Hallo,
Ich habe riesen Problem mit Zertifikaten, seit Wochen versuche ich einen Zertifikat zu erstellen was Vertrauenswürdig ist, damit ich Meine Geräte z.B Windows Phone per ActiveSync synchronisieren kann und Outlook von Extern anbinden kann.
Ich beschreibe jetzt Schritt für Schritt alles was ich gemacht habe, ist zwar lang aber guckt Euch bitte das an, vielleicht kann mir Jemand sagen was ich falsch mache, wo mein Fehler ist.
Ich weiss es echt nicht mehr.
Vielen Dank voraus.
Meine Konfiguration:
Server 1
Computername: server2008
Vollständiger Computername: server2008.ddpjp.local
Domäne: ddpjp.local
Betriebssystem: Windows Server 2008 Enterprise
Server 2
Computername: EXCHANGE
Vollständiger Computername: EXCHANGE.ddpjp.local
Domäne: ddpjp.local
Betriebssystem: Windows Server 2008 R2
Hier auch Exchange 2010 SP1 installiert.
Externe IP ist: 33.58.63.17 wird auch mit buero.ddpjp.de aufgelöst.
Wie erstelle ich Zertifikat:
1. Exchange-Verwaltungskonsole starten, auf Serverkonfiguration klicken, rechts wird zweitgeteilte Fenster angezeigt, oben steht mein Server „EXCHANGE“ und unten zwei selbstsignierte Zertifikate.
2. In oberen Fenster Rechtsklick auf EXCHANGE -> Neues Exchange-Zertifikat… Es wird ein Assistent gestartet.
3. Anzeigename für das Zertifikat eingeben: ich gebe buero.ddpjp.de ein und auf Weiter >
4. Platzhalterzertifikat aktivieren lasse ich nicht ausgewählt und Weiter >
5. Freigabe „Dieses Zertifikat für die Verbunddelegierung verwenden“ lasse ich auch nicht ausgewählt.
6. Clientzugriffsserver (Outlook Web App)
Outlook Web App ist im Intranet (angeklickt)
Der Domänenname, den Sie für den Zugriff auf Outlook Web App verwenden: exchange.ddpjp.de.local
Outlook Web App ist im Internet (angeklickt)
Der Domänenname, den Sie für den Zugriff auf Outlook Web App verwenden:
buero.ddpjp.de
7. Clientzugriffsserver (Exchange ActiveSync)
Exchange ActiveSync ist aktiviert (angeklickt)
Der Domänenname, den Sie für den Zugriff auf Exchange ActiveSync verwenden:
buero.ddpjp.de
8. Clienzugriffsserver (Webdienste, Outlook Anywhere und AutoErmittlung)
Exchange-Webdienste ist aktiviert (angeklickt)
Outlook Anywhere ist aktiviert (angeklickt)
Externer Hostname für die organisation (z.B. mail.contoso.com)
buero.ddpjp.de
Auto Ermittlung, verwendet im Internet (angeklickt)
Lange URL (angeklickt)
Auto Ermittlung für zu verwendete URL:
autodiscover.ddpjp.local
Alles andere Deaktiviert und auf Weiter >
9. buero.ddpjp.de Als allgemeinen Namen festgelegt und Weiter >
10. In Organisation uns Standort Daten eingegeben
Geben Sie den Namen der Anforderungdatei im nachfolgenden Textfeld an... usw. , auf Durchsuchen > auf dem Desktop eine ddpjp.req erstellt und Weiter >
11. Zertifikatkonfiguration wird dann angezeigt
12. Konfigurationszusammenfassung:
FriendlyName: buero.ddpjp.de
SubjectName: C=DE,S="nds",L="BZ",O="ddpjp",OU="IT",CN=buero.ddpjp.de
DomainName: exchange.ddpjp.local;buero.ddpjp.de;autodiscover.ddpjp.local
PrivateKeyExportable: True
KeySize: 2048
Datei schreiben
Binären Stream in die Datei 'C:\Users\Administrator.DDPJP\Desktop\ddpjp.req' schreiben.
