Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[Exch 07] Certificaat melding kan niet worden gecontroleerd

Pagina: 1
Acties:

dinsdag 6 november 2012 10:17

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
Beste lezer,

Op mijn mailserver Exchange 2007 is ooit een certificaat automatisch aangemaakt die gekoppeld is aan de naam mail.bedrijfsnaam.nl. Het certificaat is echter niet via een externe instantie aangekocht. Ofwel gegenereerd via de server zelf. Zodra je dan https://mail.bedrijfsnaam.nl/owa doet krijg je de melding dat het certificaat niet kan worden gecontroleerd tot aan een vertrouwde certificerings instantie. Het antwoord zal waarschijnlijk zijn dat dit alsnog gedaan moet worden of moet je iets open zetten richting ons bedrijf zodat er op die manier iets gevalideerd kan worden?

Verder heb je ook nog zoiets als een autodiscover certificaat. Hoe werkt dit dan?

Dank!

Marcel

dinsdag 6 november 2012 11:02

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Intern kan je een vertrouwde CA zijn, buiten kan men je niet vertrouwen. Niet persoonlijk bedoeld natuurlijk ;)

Wat wil je doen met het certificaat, voor puur intern gebruik binnen je domein? Als het aantal gebruikers klein is: je kunt evt. je zelfgetekende certificaat op iedere individuele client installeren. Anders bij een bestaande CA een certificaat aanvragen / kopen.

offtopic:
Je zegt ooit: ik meen me te herinneren dat die certificaten een vrij beperkte levensduur hadden?


Edit: ik loop blijkbaar achter:
The self-signed certificate is valid for one year from the date of creation in versions of Exchange 2007 that are earlier than Exchange 2007 Service Pack 2 (SP2). Self-signed certificates are valid for five years from the date of creation in Exchange 2007 SP2 or in later versions.

[ Voor 28% gewijzigd door F_J_K op 06-11-2012 11:03 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 6 november 2012 11:12

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:10

Jazzy

Moderator SSC/PB

Moooooh!

Aangezien certificaten tegenwoordig heel betaalbaar zijn (100 euro per jaar voor een Comodo SAN certificaat) zou ik aanraden om het certificaat een keer te vervangen. Naast gemak voor je gebruikers, wat ook geld bespaart trouwens, is het ook verstandig om je gebruikers niet aan te leren dat ze certificaten maar moeten importeren of rode adresbalken en waarschuwingen moeten negeren.

Welke domeinnamen er op moeten staan is niet zo 1 2 3 te zeggen. Stel dat je zowel intern als extern mail.domeinnaam.nl gebruikt voor SSL verbindingen met de server en je hebt maar één maildomein dan kun je volstaan met:
- mail.domein.nl
- autodiscover.domein.nl

Als je intern de naam server1.domein.local gebruikt dan moet deze naam ook op het certificaat staan. En je moet natuurlijk de InternalUrl en ExternalUrl waardes op de virtual directories goed ingesteld hebben.

Steeds minder Certificate Authorities geven nog certificaten uit met een .local hostname er op, wel even iets om op te letten.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 6 november 2012 12:38

Acties:
  • mbr99
  • Registratie: Juli 2004
  • Laatst online: 19-02-2022

mbr99

Topicstarter
Er wordt idd intern en extern gebruik gemaakt van deze ssl verbinding. Slechts 1 domeinnaam. Ik moet dus een SAN cert. hebben. Het is geen .local.

Ik las in een MS artikel dat de records voor mail. en autodiscover. naar verschillende IP-adressen moet verwijzen. Of lees ik dat verkeerd en kunnen beide records naar hetzelfde IP-adres verwijzen?

Ik heb momenteel een enkele MDA die een melding geeft over een verlopen autodiscover certificaat.

Die URL waardes, nu zijn ze blank zag ik met Get-AutodiscoverVirtualDirectory |FL. Moet dat iets in de vorm van hieronder zijn?

https://company.com/Autodiscover/Autodiscover.xml or https://Autodiscover.comp...discover/Autodiscover.xml

[ Voor 10% gewijzigd door mbr99 op 06-11-2012 12:40 ]

Marcel

woensdag 7 november 2012 17:32

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 20:17

Killah_Priest

Voor de gewone gebruikers zijn de certificaat meldingen ook maar een wassen neus, de gemiddelde gebruiker kijkt bij het maken van een verbinding niet naar secured verbindingen of niet.
Zie het als volgt :
- Gebruiker komt op een website met een self-signed certificaat : paniekerige melding dat de site niet te vertrouwen is
- Gebruiker komt op een website ZONDER certificaat waarbij alle info in plain text over het netwerk gaat : nu krijgt de gebruiker helemaal geen foutmelding.

Welke van de bovenstaande situaties is het gevaarlijkst?

woensdag 7 november 2012 20:18

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

De postduif want die kan verdwalen.

Wat is precies je punt?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 8 november 2012 08:55

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:10

Jazzy

Moderator SSC/PB

Moooooh!

Ik denk dat dit gericht is op mijn opmerking dat je gebruikers niet zou moeten aanleren om certificaatmeldingen weg te klikken. Het alternatief is natuurlijk dat beheerders zorgen dat verkeer wat versleuteld zou moeten zijn dat doet met een vertrouwd certifcaat, niet dat het zonder encryptie gebeurt.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq