Problem:
MailStore Client / Outlook Add-In kann sich nicht mit dem MailStore Server verbinden. Fehlermeldung: Die Prüfung des SSL/TLS-Serverzertifikats ist fehlgeschlagen. Der Servername wurde per Gruppenrichtlinien festgelegt, jedoch ist die Zertifikatsprüfung fehlgeschlagen.
Ursache:
Wenn ein Administrator sich entschieden hat, per Gruppenrichtlinien einen Servernamen vorzugeben, sollte die Entscheidung über die Vertraulichkeit eines so festgelegten Servers nicht beim Endnutzer liegen. In solch einem Fall muss der Domänen-Administrator, ggf. ebenfalls per GPO, weitere notwendige Schritte zum Herstellen der Vertraulichkeit unternehmen. Der Aufwand ein ggf. selbst-signiertes Zertifikat als Vertrauenswürdige Stammzertifizierungsstelle zu verteilen, unterscheidet sich nicht von dem Whitelisten eines Zertifikat-Fingerabdrucks. Durch den Einsatz von selbst-signiertes Zertifikaten wird die Komplexität auf Entwicklungsseite deutlich reduziert und ist weniger fehleranfällig. Deshalb wurde in V13 die Möglichkeit entfernt, Zertifikat-Fingerabdrücke per MailStore-eigener Gruppenrichtlinie zu Whitelisten.
Lösung:
Falls Sie im MailStore Server ein selbst-signiertes Zertifikat verwenden, welches weder von Let's Encrypt, noch von einer anderen vertrauenswürdigen Stammzertifizierungsstelle bezogen wurde, beachten Sie bitte folgendes:
Sobald Sie per Gruppenrichtlinie den Servernamen vorgeben, erwartet das MailStore Outlook Add-In und der MailStore Client, dass das vom MailStore Server verwendete Zertifikat gültig ist. Das heißt, das Serverzertifikat darf weder abgelaufen noch zurückgezogen sein, der Servername muss im Zertifikat hinterlegt sein, und das Zertifikat muss von einer vertrauenswürdigen Stammzertifizierungsstelle (ggf. auf eigene Interne Zertifizierungsstelle) ausgestellt worden sein.
Letzteres ist bei selbst-signierten Zertifikaten nicht der Fall. Sofern Sie keine Möglichkeiten zum Einsatz von Zertifikaten haben, welche durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt wurden, können Sie in der MailStore Server Dienst-Konfiguration ein passendes selbst-signiertes Zertifikat erstellen, es in einer Datei speichern und dieses dann per Gruppenrichtlinie an die Clients als "Vertrauenswürdige Stammzertifizierungsstelle“ verteilen. Achten Sie bei der Gruppenrichtlinie zur Verteilung von Anmeldeinformationen bitte in jedem Fall darauf, dass der angegebene Servername zum ausgestellten Namen im Zertifikat passt, also nicht ein abweichender Name oder gar die IP-Adresse eingetragen wurde.
Article-ID: KB20200818-0-DE (English Version)
|