BUG!! SSL Zertifikat Autodiscover

  • Hallo,


    wir haben vor kurzem auf unserem Testserver das Autodiscover eingerichtet. Am Anfang haben wir ein selbst signiertes Zertifikat verwendet. Nun wollten wir eines von GlobalSign verwenden. Haben es erfolgreich eingefügt, beim Aufruf der Subdomain wird auch alles korrekt angezeigt. Nutzen wir nun unser Mailprogramm warnt er immer noch vor dem Zertifikat, da dieser immer noch das alte selbst signierte anzeigt.


    Offensichtlich tauscht LC nicht alles richtig aus. Kann es ggf. daran liegen, dass globalsign immer die Domain mit und ohne www im Zertifikat hinterlegt?


    Verwendetes Mail Programm: Mail - MAC OS 10.8.4

  • Hallo, wir haben nochmal etwas geschaut, wir hatten vergessen das SSL Zert in den Servereinstellungen zu ändern. Nun haben wir das gemacht.
    Wir haben jedoch ein weiteres Problem, wir haben lt. Anleitung die Schtittebefolgt, aber statt: autodiscover.musterhost.com nun mailconfig.musterhost.com verwendet. Wenn wir nun diese "mailconfiig" - Adresse nehmen, sagt er er kann das Passwort nicht bekommen. Nutzen wir "mail." oder "autoconfig" bekommt er das Passwort, sagt dann aber ungültiges Zertifikat.


    Hinweis: Es tritt nur auf, wenn man versucht eine Mail einzurichten unter musterhost.com
    Kunden sind davon nicht betroffen. Sprich: Nur bei seinen eigenen Mails.
    2 CNAME Einträge sind auch bei musterhost.com angelegt worden.


    Kann jemand helfen?

  • Doch, da es mittels CNAME - Eintrag im DNS gelöst wird. Somit geht auch xxx.domain.tld da CNAME vorher die beiden Domains jeweils auf das xxx.domain.tld leitet. Nur wie gesagt ist die Frage wegen der Haupt - Domain. Da kommt es offenbar zu einem BUG dann.

  • Hallo,


    teilen Sie uns doch bitte mal die genaue Konfiguration (IN A-, IN CNAME-Einträge sowie Zertifikats-CN und SAN-Einträge) mit, dann können wir hier genaueres sagen.


    Grundsätzlich muss der Name im Zertifikat mit dem Namen, der abgefragt wird, übereinstimmen. Heißt also der Server mail.domain.tld muss das auch im Zertifikat stehen, bei IMAP und POP3 als CN, bei Autodiscover muss zusätzlich ZWINGEND autodiscover.domain.tld ebenfalls im Zertifikat stehen, im Zweifel auch als SAN-Eintrag. Eine Auflösung oder Umleitung mittels IN CNAME ist schön und gut, jedoch macht SSL kein DNS-Lookup und arbeitet dann mit dem Alias weiter sondern es wird ein 1:1-Abgleich zwischen Aufruf und CN- bzw. SAN-Werten im Zertifikat durchgeführt.


    Der Autodiscover-Name kann auch nicht geändert werden, mit etwas "Gebiege" kann man Autodiscover aber als Unterverzeichnis des Hauptnamens betreiben, es gibt dazu einen entsprechenden Technet-Artikel.


    Mit freundlichen Grüßen,
    Christian Heutger

  • Kurz vorher zum Verständnis: Zertifikats - CN ist der Aussteller oder welche Domains? Und was ist der SAN Eintrag?


    Zertifikats-CN ist eben der Wert "CommonName" des Zertifikats, also die "Hauptdomain" auf die das Zertifikat ausgestellt ist.
    "SAN Eintrag" ist der Wert "SubjectAlternativeName" des Zertifikates, falls das Zertifikat für mehr als eine Domain ausgestellt wurde.

