Zertifikatsfehler mit selbsterstelltem Zertifikat beheben

1. offizieller Beitrag

    Hallo zusammen,


    nach unzähligen Stunden der Google/Foren-Recherche versuche ich mein Glück einmal mit der Erföffnung eines neuen Threads.


    Ich bin ziemlich verzweifelt folgendes zu erreichen:
    Es soll eine self-signed Zertifikat erstellt werden das für alle möglichen INTERNEN Dinge fehlerfrei benutzt wird (Autodiscover und auch das OAB herunterladen (klappt aktuell nicht))
    Weiterhin soll ein kostenloses Serverzertifikat von StartSSL.org für OWA von EXTERN und OutlookAnywhere verwendet werden.


    Es handelt sich um einen SBS 2008 (mit Exchange 2007).


    Kennt Ihr dazu eventuell ein HowTo oder könnt mich direkt unterstützen?


    Bin um jede Hilfe sehr dankbar!


    Gruß,
    Jens

    • Offizieller Beitrag

    Moin,


    ganz ehrlich: Es ist möglich, aber sehr aufwendig. Du musst eine zweite IIS-Seite anlegen, Exchange teilweise verbiegen, etc.


    Noch dazu benutzt Du einen SBS, der einige Dinge erschwert, bzw. anders macht.


    Ich würde an Deiner Stelle den Anfang mit einem Zertifikat von startssl machen, und dann intern den DNS so wie hier beschrieben, konfigurieren: http://www.server-talk.eu/2008…-single-name-certificate/

    Hallo Robert,


    vielen Dank für die schnelle Antwort.
    Also, wenn das aufwändig ist, dann machen ich das so nicht ;)
    Ich möchte es schon gerne einfach halten.


    Ich will einfach, dass ich den vollen funktionsumfang nutzen kann und wenn ich dafür ein selbst erstelltes Zertifikat für OWA nehmen müsste, dann sei das in diesem Fall auch einmal ok.


    Zu dem Artikel:
    So 100%ig konnte ich ihn nicht auf meinen Fall anwenden. verstehe ich das richtig, dass ich mit "New-ExchangeCertificate -GenerateRequest..." erst einmal ein Certificate Request erstellen und diesen dann bei StartSSL einreichen muss? Wenn ja, macht das nichts, dass ich bei dem kostenlosen Zertifikat nicht mehrere Domains angeben kann?
    Auf welche Domain sollte ich das Zertifikat dann ausstellen lassen?


    AD-Domäne: firma1.local
    E-Mail-Domain: firma2.de
    OWA-Domain: webaccess.firma2.de


    Dann müsste ich von StartSSL ein Zertifikat erhalten welches ich per "Import-ExchangeCertificate..." importiere, richtig? Für welche Services muss es dann aktiviert werden?


    So, aber hätte ich dann nicht immer noch das Problem mit dem Autodiscover im Outlook, da Outlook immer auf die Domain "sites" (kommt das vom SBS?) zugreifen will?


    Den DNS-Eintrag habe ich bereits, wie im Artikel, beschrieben erstellt.



    Vielen Dank vorab und Gruß,


    Jens

    • Offizieller Beitrag
    Zitat


    vielen Dank für die schnelle Antwort.
    Also, wenn das aufwändig ist, dann machen ich das so nicht ;)
    Ich möchte es schon gerne einfach halten.


    Das ist ja auch die Philosophie des SBS.


    Zitat


    Ich will einfach, dass ich den vollen funktionsumfang nutzen kann und wenn ich dafür ein selbst erstelltes Zertifikat für OWA nehmen müsste, dann sei das in diesem Fall auch einmal ok.


    Sie funktionieren ja problemlos, geben nur eine Warnung beim Client. Innerhalb kannst Du das problemlos lösen, in dem Du das Cert der PKI per Gruppenrichtlinie verteilst (wenn die Clients es nicht sowieso akzeptieren, dank AD).


    Nur von extern (ganz fremden) gibt es Fehler. Aber auch hier: Wenn die Zahl überschaubar ist, kann man das PKI-Cert verteilen - das geht per simplem Download mit drei Klicks.


    Zitat


    Zu dem Artikel:
    So 100%ig konnte ich ihn nicht auf meinen Fall anwenden. verstehe ich das richtig, dass ich mit "New-ExchangeCertificate -GenerateRequest..." erst einmal ein Certificate Request erstellen und diesen dann bei StartSSL einreichen muss?


    Ja, das musst Du aber immer machen, egal wo Du das Cert danach einreichst.


    Zitat


    Wenn ja, macht das nichts, dass ich bei dem kostenlosen Zertifikat nicht mehrere Domains angeben kann?


    Das wird vermutlich nicht funktionieren. Da mehrere Domains "mehr wert" sind, wird das dann Geld kosten. Ich habe es aber noch nicht ausprobiert.


    Zitat


    Auf welche Domain sollte ich das Zertifikat dann ausstellen lassen?


    AD-Domäne: firma1.local
    E-Mail-Domain: firma2.de
    OWA-Domain: webaccess.firma2.de


    Die E-Mail-Domäne wäre nur wichtig, wenn man am Ende auch TLS für SMTP machen will.


    Es sollte sein:
    - die interne Adresse mit und ohne "autodiscover.*"
    - die externe Adresse mit und ohne "autodiscover.*"


    Schau mal hier: http://tinyurl.com/288ksnd


    Ist zwar 2010 (so einen Assistenten kennt 2007 noch nicht) und es sind ein paar Domänen mehr, aber das sollten die Namen sein, die ins Cert müssen.


    Zitat


    Dann müsste ich von StartSSL ein Zertifikat erhalten welches ich per "Import-ExchangeCertificate..." importiere, richtig? Für welche Services muss es dann aktiviert werden?


    Du willst Doch OWA machen, also "IIS".


    Zitat


    So, aber hätte ich dann nicht immer noch das Problem mit dem Autodiscover im Outlook, da Outlook immer auf die Domain "sites" (kommt das vom SBS?) zugreifen will?


    Ich weiß zwar nicht, ob Autodiscover beim SBS anders geht, aber normalerweise kannst Du die Autodiscover URL frei konfigurieren (geht aber nur über die Shell - set-clientaccessserver).