Problem mit Zwische...
 
Benachrichtigungen
Alles löschen

Problem mit Zwischenzertifikat

5 Beiträge
2 Benutzer
0 Reactions
1,016 Ansichten
(@reinhard)
Active Member
Beigetreten: Vor 3 Jahren
Beiträge: 11
Themenstarter  

Hallo, 

ich habe ein Zertifikat bestellt, erhalten und installiert von der PSW-Group (GeoTrust Bronze Multidomain (QuickSSL Premium).

Es funktioniert auch mit Outlook allerdings bekomme ich bei https://www.checktls.com/ die  Fehlermeldung

"unable to get local issuer certificate" die wohl auf das intermediate Zertifikat hinweist.

Trotz Installation vom intermediate.crt mit mmc bekomme ich immer wieder bei checktls die gleiche Fehlermeldung.

Hat jemand eine Idee warum das passiert?


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Zeigt er denn beim Check das korrekte Zertifikat an? Gehts hier um https oder um SMTP?


   
AntwortZitat

(@reinhard)
Active Member
Beigetreten: Vor 3 Jahren
Beiträge: 11
Themenstarter  

@norbertfe Hier ein Teil des Checks:

 

seconds   test stage and result
[000.000]  

CheckTLS ConfidenceFactor for "carcompanyhamburg.de": 104 of 106 (98%, 124 max)

 

Trying TLS on remote.carcompanyhamburg.de[90.187.187.85:25] (10)

[000.107]   Server answered
[000.205] <‑‑ 220 remote.carcompanyhamburg.de Microsoft ESMTP MAIL Service ready
[000.206]   We are allowed to connect
[000.206] ‑‑> EHLO www12-azure.checktls.com
[000.302] <‑‑ 250-SRV-EX02.cch.local Hello [40.76.159.115]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-SMTPUTF8
250 XRDST
[000.303]   We can use this server
[000.303]   TLS is an option on this server
[000.303] ‑‑> STARTTLS
[000.400] <‑‑ 220 2.0.0 SMTP server ready
[000.400]   STARTTLS command works on this server
[000.614]   Connection converted to SSL
    SSLVersion in use: TLSv1_2
    Cipher in use: ECDHE-RSA-AES256-GCM-SHA384
    Perfect Forward Secrecy: yes
    Session Algorithm in use: Curve P-384 DHE(384 bits)
    Certificate #1 of 1 (sent by MX):
    Cert VALIDATION ERROR(S): unable to get local issuer certificate
    This may help: What Is An Intermediate Certificate
    So email is encrypted but the recipient domain is not verified
    Cert Hostname VERIFIED (remote.carcompanyhamburg.de = remote.carcompanyhamburg.de | DNS:remote.carcompanyhamburg.de | DNS:AutoDiscover.cch.local | DNS:AutoDiscover.carcompanyhamburg.de | DNS:AutoDiscover.germancarservice.de | DNS:AutoDiscover.mail.carcompanyhamburg.de | DNS:cch.local | DNS:carcompanyhamburg.de | DNS:germancarservice.de | DNS:mail.carcompanyhamburg.de | DNS:srv-ex02 | DNS:srv-ex02.cch.local)
   
Not Valid Before: May 17 20:07:08 2021 GMT
   
Not Valid After: May 17 20:07:08 2026 GMT
    subject: /C=DE/ST=Hamburg/L=Hamburg/O=Car Company Hamburg/OU=Service/CN=remote.carcompanyhamburg.de
    issuer: /C=DE/ST=Hamburg/L=Hamburg/O=Car Company Hamburg/OU=Service/CN=remote.carcompanyhamburg.de
[000.618] ~~> EHLO www12-azure.checktls.com
[000.716] <~~ 250-SRV-EX02.cch.local Hello [40.76.159.115]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-AUTH NTLM LOGIN
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-SMTPUTF8
250 XRDST
[000.716]   TLS successfully started on this server
[000.716] ~~> MAIL FROM:<test@checktls.com>
[000.814] <~~ 250 2.1.0 Sender OK
[000.815]   Sender is OK
[000.815] ~~> QUIT
Diese r Beitrag wurde geändert Vor 2 Jahren von Reinhard

   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1554
 

Naja eigentlich steht ja da, was ihm nicht gefällt. Dein Exchange meldet sich mit dem self signed certificate.

Cert Hostname VERIFIED (remote.carcompanyhamburg.de = remote.carcompanyhamburg.de | DNS:remote.carcompanyhamburg.de | DNS:AutoDiscover.cch.local | DNS:AutoDiscover.carcompanyhamburg.de | DNS:AutoDiscover.germancarservice.de | DNS:AutoDiscover.mail.carcompanyhamburg.de | DNS:cch.local | DNS:carcompanyhamburg.de | DNS:germancarservice.de | DNS:mail.carcompanyhamburg.de | DNS:srv-ex02 | DNS:srv-ex02.cch.local)

Du musst also dafür sorgen, dass "entweder" dein internes Zertifikat den Namen nicht mehr anbietet (vermutlich das einfachste), oder du bindest das gekaufte Zertifikat an den internetseitigen Empfangsconnector. Dann wird dort _nur_ dieses Zertifikat verwendet und nicht ein/alle die den passenden Namen haben.

Insgesamt würde ich vermutlich die ganzen ehemaligen SBS Namen (so siehts zumindest aus) langsam mal loswerden wollen. ;)

Bei Fragen gib Bescheid

Norbert


   
AntwortZitat

(@reinhard)
Active Member
Beigetreten: Vor 3 Jahren
Beiträge: 11
Themenstarter  

Danke erstmal ich werde es ausprobieren.

1. Ein Problem mag sein, das es auch die webseite carcompanyhamburg.de gibt mit separatem Zertifikat

die ich aber nicht verwalte

Dahinter steckt auch germancarservice.de

 

2. wie kommen Sie auf SBS-Namen, durch erweiterte Scans ala Kali-Linux um aufs AD zu kommen?

 


   
AntwortZitat
Teilen: