem remote.* und autodiscover.* was ja nun häufiger auftaucht wollte ich nach dieser Anleitung ein cert erstellen:


    http://www.msxfaq.de/howto/e2k7ssl.htm


    Also alles schön reinkopiert, natürlich die Domain etc geändert, *.req erstellt... okay.


    Und weiter?


    Wenn ich nun versuche diese req einzureichen kommt der Fehler: "Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsatt
    ribut "CertificateTemplate"."


    Da mir das Thema mit den Zertifikaten gänzlich neu ist und ich nun wie ein Äffchen vor dem Fahrrad stehe und nicht weiß was ich machen soll, hoffe ich auf eure Hilfe.
    Wahrscheinlich bin ich zu l.. dazu. Dann tut's mir leid.
    Aber vielleicht hilft eine Step-for-Step Anleitung auch noch anderen weiter.


    Würde mich freuen,


    vielen Dank,


    Daenni

    So meine Lieben Mitleidenden, die ich seit Wochen mit diesem Problem nerve... ich bin bemüht auch anderen zu helfen und werde evtl auch ein kleines HowTo schreiben so dass man sich nicht jede Info erst suchen muss.. aber dazu später.


    Wie schon erwähnt gab es mehr als ein Problem hier:


    IIS -> OWA funktionierte nicht.
    Outlook: autodiscover und remote funktionierte nicht.
    Internet-Assi-tent funktionierte nicht mehr


    Und nun bin ich an einem Punkt an dem es wieder, so hoffe ich, bergauf geht und ich nur nochmal etwas Unterstützung benötige.


    Also ich habe nun über die Zertifizierungsstelle ein eigenes Zertifikat erstellt (besser als nichts)
    Darin enthalten ist allerdings NUR remote.domain.local.


    Immerhin: wenn man nun Outlook startet erscheint nur noch einmal die Meldung "autodiscover.domain.local" passt nicht zum Namen etc... .


    Ich denke dass man diese "mehrfachen Domains" nicht über die Zertifizierungsstellen-GUI erstellen kann?!


    Also ein Schritt weiter, bei dem ich nun hänge:


    Wie im oberen Link angedeutet wird ein Zertifikat benötigt dass mehrere Namen enthält.
    Somit remote.domain.local und autodiscover.domain.local.


    Bin ich dann hiermit richtig?




    New-ExchangeCertificate `
    -SubjectName "c=DE, o=Firma, cn=srv01.domain.local" `
    -IncludeAcceptedDomains `
    -IncludeAutoDiscover `
    -privatekeyexportable $true `
    -domainName srv01, srv01.domain.local, remote.domain.local, autodiscover.domain.local `
    -Services "SMTP, IMAP, POP, UM, IIS"


    Oder was muss ich hier machen?
    Des weiteren steht dort:
    "Warnung
    Wenn man die obigen Beispiele nutzt, dann werden zwar die Domains addiert, aber nicht der Servername. Ein Zertifikat mit den Namen des Servers braucht Exchange 2007 aber für die Verbindung per SMTP. Sie sollten also immer noch den Namen des Servers (FQDN und WINS) addieren"


    Okay.. aber der FQDN steht ja nun schon drin, oder nicht?


    Über kurze Hilfe wird gebeten.


    Vielen Dank,


    Daenni

    • Offizieller Beitrag

    Moin,


    Zitat


    Also ich habe nun über die Zertifizierungsstelle ein eigenes Zertifikat erstellt (besser als nichts)
    Darin enthalten ist allerdings NUR remote.domain.local.


    Immerhin: wenn man nun Outlook startet erscheint nur noch einmal die Meldung "autodiscover.domain.local" passt nicht zum Namen etc... .


    Ich denke dass man diese "mehrfachen Domains" nicht über die Zertifizierungsstellen-GUI erstellen kann?!


    Doch, und zwar nur. Du musst nur den CR via EMS erstellen. Der CR muss in der Windows-PKI über die Webseite eingereicht werden, Einreichen über MMC geht nicht.


    Zitat


    Wie im oberen Link angedeutet wird ein Zertifikat benötigt dass mehrere Namen enthält.
    Somit remote.domain.local und autodiscover.domain.local.


    Bin ich dann hiermit richtig?


    Ja.



    Damit ist gemein, dass Du *entweder* -IncludeAcceptedDomains + IncludeAutoDiscover nimmst, *oder* -domainName.


    Prinzipiell sieht Dein -domainName gut aus.


