Zertifikate in Exchange 2010

  • Hi,


    ich migriere gerade einen Exchange 2007 (SBS) zu einem Exchange 2010.


    Als ich ein Postfach auf den neuen Exchange verschoben habe und das Postfach mit Outlook öffnete, bekam ich eine Zertifikatswarnung (Exchange2010.Domain.Local, Zeritifkat nich vertrauenswürdig).
    Ich habe dann das vertrauenswürdige Zertifikat vom Exchange 2007 exportiert und auf dem neuen Server importiert.


    Nun bekomme ich in Outlook die Meldung, dass der angeforderte Server nicht zu dem Zertifikat passt, was ja auch stimmt, weil Outlook will auf Exchange2010.Domain.Local zugreifen, das Zertifikat ist für remote.firma.tld. OWA von außen geht, hier passt das Zeritifikat.


    Weise ich per EMC dem selbst ausgestellten Zertifikat nun wieder den IIS-Dienst zu, bekomme ich in Outlook wieder die Meldung, dass der angeforderte Server (diesmal remote.firma.tld) nicht zum ausgestellten Zertifikat passt (Exchange2010.Domain.Local). Jetzt bin ich verwirrt. Outlook will auf die lokale wie auf die externe Adresse zugreifen, ich habe dafür aber nur ein Zertifikat?


    Ich hoffe das Problem ist so wie ich es geschildert habe nachvollziehbar. :)


    LG

    • Official Post

    Hallo,


    Quote


    EDV schrieb:
    ich migriere gerade einen Exchange 2007 (SBS) zu einem Exchange 2010.


    OK. Mit dem Assistenten gemacht?

    Quote


    Als ich ein Postfach auf den neuen Exchange verschoben habe und das Postfach mit Outlook öffnete, bekam ich eine Zertifikatswarnung (Exchange2010.Domain.Local, Zeritifkat nich vertrauenswürdig).


    Das ist erst einmal normal.

    Quote


    Ich habe dann das vertrauenswürdige Zertifikat vom Exchange 2007 exportiert und auf dem neuen Server importiert.


    Woher kommst das Cert?
    Von extern ausgestellt?

    Quote


    Nun bekomme ich in Outlook die Meldung, dass der angeforderte Server nicht zu dem Zertifikat passt, was ja auch stimmt, weil Outlook will auf Exchange2010.Domain.Local zugreifen, das Zertifikat ist für remote.firma.tld. OWA von außen geht, hier passt das Zeritifikat.


    Das dürfte ein SAN Cert sein - was stehen denn noch für URL drin?

    Quote


    Weise ich per EMC dem selbst ausgestellten Zertifikat nun wieder den IIS-Dienst zu, bekomme ich in Outlook wieder die Meldung, dass der angeforderte Server (diesmal remote.firma.tld) nicht zum ausgestellten Zertifikat passt (Exchange2010.Domain.Local). Jetzt bin ich verwirrt. Outlook will auf die lokale wie auf die externe Adresse zugreifen, ich habe dafür aber nur ein Zertifikat?


    Ich hoffe das Problem ist so wie ich es geschildert habe nachvollziehbar. :)


    LG


    Ja.
    ;)

  • Hi Norbert,


    Migration habe ich ohne Assistenten gemacht, ist eine Migration von SBS auf Windows Standard.


    Das Zertifikat vom alten Server ist ein extern erstelltes (Thawte).


    Ein SAN Zertifikat habe ich nicht. Das eine ist ein vertrauenswürdiges Zertifikat für die externe Adresse, das andere ein selbstsigniertes Zertifikat für die lokale Adresse.


    Auf den SBS2011s die ich installiert habe komme ich auch ohne SAN Zertifikat aus. Demnach muss es wohl doch eine Sache der Konfiguration sein?

  • Hi,


    ich bekomme allerdings keine Autodiscover-Meldung. Die autodiscover.firma.tld leite ich auf 127.0.0.1 um.


    Meine Zertifikatsmeldung kommt beim Zugriff auf Exchange2010.Domain.Local, also dem internen Namen.

  • Ich habe zwischenzeitlich die Zertifikate und Einstellungen im IIS mit denen eines SBS2011 verglichen und konnte keine Unterschiede feststellen.


    Der Exchange hat ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle für den externen Hostname. Bei jedem Start von Outlook poppt aber der Sicherheitshinweis für den lokalen Hostname auf, da das Zertifikat nicht mit dem Hostname übereinstimmt (was richtig ist, er zeigt mir da das externe Zertifikat an).


    Ich habe testweise auch mal die verschlüsselte Verbindung von Outlook zum Exchange deaktiviert. Hat nichts gebracht.

  • Quote


    EDV schrieb:
    Ich habe testweise auch mal die verschlüsselte Verbindung von Outlook zum Exchange deaktiviert. Hat nichts gebracht.


    Das bringt nichts - wie gemerkt. Du muss wenn schon SSLoffloading umkonfigurieren.


    Sofern die Externe SSL Anfrage direkt zum Exchange Server weitergeleitet wird, dann muss der Interne Hostname im Zertifikat vorhanden sein da der Dieser SSLoffloading macht.

    Gruß Tayfun
    Microsoft Master
    Consultant & Trainer

  • Hi,


    gestern habe ich mir gedacht, dass vielleicht einfach der lokale Hostname als Autodiscover-Adresse angegeben wurde und... ja das war so. :)


    Ich habe also einfach entsprechend Autodiscover umkonfiguriert, jetzt gehts.


    Grüße