  • Hallo,derzeit lautet der Eintrag
    Einträge
    CNAME: autoconfig und autodiscover CNAME mailconfig.domain1.tld
    MX: leerer Wert MX server.domain1.tld
    A: mail A IP des Servers


    Der Server nennt sich server.domain1.tld


    In CN: http://www.mailconfig.domain1.tld und SAN mailconfig.domain1.tld


    Sollte das Zertifikat nur für mailconfig.domain1.tld sein ? Theoretisch spielt das ja keine Rolle oder?


    domain1.tld stellt ein Bsp dar.

  • Also ich nehme dann an


    autoconfig IN CNAME mailconfig.domain1.tld
    . IN CNAME server.domain1.tld
    mail IN A 1.2.3.4


    autoonfig ist mir unklar, wozu das gut ist


    Ok, also das Zertifikat schert der IN CNAME nicht, es interessiert nicht, dass das nur ein Alias für mailconfig.domain1.tld ist, es wird Zeichen für Zeichen auf autodiscover pochen


    Der CN sollte so lauten, wie der Server auch heißt, denn das ist das, was Autodiscover liefert. Heißt der Server mailconfig? Ansonsten gehört das maximal in ein SAN (alternativer Domainname im Zertifikat), da IMAP und POP3 sich daran stören, www ist an sich nicht schlau als CN, da so der Server sicher nicht angesprochen wird.


    Eine übliche Konfiguration (die funktioniert) wäre:


    servername IN CNAME oder IN A irgendwas
    autodiscover IN CNAME oder IN A irgendwas
    mail IN CNAME oder in A irgendwas
    owa IN CNAME oder IN A irgendwas


    mailconfig IN CNAME autodiscover (oder umgekehrt, das ist egal, wozu auch immer mailconfig)


    . IN MX 10 mail oder ähnliches1


    Das Zertifikat dann


    CN servername.domain.tld
    SANs autodiscover.domain.tld, mail.domain.tld, owa.domain.tld, von mir aus auch mailconfig.domain.tld noch dazu


    Mit freundlichen Grüßen,
    Christian Heutger

  • Der Server lautet: server.domain1.tld .
    Wenn man nun die Anleitung KB #13 betrachtet ließt man folgendes:

    Zitat

    Die Verwendung dieser Protokolle erfordert leider einige manuelle Einstellungen, welche im Folgenden beschrieben werden:


    Sie benötigen eine Subdomain, auf welcher die Autokonfigurations-Anfragen bearbeitet werden können - z.B. autodiscover.musterhost.com. Richten Sie in LiveConfig (z.B. als admin unter Mein Hosting) auf irgend einem Webserver einen Hosting-Vertrag mit dieser Subdomain ein. Dieser Vertrag benötigt lediglich ein MB Webspace, ansonsten nichts (kein PHP, kein CGI, etc.).


    Richten Sie außerdem ein SSL-Zertifikat für diese Subdomain ein, so dass ein Zugriff via HTTPS möglich ist. Achten Sie darauf, dass das Zertifikat von einer offiziellen Zertifizierungsstelle (CA) ausgegeben wurde, da es ansonsten während der Autokonfiguration zu irritierenden Warnmeldungen kommt.


    Der Satz: "SSL-Zertifikat für diese Subdomain ein" --> sagt mir Schütze per SSL deine Muster - Sudomain im speziellen Fall mailconfig.domain1.tld --> Das haben wir ja eigentlich getan.


    Der Server selbst nennt sich wie erwähnt: server.domain1.tld. Für diesen wurde ebenfalls per LC ein Zertifikat hinterlegt. (lt. KB Anleitung wie man den Server per SSL schützt)


    Deshalb stellt sich mir nun die Frage, wie nun das SSL Zertifikat genau sein muss, damit kein Fehler mehr kommt.


    Der CNAME: autoonfig war falsch es sollte igentlich autoconfig und autodiscover werden. ;)


    Wozu soll der Eintrag sein: . IN MX 10 mail oder ähnliches1


  • Autodiscover muss mindestens als SAN auftauchen, server sollte als CN auftauchen, mailconfig, wenn verwendet, sollte ebenfalls als SAN auftauchen.


