זה דומיין שיש לו שם פנימי ושם חוקי

domain.local בפנים ו-domain.com בחוץ

כל פעם שפותחים אאוטלוק מקבלים את השגיאה שבתמונה מישהו יכול לעזור עם זה

יש לציין שהאאוטלוק עובד בסדר

[attachment deleted by admin]

מי אחראי על תשתית הPKI בחברה הזאת?

אני!!!!

אני מחליף מנהל רשת שהיה פה לפני!

יש עצה?

אני מרגיש שזה הולך להיות קשה... :

מה מוגדר אצלך בCA?

השרת הוא SBS 2008

אני מאמין שהוא מוגדר בדיפולט של SBS

תהיה יותר ספציפי בשאלה

מה מוגדר אצלך בCA?

התעודה הונפקה לאתר בשם X, אתה עם התעודה הנ"ל מנסה להיכנס לאתר בשם Y.

ה-CN בתעודה אינו תואם את שם האתר.

נו ו.....

את זה גם אני יכול לקרוא

איך אני יורד לשורש העניין?

שמע הבעיה שאתה מציג היא לא בעיה אלא בדיקת אבטחה נורמלית,

היא מבוצעת על כל אישור אבטחה - שאם לא כן לא היה שום טעם באישורי האבטחה,

שים לב:

פעולות אלה יש לבצע רק על WORKSTATIONS במקרה הספציפי שלך!!! אין כאן שום נגיעה ל CA SERVER ושום כלום, זו בעיית קליינט פשוטה.

השרת האירגוני שלך מחייב אישור SSL עבור כל חיבור הנכנס מחוץ לאירגון,

אך מכיוון שאתה נגש מתחנה מקומית כנראה בכתובת IP פנימית או כתובת IP חיצונית, או שם NBT של השרת, או דרך חיבור VPN,

***** ולא דרך הכתובת המפורשת הרשומה באישור הגישה *****

נוצר מצב בו אישור האבטה שיש למערכת לא זהה בכתובת הגישה, לכתובת אליה אתה מנסה לגשת בפועל,

ובסוף התהליך לאישור שהוטמע תחת אתר הבית של האקסצ'יינג' בתוך IIS.

במרבית המקרים פשוט עוקפים את הניג'וס וזהוא זה.

שים לב: שימוש לא נכון בדרך זו עם אישורים חשודים עלולים להשאיר את המערכת שלך פרוצה !!!

פעולה זו תגרום להכנסת האישור המדובר לרשויות אישור בסיס אמינות, ותבטל כל אתרעה על אישור לקוי, שגוי, פג תוקף !!!

דבר שמחייב את השורה הזו, מתנצל מראש -

*** אני מסיר מעצמי כל אחריות מראש, אני לא מתחייב לפתרון הבעיה, יש צורך בהבנה של של מערכת הרשאות / ואישורי האבטחה ***

אם עד פה אתה בסדר עם זה, בעיקרון זה אמור לעזור לך להפסיק את הטרחה הזו.

יש להתקין את האישור המדובר,

ייצוא לתוך DER X.509 לקובץ *.CER

הפעל את האישור

install certificate

place all certificates in the following store

סמן את trusted root certification authorities

לאשר THUMBPRINT

עכשיו נסה להכנס למייל, אם לא קיבלת שום אתרעה, אז פה סיימנו.

אם אתה עדיין מקבל את הבקשה:

סגור :

ANY OFFICE PROGRAMS

*** OUTLOOK *** /

OWA / ***

IE *** /

IE USING PROGRAMS

לבטל ב IE בהגדרות מתקדמות - אבטחה

warn about certificate address mismatch

check server certificate revocation

עכשיו נסה להכנס למייל, אם לא קיבלת שום אתרעה, אז פה סיימנו.

אם אתה עדיין מקבל את הבקשה:

יש לך בעייה רצינית בהרשאות גישה לאישורים,

או בעייה בהתקנת OFFICE / OUTLOOK.