    Services wird eigentlich erst bei "enabled-ExchangeCertificate" angegeben.

    Nun, vielleicht verstehe ich es einfach auch nicht weil ich die Hintergründe nicht kenne...


    Gut, ich hoffe nun einfach mal das der erste Step (remote.domain.local) richtig war.


    Der Zweite wäre ja nun der oben beschriebene.
    Habe dies nun so eingetippt, nun erscheint die Meldung, dass bereits ein Standard SMTP Zertifikat existiert und es überschrieben werden soll...
    Soll ich?
    Ich habe einfach ein wenig bammel dass hinterher weder OWA noch Outlook funktioniert gescheige denn emails nicht mehr raus gehen ;)


    Grüße,
    Daenni

    Okay.. schöne sch... das ist sowas wo ich verzweifel :-/


    "Zertifikate für Dummies" benötige ich.


    Und ICH.. habe das natürlich so abgeschickt und schon brav überschrieben, der anschließende email Test funktionierte sogar.


    Schön.. also mal gucken wo jetzt die Fehler auftauchen, verdammt.


    IIS habe ich nun hinterher geschmissen... danke... :(

    So, heute früh also das ernüchternde Erwachen.
    Es hat nichts genutzt.


    Entweder ich habe was vergessen oder was weiß ich...


    Vielleicht hat ja jemand die Zeit/Lust mir mal genau zu tippen, was ich in die Exchange Shell eintippen muss damit es klappt.


    Gerne erstelle ich auch noch zwei weitere Zertifikate, macht den Braten nun auch nicht fetter...


    Würde mich freuen und bedanke mich,


    (völlig verzweifelt) Daenni

    Ach Robert... wenn ich nicht wüsste dass Du recht hast... ;)


    Also anbei mal ein paar Infos:


    Hintergrund:


    Die interne Domäne heißt: heinrichs.local
    Die externe Domäne heißt: heinrichs24.de


    Der Assistent hat damals ein Zertifikat auf heinrichs24.de ausgestellt.
    Somit hat Outlook immer versucht auf
    autodiscover.heinrichs24.de und remote.heinrichs24.de zuzugreifen, was natürlich nicht geht, da die Subdomains nicht existieren.


    Nun habe ich gedacht, dass ich alle rausgeschmissen hätte die mit heinrichs24.de etwas zu tun haben.


    Darauf hin habe ich gestern ein neues Zertifikat erstellt (siehe ein paar Posts vorher).


    Das jetzige Problem, siehe Screenshot.
    Im Sicherheitshinweis erscheint die richtige Domäne (autodiscover.heinrichs.local).
    In den Details allerdings remote.heinrichs.local.


    Zudem habe ich diesen Verbindungstest gemacht:


    Hier steht noch autodiscover.heinrichs24.de drin, was da nicht reingehört.


    Was ich gerade unternommen habe:


    Ich habe das Zertifikat anhand des Thumbprints identifiziert und mit "remove-exchangecertificate -thumbprint "1234567890.." entfernt.


    Die Meldung, wenn man Outlook startet, kommt immer noch.




    Jetzt meine Fragen:
    - Muss man den Server oder den Client neu starten bis diese checken, dass das Zertifikat nicht mehr existiert?
    - Wo und wie bekomme ich diese falsche Domäne "heinrichs24" raus?
    Ich hoffe es waren ein paar mehr Infos die helfen.


    Ich bin echt feddich wegen dieses Problems und weiß manchmal selber nicht mehr was ich tue... :-/


    Vielen Dank,


    Daenni

    Moin zusammen,


    so, nach einiger Bastelarbeit fällt folgendes auf:


    Outlook zieht sich immernoch irgendwo her autodiscover.domain24.de, warum auch immer.
    Kann es daran liegen dass die eMail Domain halt @domain24.de lautet?
    Setze ich einen SRV Eintrag auf domain24.de -> Server, dann kommt keine Meldung mehr, aber dann kann man auch die Hompega http://www.domain24.de nicht mehr erreichen :evil:


    Kann ich nicht folgendes machen?


    New-ExchangeCertificate `
    -SubjectName "c=DE, o=Firma, cn=srv01.domain.local" `
    -privatekeyexportable $true `
    -domainName srv01, srv01.domain.local, remote.domain.local, autodiscover.domain.local, autodiscover.domain24.de `


    Und hinterher dann:
    enable-exchangecertificate -thumbnail 1234567890 -services "IIS"


    Geht's so?