• General

  • Problem mit dem Zertifikat bei Autodiscover in Outlook

Ich habe folgendes Problem: Ich habe meine Grommunio-Installation mit domain1.de eingerichtet und eine Organisation mit domain2.de angelegt. Alles funktioniert einwandfrei, bis auf Autodiscover mit Outlook.

Ich habe beide DNS-Records für Autodiscover als CNAME und SRV eingerichtet. Mein CNAME-Record sieht folgendermaßen aus:

autodiscover.domain2.de IN CNAME domain1.de

(domain1.de zeigt auf meinen Grommunio-Server.)

Auf dem Server ist nur ein Wildcard-SSL-Zertifikat für domain1.de eingerichtet. Jedes Mal, wenn ich ein E-Mail-Konto in Outlook einrichten möchte, tritt ein Zertifikatsfehler auf. Outlook meldet, dass das Zertifikat domain1.de enthält und nicht autodiscover.domain2.de.

Meine Frage: Benötige ich für jede Domain ein eigenes SSL-Zertifikat, damit Autodiscover sauber funktioniert, oder gibt es einen anderen richtigen Weg?

Danke im Voraus.

  • Andy replied to this.

    kcizmesija für jede Domain ein eigenes SSL-Zertifikat

    Das ist erforderlich, da das Zertifikat eindeutig ist. Du kannst mal versuchen, ein Wildcard-Zertifikat mit dem Muster *.domain*.de einzurichten, dann könnte unter Umständen auch sowas funktionieren. Wenn Du aber sicher gehen willst, richtest Du die Zertifikate separat ein.

      Also ich würde empfehlen einen generellen Hostnamen zu verwenden der nicht "kundengebunden" ist.
      Also sowas wie "grom1.deinefirma.tld" und gar nicht mit autodiscover via CNAME rumzumachen.
      Wenn du die DNS-SRV Einträge nutzt kannst du das ganz einfach abfrühstücken.

      Also dann wäre das für kunde1 z.B. so (.kunde1.tld kann man weg lassen wenn die ORIGIN schon "kunde1.tld" ist)
      _autodiscover._tcp.kunde1.tld IN SRV 0 1 443 grom1.deinefirma.tld.

      Siehe auch; https://community.grommunio.com/d/444-scripting-snippets-notepad/16
      Und wenn du die Clients verwaltest kannst du auch GPOs setzen die ausschliesslich den SRV-Eintrag berücksichtigen und nicht den reslichen autodiscover-mist machen.
      Siehe https://community.grommunio.com/d/444-scripting-snippets-notepad/26
      und https://docs.grommunio.com/man/autodiscover.7.html

      6 days later

      Danke für die Antwort. Also, die Lösung von @crpb funktioniert für die Outlook-Clients, aber ich habe immer noch Probleme mit iOS-Geräten.

      Ich habe überlegt, wie es aussehen würde, wenn ich für jede Domain ein Let's Encrypt-Zertifikat erstellen würde. Gibt es bereits Erfahrungen mit Multidomain-Setups?

      Nur kurz zur Info: Mein Server läuft über die Firmendomain und hat ein eigenes Wildcard-Zertifikat.

        kcizmesija wenn ich für jede Domain ein Let's Encrypt-Zertifikat erstellen würde

        Man benötigt ein Zertifikat in dem alle Domänen enthalten sind.

        certbot certonly -n --standalone --agree-tos --preferred-challenges http --cert-name="mail.domain1.at" \
  -d mail.domain1.at -d autodiscover.domain1.at \
  -d autodiscover.domain2.at \
  -d autodiscover.domain3.at \
  --pre-hook "service nginx stop" --deploy-hook /usr/share/grommunio-setup/grommunio-certbot-renew-hook --post-hook "service nginx start"

        Zumindest funktioniert das bei uns.

          5 days later

          kcizmesija

          Ich würde einen anderen webserver nehmen, die autodiscover domains da drauf klatschen und einfache redirects auf den richtigen hostnamen einrichten wenn ich das oxdiscover ding noch richtig in erinnerung habe.

            Danke für eure Antworten.
            Jetzt, wenn ich es mir überlege, könnte ich eigentlich einfach den Nginx Proxy Manager nehmen und damit alle Autodiscover-Domains abdecken.
            Dort kann ich für jede Domain einfach ein Let's Encrypt-Zertifikat erstellen und eine Weiterleitung an Grommunio einrichten.
            Wäre das eine Möglichkeit?

            4 days later

            yep geht easy
            bzw naja ned ganz so einfach, komm auf deine landschaft drauf an.
            wenn dein mta im internet steht ja
            wenn der lokal steht musst die certs in der gegend rum kopieren wegen lokaler und externer auflösung zum autodiscover

            im grunde haste aber recht ja

            © 2020-2024 grommunio GmbH. All rights reserved. | https://grommunio.com | Data Protection | Legal notice