[Exchange 2007] SSL certificaat werkt niet* - Serversoftware en clouddiensten

woensdag 27 augustus 2008 22:08

Acties:

Topicstarter

Ik heb een Windows 2003 server met Exchange 2007 draaien.

Nu heb ik een SSL certificaat ontvangen (een .cer bestand) voor de Webmail.
Wanneer ik het certificaat gewoon open krijg ik de fout:
This file is invalid for use as the following: Security Certificate

Nu heb ik het bestand hernoemd naar een .p7b, daarmee opent Certificate manager en blijken er 3 certificaten in dit bestand te zitten, waarvan een met de naam van de url waarvoor ik het certificaat heb aangevraagd.

Nu heb ik dit certificaat geexporteerd naar een .cer bestand. Daarna kan ik het wel installeren en toepassen op de Default Website in IIS.

Maar daarna krijg ik de foutmelding The page cannot be displayed wanneer ik naar de Webmail ga.

Ik heb SSLDiag van Microsoft gedraaid en daarvan krijg ik de mededeling dat de "private key" ontbreekt. Maar zonder uitleg verder.
Hoe kom ik aan deze private key en hoe krijg ik de Webmail bereikbaar met een geldig SSL certificaat?

woensdag 27 augustus 2008 22:20

Acties:

Hoicks

Techno!

Je moet in IIS even een tijdelijke website aanmaken. Hierop doe je in de properties en dan directory security een aanvraag voor een ssl certificaat. Dit is het .cer bestand dat jij hebt. Vervolgens gebruik je dit .cer bestand om een ssl certiciaat te genereren en deze lees je vervolgens weer in binnen iis via de properties van de tijdelijke website - directory security. Als je dan de pending request hebt behandeld kun je het certificaat op de actieve website replacen.

Dit is zo even uit mijn hoofd de juiste procedure.

[ Voor 5% gewijzigd door Hoicks op 27-08-2008 22:21 ]

Nikon D7200 & D5000 / SB-700, 2x Yongnuo YN-560 III / Sigma EX 10-20 f4-f5.6 HSM, Sigma EX 17-50mm f2.8 OS HSM, EX 70-200mm f2.8 HSM II Macro / EX 105 f2.8 HSM OS Macro / Nikon AF-S DX 35mm f1.8 / Sigma EX DC 30mm f1.4 HSM

woensdag 27 augustus 2008 22:37

Acties:

sanfranjake

Computers can do that?

Je moet die aanvraag en de afhandeling daarvan via Exchange (lees powershell) doen, volgens de instructies. of als er nog een ISA server oid tussen zit goed opletten wat je doet, lees bijvoorbeeld dit eens:
http://www.msexchange.org...arty-san-certificate.html
http://msexchangeteam.com/archive/2007/02/19/435472.aspx

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 28 augustus 2008 11:06

Acties:

Ye Greate'96

Topicstarter

Ik heb via de Exchange Shell het certificaat geimporteerd, maar ik krijg vervolgens deze fout:

code:

1 2	Enable-ExchangeCertificate : The certificate with thumbprint blablablbalbalbalba was found but is not valid for use with Exchange Server (reason: PrivateKeyMissing).

Dus ik word weer verwezen naar een of andere private key!

donderdag 28 augustus 2008 11:54

Acties:

Predator

Suffers from split brain

Ye Greate'96 schreef op donderdag 28 augustus 2008 @ 11:06:
Ik heb via de Exchange Shell het certificaat geimporteerd, maar ik krijg vervolgens deze fout:
code:
1
2
Enable-ExchangeCertificate : The certificate with thumbprint blablablbalbalbalba was found but is not valid for use with Exchange Server
(reason: PrivateKeyMissing).
Dus ik word weer verwezen naar een of andere private key!

Ik hoop dat je toch weet wat een private key is, en waar die naartoe is.
Anders is je cert waardeloos.

Je private key is ontstaan bij het creëren van je CSR die je opgestuurd heb om je gesigned certificate te krijgen.

Als je je private key niet meer hebt moet je een nieuw cert aanvragen (zorg nu wel dat je je private key apart opslaat bij het aanmaken van je CSR).

