System: Windows 2008 Server R2 (64 Bit)

Exchange Server 2010

IIS 7

Bisher war auf dem Server ein selbst-signiertes Zertifikat im Einsatz. Outlook hat das so akzeptiert, beim Zugriff von extern über OWA https://firma/owa gab es natürlich eine entsprechende Meldung, dass das kein gültiges Zertifikat ist.

Jetzt haben wir uns bei Thawte ein gültiges Zertifikat gekauft, installiert und dem Service "IIS" zugewiesen (die Services IMAP, POP und SMTP sind weiter an das alte Zertifikat gebunden)

Der Zugriff von extern über OWA funktioniert jetzt ohne Probleme, das Zertifikak wird als gültig anerkann.

Jetzt macht aber Outlook Probleme:

Obwohl das Zertifikat an den PC's (WinXP und Win7) als Administrator (vertrauenwürdige Stammzertifikate) und als User installiert wurden, kommt beim Start von Outlook zweimal die Fehlermeldung, dass das Zertifikat ungültig ist.

Hintergrund ist, dass das Zertifikat auf unseren externen Firmennamen (z.B. "firma.de") ausgestellt ist, der interne Server-Name des Exchange-Servers, den Outlook verwendet, aber natürlich ein anderer ist. Daher passt für Outlook der Server-Name im Zertifikat nicht mit dem Server-Namen des Exchange-Servers zusammen.

Wie bekomme ich es hin, dass OWA das Zertifikat benutzt, Outlook aber nicht?

Oder wie kann ich es wenigstens schaffen, die lästigen Fehlermeldungen zu vermeiden, wo das Zertifikat doch auf dem PC installiert ist?

Ciao

Frank

Hmmm, war da nicht was mit einem Alias im Zertifikat ? So ein Alternate kann man doch im Zertifikat hinterlegen

Du brauchst ein SAN Zertifikat (SAN == Subject Alternate Name). In das Zertifikat müssen dann die zusätzlichen Hostnamen rein (intern, extern, NetBIOS ist auch nicht verkehrt) etc.

Alternativ passt du über die Exchange-Shell die intern verwendeten URLS auch auf den externen Namen an.

Sauberer ist aber das SAN Zertifikat, jedoch teurer wenn ein öffentliches verwendet wird, da du extrem viele Einträge brauchst, wenn du auch noch Autodiscover etc. abdecken möchtest.