Habe wie immer das Script von Frank benutzt, was auch durchläuft, um das Zertifikat anzufordern und auf dem Exchange zu installieren. TLS funktioniert auch damit, allerdings kommt bei der Überprüfung über checkTLS.com o.a. Fehlermeldung "Cert Hostname DOES NOT VERIFY ":
[000.403] | <-- | 220 2.0.0 SMTP server ready |
[000.404] | STARTTLS command works on this server | |
[000.621] | Connection converted to SSL | |
SSLVersion in use: TLSv1_2 | ||
Cipher in use: ECDHE-RSA-AES128-GCM-SHA256 | ||
Certificate 1 of 1 in chain: Cert VALIDATION ERROR(S): unable to get local issuer certificate; unable to verify the first certificate | ||
This may help: What Is An Intermediate Certificate | ||
So email is encrypted but the recipient domain is not verified | ||
Cert Hostname DOES NOT VERIFY (mail.TEST-DOMAIN.de != MailMig | DNS:MailMig | DNS:MailMig.DOMAIN-TEST.local) | ||
So email is encrypted but the host is not verified | ||
Not Valid Before: Oct 20 16:32:54 2019 GMT | ||
Not Valid After: Oct 20 16:32:54 2024 GMT | ||
subject= /CN=MailMig | ||
issuer= /CN=MailMig | ||
[000.624] | ~~> | EHLO www6.CheckTLS.com |
Ich vermute, dass das mit den DNS-Einträgen zusammenhängt, da Mail-Domain und tatsächliche Domain unterschiedlich sind. Mail-Domain ist mail.TEST-DOMAIN.de, echte Domain ist: DOMAIN-TEST.local. Im DNS hab ich die zusätzlichen Zonen mail.TEST-DOMAIN.de und autodiscover.TEST-DOMAIN.de angelegt und den Eintrag für den Mailserver (A-Record) hinzugefügt. In der Reverse-Lookup-Zone habe ich für beide Einträge einen PTR erstellt.
Auch macht mich die Ausgabe "Certificate 1 of 1 in chain: Cert VALIDATION ERROR(S): unable to get local issuer certificate; unable to verify the first certificate" etwas stutzig. Hängt das irgendwie mit dem selbst erstellten Zertifikat des Exchange zusammen, das bei der Installation erstellt wird und bei dem es die DNS-Einträge für mail.* und autodiscover.* noch nicht gab?
Zusätzlicher Hinweis: Beim öffnen von Outlook wird noch ein Zertifikatsfehler angezeigt (der Dritte Eintrag wird mit einem roten Kreuz angemerkt). Was muss ich wo ändern, damit der Fehler verschwindet? Vlt. kann mir ja einer von euch die Sonnenbrille abnehmen...ist alles so dunkel hier ;-)
Hallo Schnapper,
wenn du noch Zertifikatswarnungen erhälst, sind noch nicht alle URLs richtig gesetzt, oder die DNS-Namen auf den Zertifikat weichen von den konfigurierten Namen ab. Falls du ein selbstsigniertes Zertifikat nutzt, wird es checktls.com allerdings immer meckern, da es sich um kein vertrauenswürdiges Zertifikat handelt.
Greetings,
Frank
Im Zertifikat werden mir nur zwei namen angezeigt: mail.TEST-DOMAIN.de und autodiscover.TEST-DOMAIN.de , ausgestellt für mail.TEST-DOMAIN.de.
Es handelt sich um das LetsEncrypt Zertifikat.
"Cert Hostname DOES NOT VERIFY (mail.TEST-DOMAIN.de != MailMig | DNS:MailMig | DNS:MailMig.DOMAIN-TEST.local)" wird ja angemeckert und da wohl explizit der Name des Servers (MailMig).
