MailStore Server – Fehlermeldung erhalten, wenn der MailStore Client oder das MailStore Outlook Add-In versucht, eine Verbindung zum Server herzustellen
Summary
Wenn Sie mit MailStore Server versuchen, über den MailStore Client oder das MailStore Outlook-Add-in eine Verbindung zum Server herzustellen, kann keine Verbindung hergestellt werden und es wird eine Fehlermeldung zurückgegeben:
Die Überprüfung des SSL/TLS-Zertifikats ist fehlgeschlagen. Der Servername wurde durch Gruppenrichtlinien erzwungen, aber die Zertifikatsüberprüfung schlug fehl.
Dieses Problem wurde gemeldet in (ist aber möglicherweise nicht beschränkt auf):
- MailStore-Client
- MailStore Outlook-Add-in
Cause
Die Möglichkeit, Zertifikatsfingerabdrücke über die MailStore-eigene Gruppenrichtlinie auf die Whitelist zu setzen, wurde in MailStore Server 13 entfernt, weshalb diese Fehlermeldung angezeigt wird. Der Einsatz selbst signierter Zertifikate reduziert die Komplexität deutlich und ist weniger fehleranfällig. Wenn sich ein Administrator dazu entschieden hat, einen Servernamen per Gruppenrichtlinie festzulegen, kann dieses Gruppenrichtlinienobjekt (GPO) geändert werden.
Resolution
Wird bei einer Installation ein selbst signiertes Zertifikat im MailStore Server verwendet, das weder von Let’s Encrypt noch von einer anderen vertrauenswürdigen Stammzertifizierungsstelle bezogen wurde, ist Folgendes zu beachten: Sobald Sie den Servernamen über die Gruppenrichtlinie angeben, erwarten das MailStore Outlook-Add-in und der MailStore Client, dass das vom MailStore Server verwendete Zertifikat gültig ist. Dies bedeutet, dass das Serverzertifikat weder abgelaufen noch zurückgezogen sein darf, der Servername im Zertifikat hinterlegt sein muss und das Zertifikat von einer vertrauenswürdigen Stammzertifizierungsstelle (ggf. von der eigenen internen Zertifizierungsstelle) ausgestellt worden sein muss. Letzteres ist bei selbst signierten Zertifikaten nicht der Fall. Sollten Sie nicht die Möglichkeit haben, Zertifikate zu verwenden, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden, können Sie in der MailStore Server-Dienstkonfiguration ein geeignetes selbst signiertes Zertifikat erstellen, in einer Datei speichern und anschließend als „Trusted Root Certification Authority“ an die Clients versenden. Bei der Gruppenrichtlinie zur Verteilung von Anmeldeinformationen ist darauf zu achten, dass der angegebene Servername mit dem im Zertifikat ausgegebenen Namen übereinstimmt. Das heißt: kein anderer Servername oder eine andere IP-Adresse.