29.02.2008, 14:28
|
|||
|
|||
Sicherheitsfehler im Mailclient
Hallo zusammen,
ich erhalte bei jedem Neustart des Emailclients diese Meldung: Sicherheitsfehler: Domainnamen stimmen nicht überein Sie haben versucht eine Verbindung mit "IPADRESSE" aufzubauen. Allerdings gehört das "vorgezeigte" Sicherheitszertifikat "servername.net", usw... Was kann man tun, damit diese Fehlermeldungen nicht mehr erscheinen? Für den Thunderbird gibt es eine Art "Blocker", aber das ist keine saubere Lösung. Der X.509 Key ist auf den Hostnamen des Servers ausgestellt, mit Domainerweiterung. Dieser Name ist am internen DNS-Server eingetragen, ebenso in den Mailclients für den Emailserver. Vergleicht der Mailclient nun Äpfel mit Birnen? Eine IP-Adresse mit einem im Zertifikat angegebenen Hostnamen? Die Meldung tritt unabhängig vom Clientprogramm auf, Thunderbird und Outlook. Vielen Dank! 
|
|
03.03.2008, 08:48
|
|||
|
|||
|
Hm, ich habe bisher leider keine Möglichkeit gefunden, diese Meldung abzuschalten. Ich habe versucht die SSL-Verschlüsselung auf Passwort oder keine umzuschalten, leider kann man sich dann nicht mehr vom Emailclient aus mit dem Intranator verbinden.
|
|
03.03.2008, 09:53
|
|||
|
|||
|
Hallo,
der im Emailclient hinterlegte Servername muss exakt zum /CN= Feld des Zertifikats passen. Wenn Sie z.B. im Mailprogramm immer die IP-Adresse des Intranators eingestellt haben, so muss auch im Zertifikat die IP-Adresse stehen. Herzliche Grüsse, Thomas Jarosch
|
|
03.03.2008, 10:30
|
|||
|
|||
|
Hallo Herr Jarosch,
ich habe ein weiteres Zertifikat mit der CN=[IP-Adresse] erstellt und dieses im Intranator eingebunden. Der Client lässt sich davon nicht beeindrucken, er sagt: "... Verbindung mit [IP-Adresse] aufzubauen... ... das Sicehrheitszertifikat gehört [Servername.net.local]..."
|
|
03.03.2008, 10:32
|
|||
|
|||
|
Zitat:
Herzliche Grüsse, Thomas Jarosch
|
|
03.03.2008, 10:37
|
|||
|
|||
|
Ja, das habe ich dort eingebunden. Der Name des Zertifikats sollte dabei keine Rolle spielen, richtig?
|
|
03.03.2008, 11:59
|
|||
|
|||
|
Hallo,
der Name im Intranator spielt keine Rolle, wichtig ist das "/CN=" Feld auf dem Reiter "Daten" bei "System > Schlüssel > Eigene Schlüssel". Was ist denn dort eingetragen? Herzliche Grüsse, Thomas Jarosch
|
|
03.03.2008, 12:08
|
|||
|
|||
|
Hallo,
so, die Fehlermeldung erscheint nicht mehr, ein hausgemachtes Problem mit dem DNS-Server und der Domain... Nach Behebung dessen und i.V. mit Ihrem Vorschlag zur Änderung des Hostnames des Servers auf dessen IP im Zertifikat... Bei der Prüfung der Konfiguration erscheint zwar nun Der Rechnername (CN) ist nicht gleich dem Intranator Namen aber das kann man vernachlässigen. Vielen Dank!
|
|
19.03.2008, 08:36
|
|||
|
|||
|
Guten Morgen zusammen,
ich muss dieses Thema nochmal hervorkramen... ;-) Das Problem ist auf allen Rechnern gelöst, alleine der einzige genutzte Outlook 2002-Client macht bei jedem Abrufen/Versenden Probleme... "Intenretsicherheitshinweis Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte. Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Möchten Sie diesen Server weiterhin verwenden?" Da der Intranator nicht in der lokalen Domäne hängt, ist bei den Clients als POP3/SMTP-Server eine IP gespeichert. Die DNS-Auflösung machte Schwierigkeiten mit dem Domänensuffix. Daraufhin haben wir den Server aus dem DNS entfernt, einen Schlüssel mit dem Namen des Servers im CN erstellt und bei den Clients die IP eingetragen. Dies lief auf allen Clients bisher fehlerfrei - bis eben auf diesen einen Outlook 2002. Selbst bei den Outlook 2000-Clients läuft es fehlerfrei. Ein Downgrade ist leider nicht möglich. Ich habe bereits versucht ein Zertifikat im IE des 2002-Clients einzusetzen, dies brachte allerdings keine Lösung. Ist es eigentlich entscheidend, in welcher Kategorie das Zertifikat liegt? Eine alternative Lösung, die ich zwischenzeitlich schonmal kurz getestet habe, wäre ein Zertifikat mit der IP des Servers im CN zu erstellen - dann meckert die Diagnose des Intranators. Habe ich etwas übersehen? Vielen Dank!
|
|
19.03.2008, 18:14
|
|||
|
|||
|
Hallo,
Zitat:
Das ein Client (Outlook 2002) meckert, wenn der Servername (in diesem Fall eine IP-Adresse) nicht zum /CN= Feld des Zertifikats passt ist richtig und sollte auch so sein. Mich wundert das es in Outlook 2000 oder 2003 funktionert  Herzliche Grüsse, Thomas Jarosch
|
|
20.03.2008, 07:51
|
|||
|
|||
|
Hallo Herr Jarosch,
ja, das wundert mich in der Tat auch.  Ich werde mal noch über einen host-Eintrag auf dem 2002-Client versuchen, diese Fehlermeldung zu deaktivieren - vermute aber, dass das keine Wirkung zeigen wird. - Alternativ bliebe dann nur, mit dem CN=IP zu leben, wobei das kein sauberes Handwerk ist.  Vielen Dank!
|
 |
| Themen-Optionen | |
| Ansicht | Thema bewerten |
|
|
Linear-Darstellung