שזה כבר משהוא קצת יותר מסובך ויש צורך לראות קצת לוגים וכו'.

^^^

אין שום צורך בלייבא את תעודת הCHAIN, זה לא עניין של TRUST, זה עניין שהHOST שאליו פונים לא תואם את הsubject שמופיע ברשימה(אפשר לעקוף את זה, אבל זאת הגדרה גורפת מה שאומר שכל אתרי הפישינג שמתמשים בSSL פתאום יראו תקניים למשתמש, ואף פעם, אבל אף פעם אל תגדיר את זה, אלא אם אתה בכוח רוצה שיגנבו את פרטי חשבון הבנק שלך למשל).

כיוון שהתעודה היא self signed, אז אין פה עניין כספי בקניית תעודה חדשה, תוציא מה-CA תעודה חדשה או עם השם הנכון, או אם יש 2 שמות לאותו שרת ותמיד יהיה(מה שקורה ברוב הארגונים שמרימים תשתית PKI פנימית ולא יודעים מעבר לnext next finish, לשרת יהיה 2 שמות - הפנימי שאליו פונים מהרשת הפנימית, והחיצוני שאליו פונים דרך האינטרנט) תשתמש בalt subject name בזמן יצירת ה-CRF, ותוסיף את השם החיצוני בשדה המדובר.

בשביל עמדה אחת שיש לה בעייה כמו כאן, אין שום טעם בלהכנס לשרת ולהתחיל לנסות לייצר אישורים חדשים,

במקרה הנ"ל מדובר כנראה בSBS2008, ועמדה אחת שיש לה בעייה כזו, ככה שלא ממש כדאי לשחק יותר מידי בהפקת אישורים,

עם כתובת שונה מהכתובת שנתנה מרגע הגדרת הדומיין בDNS.

הכי פשוט יהיה לתת פיתרון מקומי לעמדה וזהו בלי לסבך אותו עם CA SERVER.

נ.ב. - מרבית כל מה שאמרת כבר צויין בפוסט שלי...

בשביל עמדה אחת שיש לה בעייה כמו כאן, אין שום טעם בלהכנס לשרת ולהתחיל לנסות לייצר אישורים חדשים,

במקרה הנ"ל מדובר כנראה בSBS2008, ועמדה אחת שיש לה בעייה כזו, ככה שלא ממש כדאי לשחק יותר מידי בהפקת אישורים,

עם כתובת שונה מהכתובת שנתנה מרגע הגדרת הדומיין בDNS.

הכי פשוט יהיה לתת פיתרון מקומי לעמדה וזהו בלי לסבך אותו עם CA SERVER.

נ.ב. - מרבית כל מה שאמרת כבר צויין בפוסט שלי...

נ.ב. מה שאתה אומר פותח את אותה עמדה לכל אתר פישינג SSLי בעולם, זה טמטום מוחלט לעשות זאת, וזה לא הפתרון לבעיה, זה התעלמות ממנה.

חבר'ה מדובר על 4 עמדות ובכולם יש את אותה בעיה

מי שהתקין את המערכת לפני סיבך עניינים

OFF TOPIC

שב תכתוב 2 מכתבים... אם תרצה עוד פרטים בפרטי...

נ.ב. מה שאתה אומר פותח את אותה עמדה לכל אתר פישינג SSLי בעולם' date=' זה טמטום מוחלט לעשות זאת, וזה לא הפתרון לבעיה, זה התעלמות ממנה.

[/quote']

יש לך בעיה בהבנת הנקרא, כיוון שנתתי לו את כל האופציות האפשריות, לפני הסרת הבדיקה של אישורי SSL.

לכן תשתדל להיות קצת יותר ענייני וקצת יותר מדויק לגבי מה שאני כתבתי.

ואת ההתייחסות שלך "טמטום" אציע לך להשאיר בבית.