Beiträge von pswgroup

Zitat von Seppelchen

OK. Bei Apple Mail ist das alles i.O. treten die Probleme auch bei Outlook auf und wenn Outlook sich zum Server verbinden will, gibt es eben diesen Fehler, dass es meckert wenn das Zertifikat genommen werden soll. Meist tritt das auf, wenn Outlook E-Mails senden will über die Pop3/SMTP Konfiguration.

Dann kommt: "Der Zielprinzipname ist falsch."
Und wenn man auf Zertifikat anzeigen klickt sieht man unter Zertifikatsinformationen: "Keine der beabsichtigten Zwecke dieses Zertifikats konnten bestätigt werden"

Ausgestellt für http://www.mailconfig.domain1.tld
Ausgestellt durch GlobalSign Domain Validation CA-G2

Also wie gesagt, wir wissen nicht warum es der Server uns so schwer machen will.

Alles anzeigen

Wie ich sagte, Zielprinzipname ist falsch besagt genau das: Servername passt nicht zu Zertifikatsnamen.

Zitat von Seppelchen

Hallo, OK. Habe aber den Test bei Outlook auf der Internetseite gemacht und das liefert immer ein Erfolg aus. Trotzdem haut es in dem einen Mailprogramm nicht hin.

P.s. Soll ich dann qusi noch ein Zertifikat mit CN -> server.domain1.tld.de machen? Obwohl es einmal schon als SSL drin liegt?

Aber das wird das Problemnicht beheben.

Oh, dass hier Apple Mail verwandt wird, habe ich glatt überlesen. Also man sollte eigentlich ein UCC mit den SANs owa, mail und autodiscover nehmen, dann ist man auf der sicheren Seite. Wenn jedoch etwas anderes verwandt wird, ist es um so wichtiger, dass der IMAP-/POP3-Name mit dem Hauptnamen im Zertifikat matcht. Optimalerweise als ein einziges UCC-Zertifikat.

Zitat von Seppelchen

Der Server lautet: server.domain1.tld .
Wenn man nun die Anleitung KB #13 betrachtet ließt man folgendes:

Der Satz: "SSL-Zertifikat für diese Subdomain ein" --> sagt mir Schütze per SSL deine Muster - Sudomain im speziellen Fall mailconfig.domain1.tld --> Das haben wir ja eigentlich getan.

Der Server selbst nennt sich wie erwähnt: server.domain1.tld. Für diesen wurde ebenfalls per LC ein Zertifikat hinterlegt. (lt. KB Anleitung wie man den Server per SSL schützt)

Deshalb stellt sich mir nun die Frage, wie nun das SSL Zertifikat genau sein muss, damit kein Fehler mehr kommt.

Der CNAME: autoonfig war falsch es sollte igentlich autoconfig und autodiscover werden.

Alles anzeigen

Autodiscover muss mindestens als SAN auftauchen, server sollte als CN auftauchen, mailconfig, wenn verwendet, sollte ebenfalls als SAN auftauchen.

Zitat von Seppelchen

Wozu soll der Eintrag sein: . IN MX 10 mail oder ähnliches1

. ist was Sie mit leer bezeichnen

Also ich nehme dann an

autoconfig IN CNAME mailconfig.domain1.tld
. IN CNAME server.domain1.tld
mail IN A 1.2.3.4

autoonfig ist mir unklar, wozu das gut ist

Ok, also das Zertifikat schert der IN CNAME nicht, es interessiert nicht, dass das nur ein Alias für mailconfig.domain1.tld ist, es wird Zeichen für Zeichen auf autodiscover pochen

Der CN sollte so lauten, wie der Server auch heißt, denn das ist das, was Autodiscover liefert. Heißt der Server mailconfig? Ansonsten gehört das maximal in ein SAN (alternativer Domainname im Zertifikat), da IMAP und POP3 sich daran stören, www ist an sich nicht schlau als CN, da so der Server sicher nicht angesprochen wird.

Eine übliche Konfiguration (die funktioniert) wäre:

servername IN CNAME oder IN A irgendwas
autodiscover IN CNAME oder IN A irgendwas
mail IN CNAME oder in A irgendwas
owa IN CNAME oder IN A irgendwas

mailconfig IN CNAME autodiscover (oder umgekehrt, das ist egal, wozu auch immer mailconfig)

. IN MX 10 mail oder ähnliches1

Das Zertifikat dann

CN servername.domain.tld
SANs autodiscover.domain.tld, mail.domain.tld, owa.domain.tld, von mir aus auch mailconfig.domain.tld noch dazu

Mit freundlichen Grüßen,
Christian Heutger

Hallo,

teilen Sie uns doch bitte mal die genaue Konfiguration (IN A-, IN CNAME-Einträge sowie Zertifikats-CN und SAN-Einträge) mit, dann können wir hier genaueres sagen.

Grundsätzlich muss der Name im Zertifikat mit dem Namen, der abgefragt wird, übereinstimmen. Heißt also der Server mail.domain.tld muss das auch im Zertifikat stehen, bei IMAP und POP3 als CN, bei Autodiscover muss zusätzlich ZWINGEND autodiscover.domain.tld ebenfalls im Zertifikat stehen, im Zweifel auch als SAN-Eintrag. Eine Auflösung oder Umleitung mittels IN CNAME ist schön und gut, jedoch macht SSL kein DNS-Lookup und arbeitet dann mit dem Alias weiter sondern es wird ein 1:1-Abgleich zwischen Aufruf und CN- bzw. SAN-Werten im Zertifikat durchgeführt.

Der Autodiscover-Name kann auch nicht geändert werden, mit etwas "Gebiege" kann man Autodiscover aber als Unterverzeichnis des Hauptnamens betreiben, es gibt dazu einen entsprechenden Technet-Artikel.

Mit freundlichen Grüßen,
Christian Heutger