Und Auf „Neu“
13. Fertigstellung:
Zusammenfassung: 2 Element(e). Erfolgreich: 2, Fehler: 0.
Verstrichene Zeit: 00:00:00
buero.ddpjp.de
Abgeschlossen
Ausführung eines Exchange-Verwaltungsshellbefehls abgeschlossen:
New-ExchangeCertificate -FriendlyName 'buero.ddpjp.de' -GenerateRequest -PrivateKeyExportable $true -KeySize '2048' -SubjectName 'C=DE,S="nds",L="BZ",O="ddpjp",OU="IT",CN=buero.ddpjp.de' -DomainName 'exchange.ddpjp.local','buero.ddpjp.de','autodiscover.ddpjp.local' -Server 'EXCHANGE'
Datei schreiben
Abgeschlossen
Ausführung eines Exchange-Verwaltungsshellbefehls abgeschlossen:
Binären Stream in die Datei 'C:\Users\Administrator.DDPJP\Desktop\ddpjp.req' schreiben.
Alle OK ohne Fehler. Und Fertigstellen>
14. Jetzt erscheint unter Serverkonfiguration noch ein Zertifikat buero,ddpjp.de und ist nicht selbstsigniert.
15. Internet Explorer gestartet und https://exchange/certsrv/ eingegeben, Laden dieser Website fortsetzen (nicht empfohlen). angeklickt. Und im Microsoft-Active Directory-Zertifikatdienste -- ddpjp-EXCHANGE-CA gelandet.
16. Ein Zertifikat anfordern angeklickt > erweiterte Zertifikatanforderung > Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein. >
Die auf dem Desktop gespeicherte Datei ddpjp.req geöffnet strg+A strg+C > im Internet Explorer im Feld Gespeicherte Anforderung: den Inhalt aus ddpjp.req eigefügt strg+V > Zertifikatvorlage: Webserver ausgewählt und „Einsenden“ geklickt > Warnmeldung Webzugriffsbestätigung
In Ihrem Auftrag wird von dieser Website versucht, einen digitalen Zertifikatvorgang auszuführen. https://exchange/certsrv/certfnsh.asp Sie sollten nur bekannte Websites dazu berechtigen, in Ihrem Auftrag digitale Zertifikatvorgänge auszuführen. Möchten Sie diesen Vorgang zulassen?
Mit ja bestätigt.
17. Zertifikat wurde erstellt > Auf Download des Zertifikats geklickt und certnew.cer auf dem Desktop gespeichert.
18. Weiter im Exchange-Verwaltungskonsole > Rechtsklick auf Zertifikat buero.ddpjp.de > Anstehende Anforderungen abschließen… > Durchsuchen > certnew.cer ausgewählt > und Auf Vollständig geklickt.
Zusammenfassung: 2 Element(e). Erfolgreich: 2, Fehler: 0.
Verstrichene Zeit: 00:00:01
Datei lesen
Abgeschlossen
Ausführung eines Exchange-Verwaltungsshellbefehls abgeschlossen:
Binären Stream aus der Datei 'C:\Users\Administrator.DDPJP\Desktop\certnew.cer' lesen.
Verstrichene Zeit: 00:00:00
certnew.cer
Abgeschlossen
Ausführung eines Exchange-Verwaltungsshellbefehls abgeschlossen:
Import-ExchangeCertificate -Server 'EXCHANGE' -FileData '<Binärdaten>'
Verstrichene Zeit: 00:00:01
Alles grün alles ohne Fehler > „Fertig Stellen“
19. Rechtsklich auf Zertifikat buero.ddpjp.de „dem Zertifikat Dienste zuordnen…“ Server EXCHANGE augewählt und Weiter > Internetinformationsdienste angeklickt und weiter > zuweisen
Zusammenfassung: 1 Element(e). Erfolgreich: 1, Fehler: 0.
