So funktioniert JustAnswer:
  • Fragen Sie einen Experten
    Tausende Experten in über 200 Kategorien.
  • Erhalten Sie eine professionelle Antwort
    Per E-Mail oder sofortiger Benachrichtigung, während Sie auf unserer Website warten. Stellen Sie ggf. weitere Anschlussfragen.
  • 100%ige Zufriedenheit garantiert
    Bewerten Sie die erhaltene Antwort.
Stellen Sie Ihre Frage an IT-Fachinformat...
IT-Fachinformatiker
IT-Fachinformatiker, Systemadministrator
Kategorie: Computer
Zufriedene Kunden: 6971
Erfahrung:  Software Entwicklung, Projekt Erfahrung, Windows-Netzwerke, Linux-Netzwerke, Windows/Linux-Server
32504664
Geben Sie Ihre Frage in der Kategorie Computer hier ein
IT-Fachinformatiker ist jetzt online.

Zertifikatsproblem mit selbstsignierten Zertifikaten am SBS2008

Kundenfrage

Zertifikatsproblem mit selbstsignierten Zertifikaten am SBS2008 und Outlook2010 als Client.
Es erscheint immer die Fehlermeldung, dass das Zertifikat nicht vertrauenswürdig ist, da der Name ungültig ist oder nicht mit der Webseite übereinstimmt. Selbst wenn man das Cert dann zu den vertrauenswürdigen hinzufügt, erscheint beim nächsten Outlookstart wieder diese Meldung.
Gepostet: vor 6 Jahren.
Kategorie: Computer
Experte:  IT-Fachinformatiker hat geantwortet vor 6 Jahren.
Hallo,

einen Moment ich suche die Infos raus.

LG Günter
Experte:  IT-Fachinformatiker hat geantwortet vor 6 Jahren.
Hallo,

also bei selbst signierten Zertifikaten ist es so, das diese nicht vertrauenswürdig sind und zwar deshalb, weil sie nicht durch eine dritte Instanz als vertrauenswürdig eingestuft werden dies hat übrigens nichts mit Microsoft zutun. Es werden sog. Zertifikatsprüfstellen abgefragt Ihr Zertifikat taucht dort jedoch nicht auf und ist automatisch unsicher, potentiell gefährlich und eben nicht vertrauenswürdig.

Das gleiche Problem erhalten Sie, wenn Sie ein Zertifikat für SSL und Apache selbst erstellen auch das geht nach hinten los! Sie haben aus meiner Sicht nur zwei Optionen:

1. Die Warnung abschalten (nicht empfehlenswert)
2. Das Zertifikat offiziell als vertrauenswürdig durch eine dritte Instanz setzen

Im Internet Explorer können Sie unter Extras > Internet-Optionen > Inhalte > Zertifikate die Zertifikate verwalten und weitere Einstelungen vornehmen. Damit Ihr Zertifikat permanent vertrauenswürdig werden kann, müssen Sie es durch eine dritte Stelle leiten und entsprechend signieren lassen Sie haben da überhaupt keine andere Wahl!

Microsoft "vertrauenswürdige Zertifikate" berücksichtgt nur solche, nicht selbst signierte diese sind grundsätzlich nicht vertrauenswürdig und werden es auch nicht sein, da diese zu Testzwecken gut sind nicht für den Produktiv Einsatzu dort müssen Sie in der Tat das ganze über eine dritte Stelle eine passende ZDA finden Sie hier.

http://www.bundesnetzagentur.de/DE/Sachgebiete/QES/Zertifizierungsdiensteanbieter/ZertifizierungsDiensteAnbietr_Basepage.html

Sie müssen also Geld ausgeben! Selbst signierte Zertifikate sind schlicht unsicher, nicht vertrauenswürdig und überhaupt nicht für den normalen Einsatz gedacht! Da wird auch Ihr Problem leigen!

Gruss Günter

http://www.datenschutz-praxis.de/fachwissen/fachartikel/prufen-sie-die-vertrauenswurdigkeit-von-zertifikaten/


Kunde: hat geantwortet vor 6 Jahren.
Hallo Günter!

