Permalink

2

HowTo: Eigene Zertifikate für Exchange 2007

Um Exchange richtig und Sicher zu betreiben benötigt man mit dem Exchange 2007 einen neuen Zertifikats-Typ mit mehreren Servernamen im Zertifikat. Es reicht nicht mehr nur noch ein Zertifikat für owa.firma.ch zu registrieren, damit man mit SSL auf das OWA zugreifen kann. Importiert man dieses so, kommt spätestens beim öffnen des Outlook 2007 eine Fehlermeldung, dass der Name auf dem Zertifikat nicht mit dem Namen des Servers übereinstimmt. Daher müssen im Zertifikat mehrere Namen hinterlegt werden können. Dies geht mit sogenannten x509 oder TLS Zertifikaten.

howto_eigene_zertifikate_fuer_exchange_2007

2 Kommentare

  1. Hallo, deine Anleitung ist ja super. Aber auch danach ist das Problem mit der Zertifikatskette nicht behoben. Wenn man dann über die http://www.testexchangeconectivity.com Seite Outlook Autodiscover testet und Trust SSL nicht anklickt kommt trozdem eine Meldung dass die zertifikatskette nicht aufgebaut werden kann, warum auch immer. An dem Problem bastel ich nämlich schon seid Monaten. Aber wenn du dazu eine Lösung hast, wärs super.

    Grüsse Andreas

  2. Hallo Andreas

    Hast du eine eigene Zertifizierungsstelle eingerichtet? Wenn ja:
    Die Zertifikatskette kann von http://www.testexchangeconnectivity.com nicht zurück verfolgt werden, da diese Seite die Stammzertifizierungsstelle in Deiner Firma nicht kennt und somit auch nicht authorisieren kann.
    Dafür müsstest du Deine Stammzertifizierungsstelle „public“ machen und zertifizieren lassen.
    Um mit Outlook oder mit WinMob Geräten mit SSL von extern verbinden zu können, musst du das Zertifikat der Stammzertifizierungsstelle auf den Geräten installieren. (iPhone und Android sind da nicht so heikel)

    Wenn nein:
    Die andere Variante ist, du erstellst ein Zertifikat von einem Trusted Provider wenn dann immer noch die Zertifikatsketten Fehlermeldung kommt, musst du die Stammzertifizierungsstellen Zertifikate auf deinem Exchange installieren. Dies ist z.B. bei Entrust der Fall. Da müsstest du aber bei der Zertifikatsbestellung eine Anleitung erhalten haben inkl. den zu installierenden Zertifikate.

    Gruss

    Daniel