Im ACME-Log sehe ich für die FQDNs das:
9.11.2019 08:32:30;Exchange FQDNs;Info;Getting Exchange FQDNs;
09.11.2019 08:32:30;Exchange FQDNs;Info;Getting local Exchange Server Name;
09.11.2019 08:32:35;Exchange FQDNs;Info;Local Exchange Name MAILMIG;
09.11.2019 08:32:35;Exchange FQDNs;Info;Getting Autodiscover Hostname;
09.11.2019 08:32:35;Exchange FQDNs;Info;Autodiscover Hostname autodiscover.TEST-DOMAIN.de;
09.11.2019 08:32:35;Exchange FQDNs;Info;Getting Exchange Outlook Anywhere External FQDN;
09.11.2019 08:32:36;Exchange FQDNs;Info;Exchange Outlook Anywhere External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:36;Exchange FQDNs;Info;Getting Exchange Outlook Anywhere Internal FQDN;
09.11.2019 08:32:37;Exchange FQDNs;Info;Exchange Outlook Anywhere Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:37;Exchange FQDNs;Info;Getting Exchange OAB External FQDN;
09.11.2019 08:32:38;Exchange FQDNs;Info;Exchange OAB External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:38;Exchange FQDNs;Info;Getting Exchange OAB Internal FQDN;
09.11.2019 08:32:39;Exchange FQDNs;Info;Exchange OAB Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:39;Exchange FQDNs;Info;Getting Exchange EAS Internal FQDN;
09.11.2019 08:32:40;Exchange FQDNs;Info;Exchange EAS Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:40;Exchange FQDNs;Info;Getting Exchange EAS External FQDN;
09.11.2019 08:32:41;Exchange FQDNs;Info;Exchange EAS External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:41;Exchange FQDNs;Info;Getting Exchange EWS Internal FQDN;
09.11.2019 08:32:42;Exchange FQDNs;Info;Exchange EWS Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:42;Exchange FQDNs;Info;Getting Exchange EWS External FQDN;
09.11.2019 08:32:43;Exchange FQDNs;Info;Exchange EWS External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:43;Exchange FQDNs;Info;Getting Exchange ECP Internal FQDN;
09.11.2019 08:32:45;Exchange FQDNs;Info;Exchange EWS Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:45;Exchange FQDNs;Info;Getting Exchange ECP External FQDN;
09.11.2019 08:32:46;Exchange FQDNs;Info;Exchange ECP External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:46;Exchange FQDNs;Info;Getting Exchange OWA Internal FQDN;
09.11.2019 08:32:47;Exchange FQDNs;Info;Exchange OWA Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:47;Exchange FQDNs;Info;Getting Exchange OWA External FQDN;
09.11.2019 08:32:48;Exchange FQDNs;Info;Exchange OWA ExternalFQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:48;Exchange FQDNs;Info;Getting Exchange MAPI Internal FQDN;
09.11.2019 08:32:49;Exchange FQDNs;Info;Exchange MAPI Internal FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:49;Exchange FQDNs;Info;Getting Exchange MAPI External FQDN;
09.11.2019 08:32:50;Exchange FQDNs;Info;Exchange MAPI External FQDN mail.TEST-DOMAIN.de;
09.11.2019 08:32:50;Exchange FQDNs;Info;Make them unique;
09.11.2019 08:32:50;Exchange FQDNs;Info;FQDNs are unique;
Wo läuft denn hier noch was falsch?
Würde den ACME-Ordner ja löschen und neu erstellen, dann läuft aber dein Script nicht mehr durch, da LetsEncrypt ja auf ACME V2 umgestellt hat.
Servus,
kannst du einmal das komplette Log schicken?
Greetings,
Frank
Hi,
danke für das Log. Das Problem ist hier, dass Exchange für den Receive Connector nicht die komplette Zertifikatskette mitschickt, sondern nur das Zertifikat. Der IIS Webserver schickt die komplette Chain, daher ist die Installation des Zertifikats korrekt erfolgt. Prüf mal bitte ob das hier hilft:
https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/
Greetings,
Frank
War der Meinung, dass ich das schon gemacht hatte. Hab es noch einmal gemacht und siehe da: Funzt!!! Vielen Dank. Habe die Namen des Servers beim ersten mal aber nicht komplett groß geschrieben. Vlt. hat es daran gelegen? Wird das an der Stelle unterschieden?
Hi,
Groß- / Kleinschreibung spielt meiner Meinung nach keine Rolle. Ich will es aber auch nicht ganz ausschließen :-)
Greetings,
Frank