OWA / Outlook Anywhere / Zertifikat

  • Hallöchen,


    ich bin gerade dabei einen Exchange 2010 Server einzurichten und stecke nun an einem Punkt fest, wo ich leider nicht weiter weiß.


    Erstmal was zur Konfiguration:


    Der Server, auf dem der Exchange-Server läuft ist auch zeitgleich der Domänen-Controller.


    Die Domäne lautet "domain.de"
    Exchange wurde als "mail.domain.de" installiert.


    Das Hauptproblem besteht nun beim import des (richtigen) Zertifikats.


    Ich habe mir bei startssl.com ein Zertifikat besorgt, dass die domain "mail.domain.de" zertifiziert. Dieses Zertifikat habe ich "komplett" über das Portal von startssl.com erstellt.


    Leider scheiterte der Import in Exchange/IIS. Nach ein wenig recherche, fand ich herraus, dass ich zuerst im IIS einen "Zertifikat-request" erstellen solle.


    Also habe ich "das" getan und bin wieder mit den entsprechend generierten Daten zu start-ssl.com gehuscht.


    Dort konnte ich den Vorgang auch erfolgreich abschliessen, allerdings die "sub-domain" "mail" NICHT mehr verwenden, da dafür bereits ein Zertifikat existiert.


    Nun habe ich einfach die subdomain "www" verwendet. Das Zertifikat ließ sich daraufhin importieren und der IIS6 (bzw die Ausgelieferten webseiten) werden nun auch als zertifiziert angezeigt (Inklusive OWA)


    Soweit so gut.


    Der Exchange Server zeigt dieses Zertifikat nun "ebenfalls" an, also habe ich ihm noch die Dienste SMTP/POP/usw zugewiesen.


    Allerdings - wenn ich versuche mich mit Outlook zu verbinden - bekomme ich die Meldung, dass das gelieferte Zertifikat nicht auf den Hostname "mail.domain.de" passt.


    So, nun sehe ich quasi "2 Möglichkeiten":


    1.) "Irgendwie" das erstellte mail.domain.de Zertifikat zusätzlich importieren und dieses für Outlook Anywhere verwenden


    2.) Den Exchange von "mail" auf eine andere subdomain umstellen (Hier bin ich mir nicht sicher, ob und wo das geht)


    zu 1.) Das Zertifikat wird in der MMC zwar angezeigt, aber es "fehlt" dieser kleine goldene Schlüssel, und im IIS/Exchange steht es auch NICHT zur Auswahl.


    Ja, bin über jede Hilfe dankbar,


    dognose

  • So "offensichtlich" hat es geklappt, indem ich die externe-Domain vom ActiveSync geändert habe ("mail" entfernt)


    Nun meckert Outlook nicht mehr über das Zertifikat - funktionieren tuts trotzdem noch nicht. (RPC_S_SERVER_UNAVAILABLE-Fehler (0x6ba))


    Gut, ich "buddel" mal weiter, und melde mich ggf :)

  • Sooo,


    so langsam lichtet sich der Zertifikat-Jungel etwas.


    OWA und Outlook verrichten nun vollkommen korrekt ihre Arbeit.


    Allerdings mag mein Windows Phone noch nicht:


    Mein Zertifikat ist von einer Zwischenzertifizierungsstelle ausgestellt.


    Der exchange-Connectivity-Test spuckt mir für "Mobile Endgeräte" aus, dass ich die Zwischenzertifikate "mitliefern" sollte. Also habe ich mir das Zertifikat der "Zwischenstelle" und das "Root-Zertifikat" besorgt umd gemäß dieser Anleitung hier installiert.


    http://support.microsoft.com/kb/927465


    Im Anschluss habe ich den Server neugestartet.


    Leider noch keine Änderung bezüglich des Connectivity Tests:


    Zitat


    Die Zertifikatvertrauensstellung für Windows Mobile-Geräte wird überprüft.
    Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats.
    Das Ende der Zertifikatskette war kein vertrauenswürdiger Stamm. Stamm = CN=StartCom Certification Authority, OU=Secure Digital Certificate Signing, O=StartCom Ltd., C=IL


    Muss ich die "Importieren" Zertifikate noch im IIS/Exchange hinterlegen?


    grüße,
    dognose

  • Das CA sollte auf dem System was SSLOffloading macht hinterlegt sein.

    Gruß Tayfun
    Microsoft Master
    Consultant & Trainer

  • Hi,


    hmm, SSLOffloading (wenn ich den begriff richtig deute) macht bei mir der "selbe" Server, da ich (privat) für alles zusammen nur einen Server nutze.


    Und dort habe ich wie oben erwähnt die entsprechenden Zertifikate an folgenden Stellen hinzugefügt:


    Konsolenstamm\Lokaler Computer\Zwischenzertifizierungsstellen
    Konsolenstamm\Lokaler Computer\Drittanbieter-Stammzertifikate


    Konsolenstamm\Aktueller Benutzer\Zwischenzertifizierungsstellen
    Konsolenstamm\Aktueller Benutzer\Drittanbieter-Stammzertifikate


    Für mich "ansich" würde es logisch erscheinen, wenn die Zertifiate in "KonsolenStamm\Dienstkonto" hinterlegt wären...´


    Aber die MS-FAQ zu "diesem" Problem, die besagten Orte vorgab, hab ich auch diese Verwendet...