Knowledgebase
MailStore Client / Outlook Add-In kann sich nicht mit dem MailStore Server verbinden. Fehlermeldung: Die Prüfung des SSL/TLS-Serverzertifikats ist fehlgeschlagen. Der Servername wurde per Gruppenrichtlinien festgelegt, jedoch ist die Zertifikatsprüfung...
Posted by Michael Pelzer on 9 Oct 2020 09:16

Problem:

MailStore Client / Outlook Add-In kann sich nicht mit dem MailStore Server verbinden. Fehlermeldung: Die Prüfung des SSL/TLS-Serverzertifikats ist fehlgeschlagen. Der Servername wurde per Gruppenrichtlinien festgelegt, jedoch ist die Zertifikatsprüfung fehlgeschlagen.

Ursache:

Wenn ein Administrator sich entschieden hat, per Gruppenrichtlinien einen Servernamen vorzugeben, sollte die Entscheidung über die Vertraulichkeit eines so festgelegten Servers nicht beim Endnutzer liegen. In solch einem Fall muss der Domänen-Administrator, ggf. ebenfalls per GPO, weitere notwendige Schritte zum Herstellen der Vertraulichkeit unternehmen. Der Aufwand ein ggf. selbst-signiertes Zertifikat als Vertrauenswürdige Stammzertifizierungsstelle zu verteilen, unterscheidet sich nicht von dem Whitelisten eines Zertifikat-Fingerabdrucks. Durch den Einsatz von selbst-signiertes Zertifikaten wird die Komplexität auf Entwicklungsseite deutlich reduziert und ist weniger fehleranfällig. Deshalb wurde in V13 die Möglichkeit entfernt, Zertifikat-Fingerabdrücke per MailStore-eigener Gruppenrichtlinie zu Whitelisten. 

Lösung:

Falls Sie im MailStore Server ein selbst-signiertes Zertifikat verwenden, welches weder von Let's Encrypt, noch von einer anderen vertrauenswürdigen Stammzertifizierungsstelle bezogen wurde, beachten Sie bitte folgendes:


Sobald Sie per Gruppenrichtlinie den Servernamen vorgeben, erwartet das MailStore Outlook Add-In und der MailStore Client, dass das vom MailStore Server verwendete Zertifikat gültig ist. Das heißt, das Serverzertifikat darf weder abgelaufen noch zurückgezogen sein, der Servername muss im Zertifikat hinterlegt sein, und das Zertifikat muss von einer vertrauenswürdigen Stammzertifizierungsstelle (ggf. auf eigene Interne Zertifizierungsstelle) ausgestellt worden sein.

Letzteres ist bei selbst-signierten Zertifikaten nicht der Fall. Sofern Sie keine Möglichkeiten zum Einsatz von Zertifikaten haben, welche durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden, können Sie in der MailStore Server Dienst-Konfiguration ein passendes selbst-signiertes Zertifikat erstellen, es in einer Datei speichern und dieses dann per Gruppenrichtlinie an die Clients als "Vertrauenswürdige Stammzertifizierungsstelle“ verteilen.
Achten Sie bei der Gruppenrichtlinie zur Verteilung von Anmeldeinformationen bitte in jedem Fall darauf, dass der angegebene Servername zum ausgestellten Namen im Zertifikat passt, also nicht ein abweichender Name oder gar die IP-Adresse eingetragen wurde.


Article-ID: KB20200818-0-DE (English Version)

(8 vote(s))
Helpful
Not helpful

Navigation
Remote Support

Please download our TeamViewer client in order to allow the MailStore support team a one-time only access to your system.

Premium Support

If your MailStore Server license includes Premium Support or you are using the MailStore Service Provider Edition, you are entitled to get in touch with our support team directly via phone.

Phone:

+49 2162 50299 0

USA:

+1 800 747 2915