Hallo zusammen,
ich habe bei einem Kunden einen Exchange 2019 auf Windows Server 2019. Da dieser beim Update auf CU15 Theater gemacht hat und ich ja sowieso das OS upgraden muss habe ich mich entschlossen den Exchange auf Windows Server 2025 frisch zu installieren und dann zu migrieren. Soweit klappt das.
Das Besondere bei dem Kunden ist, dass dort mit Clientzertifikaten gearbeitet wird. Hierzu sind gemäß der entsprechenden Microsoft-Anleitung OWA, ECP und Activesync so eingestellt, dass sie ein Zertifikat für die Anmeldung abfragen.
Bei dem neuen Server habe ich das nun genauso eingestellt. Leider fragt der die Zertifikate beim entsprechenden Aufruf aber nicht ab, sondern gibt einen HTTP 500 Fehler zurück.
Jetzt habe ich entdeckt, dass es im IIS Manager unter Bindungen / HTTPS mehrere neue Haken gibt. Einer davon ist "Clientzertifikat aushandeln". Aktiviere ich den, kann man sich wie gewünscht per Zertifikat an OWA / ECP anmelden. Allerdings funktionieren die Outlook Clients dann nicht mehr, weil dadurch die Anmeldung per Clientzertifikat für alle virtuellen Verzeichnisse aktiviert wird statt nur für ECP, OWA und AS.
Da scheint wohl was geändert worden zu sein in der Art und Weise, wie der IIS mit Zertifikaten umgeht. Hat das schon mal einer von euch gehabt und kann mir einen Tipp geben?
Bei dem neuen Server habe ich das nun genauso eingestellt. Leider fragt der die Zertifikate beim entsprechenden Aufruf aber nicht ab, sondern gibt einen HTTP 500 Fehler zurück.
Also diese Anleitung?
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/configure-certificate-based-auth?view=exchserver-2019
Was ist denn unter dem /mapi Verzeichnis hinsichtlich SSL eingestellt?
Ja, genau diese Anleitung. Die anderen Verzeichnisse habe ich nicht angerührt. MAPI hat bei SSL Clientzertifikat ignorieren und bei Auth nur Windows-Auth
Ich geh mal davon aus, dass du /mapi verwendest und nicht mehr /rpc? Ggf. da auch noch mal probieren. Aber unabhängig davon hab ich aktuell niemanden der mit Cert-Auth am Exchange hantiert und schon unter Windows 2025 unterwegs ist. Kann also auch nix konkretes beisteuern. Aber evtl. finden sich hier ja noch andere Leute die das auch schon auf dem Schirm haben oder hatten.
Ja, MAPI. Aber die Outlook Clients sind ja auch nicht das Problem. Die normale Windows Authentifizierung greift mit dem Zertifikat ohne besondere Einstellungen. Eigentlich geht es darum, mobile Endgeräte anzubinden. Da sich die User nur noch über ein Zertifikat anmelden dürfen besitzen die auch kein Passwort mehr. (Bzw. haben im AD den Haken bei Benutzer muss Smartcard verwenden) Am Ende würde mir schon reichen, wenn ActiveSync nach einem Zertifikat fragt.
Ich wäre jedenfalls dankbar, wenn einer einen Tipp hat!
Ich habe es. Es lag daran, dass das Exchange Server Zertifikat nicht ordentlich von der Stammzertifizierungsstelle ausgestellt wurde. Nach einer neuen Anforderung hat es dann funktioniert.
dass das Exchange Server Zertifikat nicht ordentlich von der Stammzertifizierungsstelle ausgestellt wurde. Nach einer neuen Anforderung hat es dann funktioniert.
Und was heißt "nicht ordentlich ... ausgestellt"? Was ist denn bei einer neuen Anforderung anders gewesen?
Das Zertifikat unterlag nicht den Tomaten, die ich nach Stunden Arbeit auf den Augen hatte. Ich hatte nach der Installation aus Gewohnheit zunächst ein selbstsigniertes Zertifikat erstellt und per GPO verteilt. Einfach damit Clients, die sich zufällig mit dem neuen Server verbinden, keine Fehlermeldung bekommen. Der Exchange Server muss für die Clientzertifikatbasierte Authentifizierung natürlich auch das Zertifikat von der Zertifizierungsstelle verwenden und kein Selbstsigniertes, auch wenn das selbstsignierte Zertifikat im gesamten Netzwerk per GPO auf trusted steht.
Für alle mit ähnlichen Problemen:
Die Anleitung von Microsoft funktioniert prima. Wenn nicht, kann es an diesen beiden Punkten liegen:
- Im Active Directory werden per GPO Zertifikate verteilt, bei denen "Ausgestellt von" und "Ausgestellt für" nicht identisch sind. (Also Zertifikate, die keine CA- oder selbstsignierte Zertifikate sind)
- Der IIS verwendet kein Zertifikat von der Active Directory Zertifizierungsstelle, die auch die Client-Zertifikate erzeugt
Ich hatte nach der Installation aus Gewohnheit zunächst ein selbstsigniertes Zertifikat erstellt und per GPO verteilt.
Tjo, komische Gewohnheit. Danke für die Info. :)