Verstrichene Zeit: 00:00:00
EXCHANGE
Abgeschlossen
Ausführung eines Exchange-Verwaltungsshellbefehls abgeschlossen:
Enable-ExchangeCertificate -Server 'EXCHANGE' -Services 'IIS' -Thumbprint '8BE9822DCD58787454AFFFB5FE3360C4238AD224'
Wieder alle OK ohne Fehler
20. So nun starte ich wieder Internetexplorer und gehe in https://exchange/certsrv jetzt musste eigentlich kein Zertifikatfehler mehr kommen, kommt aber. Vielleicht verwendet er immer noch altes Zertifikat. Auf Laden dieser Website fortsetzen (nicht empfohlen). Geklickt > Oben auf Symbol Zertifikatfehler geklickt > Zertifikate anzeigen > Zertifikat Installieren > Weiter > Alle Zertifikate in folgenden Speicher speichern > Durchsuchen > Vertrauenswürdige Stammzertifizierungsstell ausgewählt und OK > Weiter > Fertigstellen
---------------------------
Sicherheitswarnung
Sie sind im Begriff, ein Zertifikat von einer Zertifizierungsstelle zu installieren, die sich wie folgt darstellt: buero.ddpjp.de Es wird nicht bestätigt, dass das Zertifikat wirklich von "buero.ddpjp.de" stammt. Wenden Sie sich an "buero.ddpjp.de", um die Herkunft zu bestätigen. Die folgende Zahl hilft Ihnen bei diesem Prozess weiter: Fingerabdruck (sha1): 8BE9822D CD587874 54AFFFB5 FE3360C4 238AD224 Warnung: Wenn Sie dieses Stammzertifikat installieren, wird automatisch allen Zertifikaten vertraut, die von dieser Zertifizierungsstelle ausgestellt werden. Die Installation mit einem unbestätigten Fingerabdruck stellt ein Sicherheitsrisiko dar. Falls Sie auf "Ja" klicken, nehmen Sie dieses Risiko in Kauf. Möchten Sie dieses Zertifikat installieren? ---------------------------
Ja Nein
---------------------------
Mit Ja bestätigt > der Importvorgang war erfolgreich > OK
Wo habe ich den jetzt einen Fehler gemacht?
Zertifikat Fehler kommt immer noch, ich kann keine Geräte per ActiveSync synchronisieren ich kann Outlook nicht von extern anbinden, alles wegen Zertifikatfehler.
https://www.testexchangeconnectivity.com/ spuckt das hier raus wenn ich z.B. Verbindungstests für Microsoft Exchange ActiveSync teste:
Exchange ActiveSync wird von ExRCA getestet.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Es wird versucht, den Hostnamen buero.ddpjp.de im DNS aufzulösen.
Der Hostname wurde erfolgreich aufgelöst.
Weitere Details
Zurückgegebene IP-Adressen: 33.58.63.17
Es wird getestet, ob TCP-Port 443 auf Host buero.ddpjp.de überwacht wird/geöffnet ist.
Der Port wurde erfolgreich geöffnet.
Die Gültigkeit des SSL-Zertifikats wird überprüft.
Fehler bei mindestens einem Zertifikatüberprüfungstest für das SSL-Zertifikat.
Testschritte
Der Zertifikatsname wird überprüft.
Zertifikatsnamen erfolgreich überprüft.
Weitere Details
Der Hostname buero.ddpjp.de wurde im allgemeinen Antragstellernamen des Zertifikats gefunden.
Die Zertifikatvertrauensstellung für Windows Mobile-Geräte wird überprüft.
Fehler bei der Überprüfung der Vertrauenswürdigkeit des Zertifikats.
Weitere Details
Zertifikatskette konnte nicht erstellt werden. Möglicherweise fehlen erforderliche Zwischenzertifikate. Weitere Einzelheiten finden Sie im Microsoft Knowledge Base-Artikell KB 927465.
