Vertrauensfehler bei SSL-Zertifikat.

Letztes Änderungsdatum des Themas: 2011-06-21

Die Microsoft Exchange-Remoteverbindungsuntersuchung fragt das Serverzertifikatobjekt im Exchange Server-System ab, um verschiedene Eigenschaften von X.509-Zertifikaten abzurufen. Damit die Remoteverbindungsuntersuchung ein X.509-Zertifikat überprüfen kann, muss sie der Stammzertifizierungsstelle vertrauen, die das Zertifikat ausgestellt hat. Wenn das Tool die Zertifikatskette nicht bis zur vertrauenswürdigen Stammzertifizierungsstelle nachvollziehen kann, wird in einer Fehlermeldung angezeigt, dass das Zertifikat nicht als vertrauenswürdig eingestuft wird.

Dieses Problem tritt üblicherweise auf, wenn das Webserverzertifikat auf dem Clientzugriffsserver ein selbst signiertes Zertifikat oder ein Zertifikat ist, das mit einer privaten oder internen PKI erstellt wurde. Dieses Problem kann auch auftreten, wenn Zertifikate durch ein Zwischenzertifikat mit einem Clientzugriffsserver verkettet werden. Jedes Zertifikat im Zertifizierungspfad muss gültig sein, damit das Zertifikat gültig ist.

Übliche Symptome dieses Problems sind:

• Ein Benutzer wird wiederholt zur Eingabe seiner Anmeldeinformationen aufgefordert und kann keine Verbindung über Outlook Anywhere herstellen.
• Benutzern, die versuchen, sich bei Outlook Web Access anzumelden, wird die folgende Fehlermeldung angezeigt: "Es besteht ein Problem mit dem Sicherheitszertifikat der Website."

Die Remoteverbindungsuntersuchung kann für die meisten Tests die Vertrauensvoraussetzung während einer SSL-Zertifikatüberprüfung ignorieren. Allerdings erfordern die Verbindungstests für Outlook Anywhere (RPC-über-HTTP) momentan ein öffentlich vertrauenswürdiges Zertifikat, dem auch der Server vertraut.

Wenn Sie die einmalige Anmeldung für Microsoft Office 365 testen, tritt möglicherweise ein ähnliches Problem auf und die Benutzer werden beim Versuch, auf die Office 365-Dienste zuzugreifen, wiederholt zur Eingabe von Anmeldeinformationen aufgefordert. Über die Remoteverbindungsuntersuchung wird die Authentifizierungsplattform in der Cloud abgefragt, um eine Bereichserkennung durchzuführen. Nach Abschluss dieses Vorgangs übergibt die Authentifizierungsplattform die URL des AD FS-Endpunkts an den abfragenden Client, der diese für die Authentifizierung benötigt. Bei diesem Endpunkt handelt es sich um eine SSL-Verbindung (Secure Sockets Layer) mit einem Zertifikat. Die Remoteverbindungsuntersuchung wertet den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) aus, der dem Zertifikat zugewiesen wurde. Beispiel: Das Tool wertet "STS.Contoso.com" aus.

Die Remoteverbindungsuntersuchung zeigt eine Warnung an, wenn die Vertrauenskette für das für SSL verwendete Zertifikat nicht bis zum Stamm zurückverfolgt werden kann. Diese Meldung weist darauf hin, dass das Zertifikat von der Office 365-Umgebung nicht als vertrauenswürdig eingestuft wird. In vielen Fällen tritt dieser Fehler auf, da es sich bei dem Zertifikat um ein selbst signiertes Zertifikat handelt, das für diese Art der Authentifizierung nicht gültig ist. Informationen zum Behandeln dieses Problems beim Testen der einmaligen Anmeldung finden Sie im Microsoft Knowledge Base-Artikel 2523494, Beim Versuch, unter Verwendung eines Identitätsverbundkontos auf Microsoft Office 365-Ressourcen zuzugreifen, wird eine Zertifikatwarnung angezeigt