Waar en hoe heb je je CSR gemaakt ?

[ Voor 12% gewijzigd door Predator op 28-08-2008 12:03 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 28 augustus 2008 12:58

Acties:

Ye Greate'96

Topicstarter

Opgelost !

dankzij dit technet document:
http://www.microsoft.com/...a199bc27c7e.mspx?mfr=true

donderdag 28 augustus 2008 13:12

Acties:

Predator

Suffers from split brain

Exporteer dan nu je private key en zet die samen met je CERT op een CD.
In een verzegelde map en daarna in de brandkast.

Everybody lies | BFD rocks ! | PC-specs

maandag 1 september 2008 13:34

Acties:

Ye Greate'96

Topicstarter

Hmm, toch nog een probleem.

Nu geeft OWA netjes geen foutmelding meer, maar krijgen de Outlook clients een beveiligingswaarschuwing....

Ik zit me rot te zoeken !

maandag 1 september 2008 19:29

Acties:

alt-92

ye olde farte

En het komt niet bij je op om dan de desbetreffende melding ook door te geven?
Wat is het nut dan nog van deze loze mededeling?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 2 september 2008 07:21

Acties:

Equator

Crew Council

#whisky #barista

Ye Greate'96 schreef op maandag 01 september 2008 @ 13:34:
Hmm, toch nog een probleem.

Nu geeft OWA netjes geen foutmelding meer, maar krijgen de Outlook clients een beveiligingswaarschuwing....

Ik zit me rot te zoeken !

Tja, zonder melding kunnen we natuurlijk niet veel. Ik ga er gemakshalve vanuit dat het Signing CA Certificaat op de clients bekend en trusted is?

Verder zou een melding/screenshot wel fijn zijn.

Overigens move ik dit topic naar Windows Servers en Server-software, omdat het daar IMO beter thuis hoort.

dinsdag 2 september 2008 11:12

Acties:

Ye Greate'96

Topicstarter

Afbeeldingslocatie: http://www.yegreate96.nl/got/foutssl.jpg

Beetje brakke kwaliteit.

maar sinds ik het ssl certificaat heb geinstalleerd voor de webmail verschijnt deze fout bij alle Outlook clients.
De url voor de webmail is uiteraard anders dan "server.domein.nl" daardoor verschijnt vermoedelijk deze fout.

Is hier iets aan te doen op de server, zonder op iedere client apart in te moeten stellen dat deze fout niet meer weergegeven wordt?

dinsdag 2 september 2008 11:24

Acties:

sanfranjake

Computers can do that?

Ja je moet een certificaat maken wat op de goede naam wordt uitgegeven, letterlijk zoals het in de fout staat.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 2 september 2008 18:55

Acties:

Ye Greate'96

Topicstarter

sanfranjake schreef op dinsdag 02 september 2008 @ 11:24:
Ja je moet een certificaat maken wat op de goede naam wordt uitgegeven, letterlijk zoals het in de fout staat.

Ja, dat is logisch, maar ik heb juist een SSL certificaat aangevaagd voor Outlook Web Access zodat je daar nu geen beveiligings waarschuwing meer krijgt, maar nu krijgen de Outlook clients bovenstaande fout.

Ik zal toch zeker niet nog een ssl certificaat moeten aanschaffen voor de Outlook clients? Sinds wanneer maken (interne) Outlook clients gebruik van SSL?

dinsdag 2 september 2008 19:36

Acties:

alt-92

ye olde farte

RPC over http aan staan soms?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 2 september 2008 19:55

Acties:

sanfranjake

Computers can do that?

