Zertifikatsproblem mit Outlook Anywhere und Exchange 2007 (ohne SP

14/02/2010 - 22:19 von samuel schmidt | Report spam
Hallo,

beim Öffnen von Outlook erhalte ich folgende Fehlermeldung:
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor. Das
Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen
Zertifizierungstelle. Von Outlook kann keine Verbindung mit dem Proxyserver
‚mobile.<domain>.net‘ hergestellt werden (Fehlercode: 38).

Auf dem mobilen Client (WM6.1) herhalte ich bei der Synchronisation den
Unterstützungscode: 0x80072F17.

RPC over HTTPS konnte ich bei Exchange 2003 problemlos installieren bei
Exchange 2007 bin ich folgendermaßen vorgegangen:

• Habe auf dem Win2008 DC (single Server) auf dem Auch Exchange 2007
installiert ist die Zertifikatsdienste installiert.
• In der Exchange-Verwaltungskonsole im Clientzugriff habe ich Outlook
Anywhere aktiviert und die Domain von außen mit SSL angegeben:
mobile.<domain>.net.
• In der Exchange-Verwaltungsshell habe ich mit folgendem Command ein
Zertifikat angefordert:
New-ExchangeCertificate -GenerateRequest -SubjectName "cÞ, o=<Firma>,
cn=mobile.<domain>.net" -IncludeAcceptedDomains -privatekeyexportable $true
-Path c:\ZertRequest.req

• Den Inhalt der Datei habe ich kopiert und unter https://Server/certsrv
unter „Ein Zertifikat anfordern“ rein kopiert und abgesendet.
• in der Verwaltung des Servers habe ich die Zertifizierungsstelle
aufgerufen und im Ordner ‚Ausstehende Anforderungen‘ das Zertifikat mit der
rechten Maustaste ausgestellt
• Über https://Server/certsrv konnte ich nun das Zertifikat herunterladen.
• Anschließend in der Exchange-Verwaltungsshell folgenden Befehl eingegeben:
Import-ExchangeCertificate -Path C:\certnew.cer
• Und mit Enable-ExchangeCertificate -Thumbprint <fingerabdruck des
Zertifikats> -Services SMTP,IMAP,POP,IIS aktiviert.
• Im IIS habe ich geprüft dass nicht nur die Default Web Site sondern auch
Exchange, Exchweb, Microsoft-Server-ActiveSync, owa, RpcWithCert die
Einstellung ‚SSL erforderlich‘ haben. Allerdings steht hier auch manchmal
‚Clientzertifikate ignorieren‘?
• Im gleichen DNS-Server habe ich eine neue Forward-Lookup-Zone hinzugefügt
mit dem externen Domànennamen (cn des Zertifikats: mobile.<domain>.net) und
der Host IP des Servers, so dass sich der externe Domànennamen intern überall
anpingen làsst und direkt auf den Server verweist ohne über das Internet zu
gehen.
• Das Zertifikat certnew.cer habe ich per Doppelklick auf allen Clients
installiert, auch die PFX.
• In Outlook 2007 habe ich unter Exchange-Proxyeinstellungen die Vorgabe von
https:// mit mobile.<domain>.net ergànzt und Standardauthentifizierung
aktiviert.
• Beim mobilen Client habe ich über den Windows Mobile-Geràtecenter auch
die Serveradresse mobile.<domain>.net angegeben nachdem ich zuvor das
Zertifikat installiert hatte.
Bei Öffnen von Outlook wird wie üblich auch gleich der Benutzername und das
Passwort abgefragt aber danach kommt sofort die Fehlermeldung wie oben
beschrieben.
Hat jemand eine Ahnung warum die Zertifizierungsstelle als nicht
vertrauenswürdig eingestuft wird und wie man die Zertifizierungsstelle als
solche kennzeichnen kann?
Über eine Antwort würde ich mich freuen.
Mit freundlichen Grüßen
Samuel Schmidt
 

Lesen sie die antworten

#1 Tobias Redelberger [MVP - SBS]
15/02/2010 - 02:09 | Warnen spam
Hi Samuel,

beim Öffnen von Outlook erhalte ich folgende Fehlermeldung:
Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
Das
Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen
Zertifizierungstelle. Von Outlook kann keine Verbindung mit dem
Proxyserver
‚mobile.<domain>.net‘ hergestellt werden (Fehlercode: 38).

Auf dem mobilen Client (WM6.1) herhalte ich bei der Synchronisation den
Unterstützungscode: 0x80072F17.

