Zertifikat Outlook 2010

[mboh]

Hallo,
Seit einiger Zeit habe ich auf Office 2010 umgestellt und nun das Problem dass ich für meinen über IMAP SSL eingebunden Mailserver jedes mal nach dem Start das Zertifikat bestätigen muss.
Wenn ich mir das Zertifikat ansehe, dann lautet es auf Synology.de oder so.
Laut Outlook Hilfe kommt diese Fehlermeldung da es bei Abweichung der Zertifikatsadresse zur Mailserveradresse zu dieser Meldung kommt.
(Demnach müsste ich das Zertifikat auf meine DynDNS Mailserveradresse abändern!?)
Wie könnte man so was machen oder gibt es für dieses Problem alternativen?

Danke für die Info.

 

[jahlives]

Du findest sicher was hier im Forum wie man Zertifikate manuell erstellen kann Musst nur suchen ;-)

 

[mboh]

Würde dann So etwas dafür das richtige sein?!
(Die ganzen "1.2.3." werden dann sowie in der 2. die entsprechende Dyn DNS in meine entprechenden Daten abgeändert?
Das erste bleibt auf Synology)

 

[jahlives]

Im Grossen und Ganzen: ja.
Allerdings musst du aufpassen. Wenn du alles genau so machst wie im Wiki beschrieben, dass motzt Outlook nicht mehr wegen dem Namen, sondern dann dafür weil die CA (Stelle, die das Cert signiert hat) nicht vertrauenswürdig ist. Wenn du es sauber machen willst, dann brauchst du vom Punkt "Erstellung des Server-Zertifikats" nur die Punkte 1 und 2
Das Ca-Cert brauchst du in dem Falle nicht unbedingt. Es gibt Stellen im Internet wo man sich die Zerts signieren lassen kann z.B. cacert.org oder startssl. Nachteil bei cacert ist, dass z.Z. das root-Zertifikat nicht in den Browsern hinterlegt ist und damit wiederum Warnungen kommen können. Allerdings scheint sich das was zu tun (http://wiki.cacert.org/InclusionStatus)

 

[mboh]

Sos!!! Hiiilfe!!!

Hallo,
Ich habe jetzt mal versucht Schritt für Schritt die Schritte aus dem Wiki nachzustellen.
einzig den 3. Punkt bei
"Generierung des Server-Zertifikats:
openssl x509 -days 3650 -CA ca.crt -CAkey ca.key -set_serial 01 -in server.csr -req -out server.crt"
habe ich wie ?viellicht? gemeint weg gelassen.

daher hat denke ich auch die "mv /usr/local/ssl/server.crt ssl.crt" einen fehler ausgespuckt.

Ansonsten wie beschrieben ausser dass ich 1:1 die anleitung befolgt und auch nochmal alles ein Zweites mal überarbeitet.

=> einzig habe ich die dateien nicht mit MV verschoben sondern mit CP Kopiert um im fall der Fälle nochmal die anleitung abzuarbeiten.

Mein Problem ist jetzt dass ich Keinen zugriff mehr über Browser und Mailclients auf die Syno habe. (selbst über die IP ohne https oder andere Sicherheitswege geht nix!)
Per Ping, Explorer und Putty komme ich noch drauf.

Was hab ich da nun wieder falsch gemacht?
Wie war das mit dem "Das Ca-Cert brauchst du in dem Falle nicht unbedingt. Es gibt Stellen im Internet wo man sich die Zerts signieren lassen kann z.B. cacert.org oder startssl."

 

[mboh]

Hallo nochmal,

Ich habe jetzt um wieder Zugriff zu bekommen mal diesen 3. Punkt mit eingefügt und kann derzeit auch wieder normal mit der Syno umgehen.
Auch Outlook und Co laufen nach manuellem Import der Zertifikate 1a.

in wie weit ist das mit dem

Das Ca-Cert brauchst du in dem Falle nicht unbedingt. Es gibt Stellen im Internet wo man sich die Zerts signieren lassen kann z.B. cacert.org oder startssl. Nachteil bei cacert ist, dass z.Z. das root-Zertifikat nicht in den Browsern hinterlegt ist und damit wiederum Warnungen kommen können. Allerdings scheint sich das was zu tun (http://wiki.cacert.org/InclusionStatus)

zu verstehen?

• 
  Was müsste man machen um ein "ideales" Zertifikat zu erhalten?
  Das scheinen ja frei "gratis Zertifikate" zu sein.
  Muss ich da meine (nur welche der 6 erzeugten Dateien) hinschicken und bekomme die dann wieder zurück so dass ich die dann nur noch einfügen muss? - oder wie geht das?

• 
  Kann man dan mit so einem Zertifikat auch Mails verschlüsseln?

• 
  Wie ist das eigentlich künftig mit dem eigenen Zertifikat. (oder lag das daran dass die alten Certs noch installiert waren?)
  Muss ich Das erst manuell auf dem entsprechenden Rechnern installieren (heute habe ich das zumind. zu gemacht)
  Das wäre natürlich schlecht wenn man immer erst manuell eingreifen muss. Früher kam ja diese "Zertifikat aktzeptieren" meldung.
  Denn einfach sich das cert. vom public Ordner abgreifen und installieren ist natürlich schwer möglich und wieder etwas mehr Kenntnisse erfordert als Klick Klick...

 

[jahlives]

@mboh
die Sache mit dem ca.crt ist die folgende: Anwendungen die mit ssl laufen haben in ihren Speichern vertrauenswürdige ca.crt hinterlegt. Das sind meist die grossen Anbieter (z.B. verisign). Wenn du jetzt aber selber ein ca.crt erstellst, dann ist dieses selbererstellt und die Anwendungen trauen dem Teil ned. Es werden also Warnungen geworfen.
Grundsätzlich spricht aber nichts dagegen sich selber ein ca.crt zu erstellen. Man muss einfach mit Warnungen seitens der Anwendungen leben. SSL verschlüsselt auch mit einem nicht vertrauenswürdigen Zert problemlos und sicher.
Wenn du ein eigenes ca.crt verwendest (oder auch dasjenige das Synology installiert hat), dann kannst du in den meisten Anwendungen das ca.crt als vertrauenswürdig importieren.

 

[mboh]

OK dann ist mein eben eingen erstelltes Certifikat ein Richtiges CAcert und "das gleiche wie das alte original Synology" das sich nicht vom Handling und Vertrauenswürdigen sondern nur im Inhalt her unterscheidet.
In dem Link

http://wiki.cacert.org/InclusionStatus)

ist derzeit dann quasi die Systeme aufgeführt in denen CAcert bereits mit fest als Vertrauenswürdig integriert ist.

Na ja dann würde ich mal sagen wieder was geschafft. und auf zum irgendwann nächsten Projekt Update DSM und hoffentlich noch weiter funktionierendem Mailserver.
(aber dazu muss ich mich erst mal noch etwas belesen über zu ändernde Punkte im aktuellem DSM und vorherigen sinnvollen Sicherungskopien.)