Zertifikatsfehler bei Outlook Anywhere test

1. offizieller Beitrag

    Hallo zusammen,
    ich wollte heute mal outlook Anywhere testen.
    habe dazu outlook anywhere eingerichtet wie unter:
    http://www.frankysweb.de/?p=116


    beschrieben. dann habe ich mal einen account bei
    https://www.testexchangeconnectivity.com
    angegeben und erhalte folgenden fehler:


    Testing the SSL certificate to make sure it's valid.
    The SSL certificate failed one or more certificate validation checks.
    Certificate trust is being validated.
    Certificate trust validation failed.
    ExRCA is attempting to build certificate chains for certificate CN=remote.mydomain.de.
    A certificate chain couldn't be constructed for the certificate.
    The certificate chain couldn't be built. You may be missing required intermediate certificates.


    ich komme mit dem hinweis leider nicht weiter. was wird da genau benötigt und wie bekomme ich das?


    danke für eure hilfe


    vg
    emmi

    ich vermute sehr stark nein. habe zumindest bewußt keines installiert.
    wo bekomme ich ein solches her. auf was muss ich da achten?

    habe noch folgenden beitrag gefunden:


    Brotschaden -> RE: Outlook can't connect to Exchange account over the internet (Outlook Anywhere is already enabled) (2.Jun.2010 8:18:21 AM)


    I was able to solve it. -First off: exRCA doesn't work if you don't have a third party cert. So if you don't have a third party SSL cert you will have pretty much no use for the Outlook Anywhere test and it will confuse you. It works with a personal CA.


    http://forums.msexchange.org/m_1800532777/printable.htm



    was ist hier mit einem "personal CA" gemeint?

    • Offizieller Beitrag

    Moin,


    das Thema Zertifikate ist zu komplex, um es in einem Forum zu behandeln. Zu viel Dinge musst Du verstehen und diverse Informationen über Deine Infrastruktur sind notwendig.


    Du solltest Dir eine fachkundige Hilfe ins Haus holen, die die das aufbereitet und in Ruhe erklärt.

    Hallo Robert,
    danke für den Hinweis. dann werde ich mich mal auf die Suche nach einem Experten machen :)


    schönen Tag noch und danke für die Hilfe


    vg
    emmi

    Kurze Überischt


    zuerst ist es wichtig ob wir über private (als selbst erstellte Zertifikate) oder öffentliche (also gekaufte Zertifikate reden)


    In deinem Fall sieht es nach (wenn überhaupt) privaten Zertifikaten aus. Wahrscheinlicher wurde das Zertifikat überhaupt nicht geändert und somit ist noch das von Exchange selbst erstelle Zertifikat vorhanden.


    Um ein selbst erstelltes Zertifikat zu nutzen sind folgende Schritte notwendig (ohne zu tief ins Detail zugehen)


    1) im AD eine CA erstellen (am besten sogar AD integriert da hier die Erstellung von Userzertifikaten ermöglicht wird)
    2) Anpassungen an der CA mind. CRL und CDP Punkte sowie Lebensdauer der Zertifkate
    3) aktivieren von SAN Zertifikaten.
    certutil -setreq policy\SubjectAltName enabled
    certutil -setreq policy\SubjectAltName2 enabled
    4) Verteilen des Root Zertifikates auf die Clients (wenn AD integriert wird das automatisch erfolgen)
    5) erstellen eines Requests auf dem Exchange Server
    new-exchangeCertificate -GenerateRequest -Keysize 2048 -SubjectName "c=DE, s=Stadt, OU=IT, cn=mail.Kunde.de" -DomainName autodiscover.kunde.de interner.name.de weitere.namen.de -PrivateKeyExportable $True
    6) einreichen des requestes auf der CA und austellen des Zertifikates
    7) importieren des Zertifiaktes
    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\_Install\Exchange\certnew.cer -Encoding byte -ReadCount 0))
    8) zuweisen von Diensten zum Zertifikat


    Das ist selbstverständlich nur eine ganz grobe übersicht über die einzelnen Schritte.


    selbst wenn du alles richtig machst wird testexchangeconnectivity meckern da es das root Zertifikat nicht kennt. Aber Outlook müsste sich verbinden.
    Ich habe es mehrfach so installiert und es funktioniert.


    Gruß


    Andreas Bindrim