[Postfixbuch-users] Postfix mit selbstsigniertem TLS-Zertifikat und Exchange 2007
Christian Felsing
hostmaster at taunusstein.net
Do Aug 20 20:36:23 CEST 2009
Hallo Frank,
wenn Exchange die gleiche CA Implementierung wie Windows Server 2003
hat, dann kann ich evtl. helfen. Bei W2k3 ist das jedenfalls so, dass
die im Zertifikat angegebenen URLs, insbesondere für die CRLs geprüft
werden. Das bedeutet, dass die W2K3 CA versucht, sich über die URL eine
CRL zu ziehen. Das muss funktionieren, ansonsten weigert sich der CA
Dienst zu starten.
Nachdem das gefixt war, hat die Windows CA die mit OpenSSL erstellte CA
akzeptiert.
Die Implementierung sah also wie folgt aus:
1. Root CA mit OpenSSL erstellt, CRL erstellt und exportiert (war
erstmal leer)
2. CRL auf Webserver kopiert, dessen URL aus Sicht von Windows auch
funktioniert. http://my.ca.local/ca.crl ist im Zertifikat alsC CRL URL
angegeben und Windows hatte Zugriff darauf. Das mit IE gleich getestet.
3. Von OpenSSL signiertes CA Zertifikat importiert
4. Windows CA gestartet
Im Logfile vom CRL Webserver fand sich im Log dann auch tatsächlich ein
Zugriff vom Windows Server.
Die CERT Hierarchie sieht wie folgt aus:
My Root CA (mit OpenSSL erstellt)
!
+-- Windows CA (W2K3 Server für Windows Welt)
!
+-- Lotus Notes CA (für Lotus Notes Anwendungen)
!
+-- Misc CA (auf OpenSSL Basis, auch für Postfix zuständig)
Die Lösung funktioniert bisher einwandfrei
Grüße
Christian
Frank Fiene schrieb:
> Microsoft Exchange couldn't find a certificate that contains the domain
> name mail.domain.de in the personal store on the local computer.
Mehr Informationen über die Mailingliste Postfixbuch-users