    Wozu soll der Eintrag sein: . IN MX 10 mail oder ähnliches1


    . ist was Sie mit leer bezeichnen

  • Hallo, OK. Habe aber den Test bei Outlook auf der Internetseite gemacht und das liefert immer ein Erfolg aus. Trotzdem haut es in dem einen Mailprogramm nicht hin.


    P.s. Soll ich dann qusi noch ein Zertifikat mit CN -> server.domain1.tld.de machen? Obwohl es einmal schon als SSL drin liegt?


    Aber das wird das Problemnicht beheben.

  • Hallo, OK. Habe aber den Test bei Outlook auf der Internetseite gemacht und das liefert immer ein Erfolg aus. Trotzdem haut es in dem einen Mailprogramm nicht hin.


    P.s. Soll ich dann qusi noch ein Zertifikat mit CN -> server.domain1.tld.de machen? Obwohl es einmal schon als SSL drin liegt?


    Aber das wird das Problemnicht beheben.


    Oh, dass hier Apple Mail verwandt wird, habe ich glatt überlesen. Also man sollte eigentlich ein UCC mit den SANs owa, mail und autodiscover nehmen, dann ist man auf der sicheren Seite. Wenn jedoch etwas anderes verwandt wird, ist es um so wichtiger, dass der IMAP-/POP3-Name mit dem Hauptnamen im Zertifikat matcht. Optimalerweise als ein einziges UCC-Zertifikat.

  • OK. Bei Apple Mail ist das alles i.O. treten die Probleme auch bei Outlook auf und wenn Outlook sich zum Server verbinden will, gibt es eben diesen Fehler, dass es meckert wenn das Zertifikat genommen werden soll. Meist tritt das auf, wenn Outlook E-Mails senden will über die Pop3/SMTP Konfiguration.


    Dann kommt: "Der Zielprinzipname ist falsch."
    Und wenn man auf Zertifikat anzeigen klickt sieht man unter Zertifikatsinformationen: "Keine der beabsichtigten Zwecke dieses Zertifikats konnten bestätigt werden"


    Ausgestellt für http://www.mailconfig.domain1.tld
    Ausgestellt durch GlobalSign Domain Validation CA-G2


    Also wie gesagt, wir wissen nicht warum es der Server uns so schwer machen will.


  • Wie ich sagte, Zielprinzipname ist falsch besagt genau das: Servername passt nicht zu Zertifikatsnamen.

  • Für Outlook empfiehlt sich zusätzlich ein SRV Eintrag im DNS zu setzten was dann z.B. folgendermaßen aussieht:

    Code
    _autodiscover._tcp.domain.de. 14400 IN SRV  0 0 443 autodiscover.domain.de.


    Outlook bevorzugt dann den SRV Record und wertet das Zertifikat auf der Zieldomain richtig aus. Funktioniert bei mir eigentlich ohne Probleme. Funktioniert meines Wissens aber erst ab Outlook 2007.


    (Beschrieben unter http://support.microsoft.com/kb/940881/en-us )


    Grüße
    Björn

  • Muss dieser Eintrag bei jedem Kunden gesetzt werden oder nur wieder bei der Domain wo der Server lieht?
    und genau den Eintrag: _autodiscover._tcp.domain.de. = Oder muss der mit was genau ersetzt werden? Bei Domain weiss ich was, aber bei dem Rest?

  • Im Prinzip muss das genau so wie es da steht ins Zonenfile und das bei jeder Domain welche mit dem autodiscover arbeiten soll.
    Wenn du also die Domain x123.de hast und autodiscover liegt auf der Domain xabc.de lautet der Eintrag:


    Code
    _autodiscover._tcp.x123.de. 14400 IN SRV  0 0 443 autodiscover.xabc.de.


    Die 14400 ist hierbei die TTL und 443 steht hier nur für den Port 443 also SSL


    Grüße
    Björn

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!