Hallo,
ich habe ein Zertifikat bestellt, erhalten und installiert von der PSW-Group (GeoTrust Bronze Multidomain (QuickSSL Premium).
Es funktioniert auch mit Outlook allerdings bekomme ich bei https://www.checktls.com/ die Fehlermeldung
"unable to get local issuer certificate" die wohl auf das intermediate Zertifikat hinweist.
Trotz Installation vom intermediate.crt mit mmc bekomme ich immer wieder bei checktls die gleiche Fehlermeldung.
Hat jemand eine Idee warum das passiert?
Zeigt er denn beim Check das korrekte Zertifikat an? Gehts hier um https oder um SMTP?
@norbertfe Hier ein Teil des Checks:
| seconds | test stage and result | |
|---|---|---|
| [000.000] |
CheckTLS ConfidenceFactor for "carcompanyhamburg.de": 104 of 106 (98%, 124 max)
Trying TLS on remote.carcompanyhamburg.de[90.187.187.85:25] (10) |
|
| [000.107] | Server answered | |
| [000.205] | <‑‑ | 220 remote.carcompanyhamburg.de Microsoft ESMTP MAIL Service ready |
| [000.206] | We are allowed to connect | |
| [000.206] | ‑‑> | EHLO www12-azure.checktls.com |
| [000.302] | <‑‑ | 250-SRV-EX02.cch.local Hello [40.76.159.115] 250-SIZE 37748736 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-STARTTLS 250-X-ANONYMOUSTLS 250-AUTH NTLM 250-X-EXPS GSSAPI NTLM 250-8BITMIME 250-BINARYMIME 250-CHUNKING 250-SMTPUTF8 250 XRDST |
| [000.303] | We can use this server | |
| [000.303] | TLS is an option on this server | |
| [000.303] | ‑‑> | STARTTLS |
| [000.400] | <‑‑ | 220 2.0.0 SMTP server ready |
| [000.400] | STARTTLS command works on this server | |
| [000.614] | Connection converted to SSL | |
| SSLVersion in use: TLSv1_2 | ||
| Cipher in use: ECDHE-RSA-AES256-GCM-SHA384 | ||
| Perfect Forward Secrecy: yes | ||
| Session Algorithm in use: Curve P-384 DHE(384 bits) | ||
| Certificate #1 of 1 (sent by MX): | ||
| Cert VALIDATION ERROR(S): unable to get local issuer certificate | ||
| This may help: What Is An Intermediate Certificate | ||
| So email is encrypted but the recipient domain is not verified | ||
| Cert Hostname VERIFIED (remote.carcompanyhamburg.de = remote.carcompanyhamburg.de | DNS:remote.carcompanyhamburg.de | DNS:AutoDiscover.cch.local | DNS:AutoDiscover.carcompanyhamburg.de | DNS:AutoDiscover.germancarservice.de | DNS:AutoDiscover.mail.carcompanyhamburg.de | DNS:cch.local | DNS:carcompanyhamburg.de | DNS:germancarservice.de | DNS:mail.carcompanyhamburg.de | DNS:srv-ex02 | DNS:srv-ex02.cch.local) | ||
Not Valid Before: May 17 20:07:08 2021 GMT |
||
Not Valid After: May 17 20:07:08 2026 GMT |
||
| subject: /C=DE/ST=Hamburg/L=Hamburg/O=Car Company Hamburg/OU=Service/CN=remote.carcompanyhamburg.de | ||
| issuer: /C=DE/ST=Hamburg/L=Hamburg/O=Car Company Hamburg/OU=Service/CN=remote.carcompanyhamburg.de | ||
| [000.618] | ~~> | EHLO www12-azure.checktls.com |
| [000.716] | <~~ | 250-SRV-EX02.cch.local Hello [40.76.159.115] 250-SIZE 37748736 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-AUTH NTLM LOGIN 250-X-EXPS GSSAPI NTLM 250-8BITMIME 250-BINARYMIME 250-CHUNKING 250-SMTPUTF8 250 XRDST |
| [000.716] | TLS successfully started on this server | |
| [000.716] | ~~> | MAIL FROM:<test@checktls.com> |
| [000.814] | <~~ | 250 2.1.0 Sender OK |
| [000.815] | Sender is OK | |
| [000.815] | ~~> | QUIT |
Naja eigentlich steht ja da, was ihm nicht gefällt. Dein Exchange meldet sich mit dem self signed certificate.
Cert Hostname VERIFIED (remote.carcompanyhamburg.de = remote.carcompanyhamburg.de | DNS:remote.carcompanyhamburg.de | DNS:AutoDiscover.cch.local | DNS:AutoDiscover.carcompanyhamburg.de | DNS:AutoDiscover.germancarservice.de | DNS:AutoDiscover.mail.carcompanyhamburg.de | DNS:cch.local | DNS:carcompanyhamburg.de | DNS:germancarservice.de | DNS:mail.carcompanyhamburg.de | DNS:srv-ex02 | DNS:srv-ex02.cch.local)
Du musst also dafür sorgen, dass "entweder" dein internes Zertifikat den Namen nicht mehr anbietet (vermutlich das einfachste), oder du bindest das gekaufte Zertifikat an den internetseitigen Empfangsconnector. Dann wird dort _nur_ dieses Zertifikat verwendet und nicht ein/alle die den passenden Namen haben.
Insgesamt würde ich vermutlich die ganzen ehemaligen SBS Namen (so siehts zumindest aus) langsam mal loswerden wollen. ;)
Bei Fragen gib Bescheid
Norbert
Danke erstmal ich werde es ausprobieren.
1. Ein Problem mag sein, das es auch die webseite carcompanyhamburg.de gibt mit separatem Zertifikat
die ich aber nicht verwalte
Dahinter steckt auch germancarservice.de
2. wie kommen Sie auf SBS-Namen, durch erweiterte Scans ala Kali-Linux um aufs AD zu kommen?