Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 11802 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zertifikate Exchange nicht vertrauenswürdig wegen UTM?

dickma
Ich habe ein generelles Problem mit Exchange Server Zertifikaten in Netzen, die hinter einer UTM liegen. 
Per SuFu und Google habe ich dazu nichts finden können, sollte ich etwas übersehen haben, bitte ich um Verzeihung.

Das Problem ist versionsübergreifend, d.h. sowohl Verison der UTM, als auch Exchange Server und Outlook sind dabei irrelevant.

Das Problem dabei ist folgendes:

Bei jedem Start von Outlook, also beispielsweise der tägliche Start morgens nach dem Einschalten des PCs, erscheint die Zertifikatfehlermeldung

"Sicherheitshinweis

remote.domänenname.de

oder exchangeservername.domänenname.lokal

Informationen, die Sie mit dieser Website austauschen, können von anderen nicht angezeigt oder geändert werden. Es besteht jedoch ein Problem mit dem Sicherheitszertifikat der Website.

Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die Sie als nicht vertrauenswürdig eingestuft habe. Zeigen Sie das Zertifikat an, um zu bestimmen, ob Sie der Zertifizierungsstelle vertrauen möchten."

Das Importieren des Zertifikats über den Button "Zertifikat anzeigen" etc. bringt leider nichts, die Meldung erscheint beim nächsten Start von Outlook erneut.

Ich habe diesen Fehler eigentlich in allen Netzwerken mit dieser Konstellation und bin mir sicher, dass es dafür doch eigentlich eine, wahrscheinlich sogar sehr einfache, Lösung geben müsste?

Beste Grüße


This thread was automatically locked due to age.
  • 0
    Da fehlen noch etliche Infos über die Netze.

    Webfilter in Benutzung? Im Standardmodus? SSL-Scanning aktiv?

    Wenn du Frage 2 mit nein beantwortest, liegt es nicht an der UTM.
    Wenn ja: schließe im Browser lokale Netze von der Proxy-Nutzung aus.

    Exchange: selbstsigniertes Zertifikat oder von CA?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Outlook versucht die Verbindung zum Exchange über den Proxy aufzubauen. Im IE-Browser die Hosts exchangeservername.domänenname.lokal und remote.domänenname.de in die Proxy-Ausnahmeliste eintragen
  • 0
    Ich ziehe mal ein konkretes Netzwerk mit SBS 2011 heran:

    Webfilter in Benutzung, Transparenter Modus ohne Proxy

    Der Exchange hat ein selbstsigniertes Zertifikat.
  • 0
    Clients und Server im gleichen Subnetz?
    Zertifikat des Exchange auf den Clients als Vertrauenswürdige Zertifizirungsstelle eingerichtet (am Besten per GPO)?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Wer hat denn das Zertifikate ausgestellt, das da so angemeckert wird?
    Und hinter UTM bedeutet bei Dir DNAT, WAF oder Proxy mit falsch konfigurierten Clients?
  • 0
    Clients und Server sind im gleichen Subnetz.

    Das Zertifikat des Exchange ist per GPO als vertrauenswürdige Zertifizierungsstelle eingerichtet.

    Das Zertifikat ist ja eigens vom Server erstellt, nicht von einer öffentlichen Stelle, egal ob vom SBS oder einem einzelnen separaten Exchange, die erstellen ja ihre eigenen Zertifikate.

    "hinter" der UTM bedeutet im "internen" Netz, das die UTM bereitstellt. Im Falle des SBS oder auch anderen Konstellationen ist die UTM dann aber nicht DHCP und Co.
  • 0
    Ok, warum ist das dann jetzt hier relevant?
  • 0
    Clients und Server sind im gleichen Subnetz.

    Dann passt irgendwas mit dem Zertifikat oder der Verteilung nicht. Die UTM ist an internem Traffic nicht beteiligt und fällt somit als Ursache raus (Ausnahme: Webfilter im Standard Modus).

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    [...] und bin mir sicher, dass es dafür doch eigentlich eine, wahrscheinlich sogar sehr einfache, Lösung geben müsste?

    Eine saubere Lösung wäre:
    Zertifizierungsstelle aufsetzen. Deren Zertifikat auf allen Clients als vertrauenswürdige Stammzertifizierungsstelle installieren.
    Dann auf dem Exchange ein passendes CSR erstellen, von der CA unterschreiben lassen und anschließend dieses Zertifikat auf dem Exchange-Server verwenden.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Und wie schaut es aus mit Meldungen für

    autodiscover.domänenname.de und domänenname.de ?
Cookie Information Banner