RPC over HTTPS konnte ich bei Exchange 2003 problemlos installieren bei
Exchange 2007 bin ich folgendermaßen vorgegangen:

• Habe auf dem Win2008 DC (single Server) auf dem Auch Exchange 2007
installiert ist die Zertifikatsdienste installiert.
• In der Exchange-Verwaltungskonsole im Clientzugriff habe ich Outlook
Anywhere aktiviert und die Domain von außen mit SSL angegeben:
mobile.<domain>.net.
• In der Exchange-Verwaltungsshell habe ich mit folgendem Command ein
Zertifikat angefordert:
New-ExchangeCertificate -GenerateRequest -SubjectName "cÞ, o=<Firma>,
cn=mobile.<domain>.net" -IncludeAcceptedDomains -privatekeyexportable
$true
-Path c:\ZertRequest.req

• Den Inhalt der Datei habe ich kopiert und unter https://Server/certsrv
unter „Ein Zertifikat anfordern“ rein kopiert und abgesendet.
• in der Verwaltung des Servers habe ich die Zertifizierungsstelle
aufgerufen und im Ordner ‚Ausstehende Anforderungen‘ das Zertifikat mit
der
rechten Maustaste ausgestellt
• Über https://Server/certsrv konnte ich nun das Zertifikat herunterladen.
• Anschließend in der Exchange-Verwaltungsshell folgenden Befehl
eingegeben:
Import-ExchangeCertificate -Path C:\certnew.cer
• Und mit Enable-ExchangeCertificate -Thumbprint <fingerabdruck des
Zertifikats> -Services SMTP,IMAP,POP,IIS aktiviert.
• Im IIS habe ich geprüft dass nicht nur die Default Web Site sondern auch
Exchange, Exchweb, Microsoft-Server-ActiveSync, owa, RpcWithCert die
Einstellung ‚SSL erforderlich‘ haben. Allerdings steht hier auch manchmal
‚Clientzertifikate ignorieren‘?
• Im gleichen DNS-Server habe ich eine neue Forward-Lookup-Zone
hinzugefügt
mit dem externen Domànennamen (cn des Zertifikats: mobile.<domain>.net)
und
der Host IP des Servers, so dass sich der externe Domànennamen intern
überall
anpingen làsst und direkt auf den Server verweist ohne über das Internet
zu
gehen.
• Das Zertifikat certnew.cer habe ich per Doppelklick auf allen Clients
installiert, auch die PFX.
• In Outlook 2007 habe ich unter Exchange-Proxyeinstellungen die Vorgabe
von
https:// mit mobile.<domain>.net ergànzt und Standardauthentifizierung
aktiviert.
• Beim mobilen Client habe ich über den Windows Mobile-Geràtecenter auch
die Serveradresse mobile.<domain>.net angegeben nachdem ich zuvor das
Zertifikat installiert hatte.
Bei Öffnen von Outlook wird wie üblich auch gleich der Benutzername und
das
Passwort abgefragt aber danach kommt sofort die Fehlermeldung wie oben
beschrieben.
Hat jemand eine Ahnung warum die Zertifizierungsstelle als nicht
vertrauenswürdig eingestuft wird und wie man die Zertifizierungsstelle als
solche kennzeichnen kann?



da hast Du nun soviel richtig gemacht, und dann bist Du doch über einen
typischen Anfàngerfehler gestolpert, nàmlich in dem Du fàlschlicherweise das
Leaf-Cert und nicht das Root-Cert Deiner CA auf den jeweiligen Clients als
vertrauenswürdig eingestuft hast. So kann das nicht funktionieren (lediglich
wenn das Root- und das Leaf-Certs identisch ist, wie z.B. mittels "selfcert"
oder "New-ExchangeCertificate", was jedoch bei Dir nicht der Fall ist)

Importier das Root-Cert Deiner CA jeweils in den Zertifikatsspeicher
"Computerkonto->Lokaler Computer->Vertrauenswürdige Stammzertifikatsstellen"
Deiner (not domain-joined) Clients und Du bist den Fehler los.


Hintergrundinformationen:

Understanding the Self-Signed Certificate in Exchange 2007
http://technet.microsoft.com/en-us/...y/bb851554(EXCHG.80).aspx

Understanding SSL for Client Access
http://technet.microsoft.com/en-us/...y/bb430767(EXCHG.80).aspx

New-ExchangeCertificate
http://technet.microsoft.com/de-de/...y/aa998327(EXCHG.80).aspx

Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email:
Web: http://www.starnet-services.net

Ähnliche fragen