Selbstsignierte Zertifikate ohne Hostnamen und Windows 7/8

Hallo Leutz,

bei einem Kunden hatte ich heute ein interessantes, reproduzierbares Problem mit selbstsignierten Zertifikaten ohne Hostname mit lediglich dem Domaenennamen als Aufruf. Ich sollte bei einem Kunden einen ISA Server 2006 troubleshooten wo seit ueber einem Jahr Outlook Anywhere nicht mehr funktioniert. Der Kunde nutzt Exchange Active Sync so dass das Outlook Anywhere Problem nicht so relevant war.
Nachdem ich als erstes auf dem ISA Server die Konfiguration geprueft hatte und der Exchange Umgebung einen Health Check unterzogen hatte und keinen Fehler feststellen konnte schauten wir uns den Client an und der bekam den klassischen Mehrfach Prompt zur Kennworteingabe.
Wir prueften also als erstes das Zertifikat auf dem ISA Server. Das Zertifikat ist selbst signiert und ausgestellt lediglich auf einen Domaenennamen und nicht klassisch auf einen FQDN!. Erst mal ja kein Problem, da das self signed Zertifikat schon seit 2 Jahren im ISA Zertifikatspeicher liegt und Outlook Anywhere ja mal funktioniert hat. Der Client hatte das Zertifikat im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers. Also alles prima – dachte ich 🙁
Wenn man die durch ISA Server veroeffentlichte Webseite im Browser aufruft kommt aber die Meldung, dass das Zertifikat nicht zu einer vertrauenswuerdigen Zertifizierungsstelle verifiziert werden kann. Wenn man im Zertifikatspeicher das Zertifikat auswaehlt ist der Trust aber validiert. Die Clients waren alle Windows 7 / 8 und auch mein Windows Server 2012 Notebook brachte die gleiche Fehlermeldung. Als Gegentest hatte ich dann die Idee Outlook Anywhere auf einem Windows XP Client zu testen und siehe da, kein Exchange und ISA Problem, Outlook Anywhere funktioniert einwandfrei!
Zusammenfassend das reproduzierbare Ergebnis:
Windows 7 / 8 / Server 2012:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Untrusted
Selbstsigniertes Zertifikat mit FQDN – Trusted
Windows XP:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Trusted
Selbstsigniertes Zertifikat mit FQDN – Trusted

Microsoft scheint also das Verhalten der Cryto API oder aktuellen IE Versionen geaendert zu haben, dass self signed Zertifikate mit nur einem Domaenennamen ohne FQDN nicht mehr als Trusted erkannt werden (was sicherlich auch kein alltaegliches Szenario ist) auch wenn sich das Zertifikat im korrekten Zertifikatspeicher befindet. Bei den gaengigen Suchmaschinen im Internet konnte ich noch nichts finden wie man das Problem loesen kann. Mein Kunde erstellt jetzt einen

MCSE + MCSA – Done

Hallo Leutz,

vor einigen Tagen kam endlich das letzte Ergebnis von Prometric, dass ich die letze der 12 MC* Pruefungen der letzten knapp 7 Monate bestanden habe:

Prometric

Mit den Pruefungen kamen einige neue Titel :-):
– Microsoft Certified Solutions Associate (MCSA) Windows 2008
– Microsoft Certified Solutions Associate (MCSA) Windows 7
– Microsoft Certified Solutions Associate (MCSA) Windows Server 2012 – Charter Member
– Microsoft Certified Solutions Associate (MCSA) Windows 8 – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Private Cloud – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Messaging – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Server Infrastructure – Charter Member
– Microsoft Certified Technology Specialist (MCTS) System Center 2012 Operations Manager, Configuration
– Microsoft Certified Technology Specialist (MCTS) System Center 2012 Configuration Manager, Configuration

Eine komplette Uebersicht ueber alle meine MS Pruefungen gibts hier http://www.it-training-grote.de/download/transcript.pdf  und hier die Ergebnisse: http://www.it-training-grote.de/download/mcp-testergebnisse.pdf
Alle Zertifizierungen / Ausbildungen: http://www.it-training-grote.de/person.php

Gruss Marc