Vielen Dank für Dein Feedback, jedoch stellt dies leider keine Problemlösung für meine Frage dar. Es ist klar, dass es Zertifizierungsstellen gibt, jdeoch ist dies mit laufenden (meist jährlichen) Kosten verbunden. Für eine Nutzung von SBS 2008 in Kombination mit Outlok Clients gibt es eben die selbstsignierten Zertifikate für die Active Directory Verwendung. Genau dort gibt es allerdings Probleme mit jenen Zertifikaten, die beim Setup des SBS2008 erstellt werden - diese beinhalten nicht alle Domains bzw. Rechnernamen die im weiteren Verlauf des Setups des Servers zur Verwendung kommen. Deswegen scheitert dann der Import.
Das Problem konnte ich mittlerweile beheben. Deine Anleitung bzw. Deine Hilfe stellt nur den generellen Sachverhalt dar - aber nicht für die Benatwortung meiner Frage dienlich - leider.
mfg
Gerfried
Experte:  IT-Fachinformatiker hat geantwortet vor 6 Jahren.
Hallo Gerfried,

das was ich Dir mitgeteilt habe ist Fakt daran kann man nicht rütteln und wenn man nicht bereit ist, das Zertifikat entsprechend durch eine Stelle offiziell signieren zu lassen d.h. auch Geld dafür auszugeben muss man damit leben. Selbsterzeugte Zertifikate können niemals und zwa runter gar keinen Umständen vertrauenswürdig werden d.h. Du musst entweder Dein Zertifikat durch eine ZDP signieren lassen oder mit dieser Meldung leben.

Defakto ist es so, das Outlook und auch Internet-Explorer eine ZDP abfragen d.h. in Deinem Fall wäre das Zertifikat vertrauensunwürdig da es bei der ZDP niemals "vorstellig" war.

Allerdings gibt es hier offenbar speziell eine Micorosoft Sicherheitslücke: Du hast es offenbar doch geschaft ein unsigniertes Zertifikat einzuschleusen und das mit ganz normalen Bordmitteln! Das Verfahren, was Du durchgeführt hast und das räume ich ein hat funktioniert, da einfach Dein Zertifikat schlicht als vertrauenswürdig angesehen wird. Allerdings wie ich bereits sagte ist dies aus meiner Sicht eine gigantische Lücke soetas ist auf anderen System überhaupt nicht realisierbar denn: Ein Angreifer könnte Dir ein falsches Zertifikat unterschieben.

Das Du nun schneller auf die Lösung gekomen ist als ich, ist auf jeden Fall okay denn wir als Experten können auch nicht alles wissen und ich habe primär auf die Verfahrensweise aufmerksam gemacht. Ich persönlich halte auch nichts von Servern, denen man mehr oder weniger alles mögliche unterschieben kann. Bei einem UNIX oder Linux Betriebssystem wärst Du damit nicht "durch gekommen" d.h. Microsoft schafft sich selbst Sicherheitslücken die mit wenig Aufwand ausznutzbar sind ein Grund, warum niemand meiner Kunden Windows-Server einsetzt einzige Ausnahme ist intern und abgetrennt vom Internet d.h. die Verbindung zum Internet erfolgt separat und mit entsprechenden Sicherheitseinrichtungen.

Ich möchte Dir den Spass an Windows SBS nicht verderben es gibt durchaus sehr gute Techniken im Windows Server z.B. ADS oder die enorm einfache Bedienung (auch wenn Microsoft das ADS sich von Novell dort war es NDS abgekupfert hat) aber ich sehe Windows Server allerhöchstens Haus intern mit deutlichen Restriktionen bzg. Internet-Verbindung die Angriffsläche eines Windows Systems ist leider nach wie vor um einiges höher als bei einem anderen System.

Du musst natürlich nichts bezahlen denn Du hast ja selbst die Lösung gefunden. Auf Deinen Wunsch hin können wir gern die Frage damit schließen.

LG Günter