Wat alt-92 zegt, en anders misschien Outlook 2007? Heb je SSL verplicht op de OAB-vdir in IIS misschien? Dat zou ook deze melding op kunnen roepen

De propere manier om dat te doen: http://technet.microsoft....y/bb124085(EXCHG.80).aspx

Sowieso misschien wel goed om je er uberhaupt eens in te verdiepen. Ik zag je laatst in het topic van een ander klagen dat je zo weinig respons krijgt in je topics, maar als ik jouw voorwerk en motivatie zie verbaast dat me niet zo veel hoor

[ Voor 90% gewijzigd door sanfranjake op 02-09-2008 20:08 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 4 september 2008 11:58

Acties:

Ye Greate'96

Topicstarter

Opgelost door het volgende:

When you choose the View Certificate button, it brings up another window that shows you what certificate is in error. In this case, the certificate name is “mail.shudnow.net.”
So the million dollar question? Why the error?
Well, when we install a new certificate, there are a few tasks we want to do. Obviously, we install the certificate for a purpose. This purpose is till allow us to use Exchange services securely. So how do we enable Exchange to use these services? If you are planning to do a very simple configuration and do not care about external Autodiscover access, you do not need to use a Unified Communication Certificate. You can read more about these certificates in one of my other articles here.
So let’s say we have a simple regular common certificate. A certificate with a Common Name (CN) of mail.shudnow.net We install this certificate onto our Exchange box with its’ private key. In our case we were migrating so we did not have to request a certificate via IIS. We just exported it with its’ private key and imported onto the new box. We then assigned this certificate to IIS. Now I went to the Exchange Management Shell and enabled Exchange services to use this certificate. In order to do this, you must run the following commands:
Get-ExchangeCertificate
Thumbprint Services Subject
———- ——– ——-
BCF9F2C3D245E2588AB5895C37D8D914503D162E9 SIP.W CN=mail.shudnow.net.com
What I did was go ahead and enable all new services to use every available service by using the following command:
Enable-exchangecertificate -services IMAP, POP, UM, IIS, SMTP -Thumbprint BCF9F2C3D245E2588AB5895C37D8D914503D162E9
The next step would be to ensure the AutodiscoverInternalURI is pointed to the CAS that will be your primary CAS for Autodiscover servicing.
Get-ClientAccessServer -Identity CASServer | FL
AutoDiscoverServiceInternalUri : https://casnetbiosname/Autodiscover/Autodiscover.xml
See the issue here? We are not using a UC certificate that contains the names, “casnetbiosname, casnetbiosname.shudnow.net, mail.shudnow.net, and autodiscover.shudnow.net” Since the Autodiscover directory in IIS will be requring SSL encryption, the url specified in the AutoDiscoverServiceInternalURI must match what is specified in your certificate. You must also ensure there is a DNS record that allows mail.shudnow.net to resolve to your CAS. We should re-configure the AutoDiscoverServiceInternalURI by using the following command:
Set-ClientAccessServer -Identity CASServer -AutoDiscoverServiceInternalUri https://mail.shudnow.net/Autodiscover/Autodiscover.xml
We now need to go configure all the InternalURLs for each web distributed service. Here is the reason why we were receiving the certificate errors. Your InternalURLs most likely are not using mail.shudnow.net. Your InternalURLs are most likely pointed to something such as https://casnetbiosname/ServiceURL which will fail since this is not the CN of your simple certificate.
You can run the following commands to fix your internalURLs so your Outlook 2007 client can successfully take advantage of your web distribution services.
Set-WebServicesVirtualDirectory -Identity “CASServer\EWS (Default Web Site)” -InternalURL https://mail.shudnow.net/EWS/Exchange.asmx -BasicAuthentication:$true
Set-OABVirtualDirectory -Identity “CASServer\OAB (Default Web Site)” -InternalURL https://mail.shudnow.net/OAB -BasicAuthentication:$true
Enable-OutlookAnywhere -Server CASServer -ExternalHostname “mail.shudnow.net” -ExternalAuthenticationMethod “Basic”-SSLOffloading:$False
Set-ActiveSyncVirtualDirectory -Identity “CASServer\Microsoft-Server-ActiveSync (Default Web Site)” -ExternalURL https://mail.shudnow.net/Microsoft-Server-Activesync
Set-UMVirtualDirectory -Identity “CASServer\UnifiedMessaging (Default Web Site)” -InternalURL https://mail.shudnow.net/UnifiedMessaging -BasicAuthentication:$true

Voordat ik iets post op GoT ben ik meestal al een dag of wat zoet geweest met zelf zoeken naar een oplossing, vind het alleen jammer dat iedereen er steeds vanuit gaat dat dat niet het geval is.