deadcandance 10 Geschrieben 11. April 2008 Melden Teilen Geschrieben 11. April 2008 Hi, ich muss das Zertifikat f. OWA in unserem ISA 2004 erneuern. Ich habe ein neues Zertifiakt auf unserem Zert-Server erzeugt,als Zertifikatstemplate habe ich 'Web Server' genommen, als .cer Datei exportiert, auf den ISA Server übertragen und auf dem Server installiert. Wenn ich im ISA Server auf im OWA Listener schaue habe ich das neue Zert. aber nicht zur Auswahl. In welchen Zertifikatsspeicher muss das Zertifikat den damit ich es hier zur Auswahl habe? Oder muss ich es im ISA Importieren/installieren? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. April 2008 Melden Teilen Geschrieben 11. April 2008 auf den ISA Server übertragen und auf dem Server installiert. Hast Du auch den private Key exportiert? Wenn ich sehe, dass Du das .cer-Format genommen hast, bin ich mir ziemlich sicher, dass das nicht der Fall ist... Christoph Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 11. April 2008 Autor Melden Teilen Geschrieben 11. April 2008 Hast Du auch den private Key exportiert? Wenn ich sehe, dass Du das .cer-Format genommen hast, bin ich mir ziemlich sicher, dass das nicht der Fall ist... Christoph Stimmt, ich habe den private Key nicht exportiert. Allerdings ist diese Option ausgegraut wenn ich das Zert. exportiere. Hier meine Vorgehensweise beim erzeugen des Zertifikats: Browser auf dem Zert.-Server öffnen http://localhost/certsrv. dann "advanced certificate request" --> dann "Create and submit a request to this CA." Jetzt bin ich auf der Seite "Advanced Certificate Request" in der ich meine Einstellungen vornehme. In meinem Beispiel folgende: Certificate Template: Web Server Identifying Information For Offline Template: Name: owa.firma.de E-Mail: meine-email@firma.de Company: Firma GmbH Department: Hauptgeschäftsstelle Firma GmbH City: Munich State: Bavaria Country/Region: DE Key Options: Create new key set CSP: Microsoft RSA SChannel Cryptographic Provider Key Usage: Exchange Key Size: 1024 Automatic key container name Additional Options: Request Format: CMC Hash Algorithm: SHA-1 Friendly Name owa.firma.de dann auf Submit. Im nächsten Fenster hab ich nur die Möglichkeit das Zertifikat zu installieren, was ich auch getan habe. Danach gehe ich in die Zertifikats Console f. den Benutzer und sehe hier unter "Personal" mein Zertifikat. Wenn ich dieses Exportiere ist die Auswahl den Private Key zu exportieren, ausgegraut. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 11. April 2008 Melden Teilen Geschrieben 11. April 2008 Eine Möglichkeit wäre, extern einen anderen Namen zu nehmen, und für diesen Namen direkt vom ISA aus ein Zertifikat erstellen zu lassen. Dafür musst Du in den System-Policies des ISA Servers den CRL-Download erlauben. Die andere ist, dir ein neues Zertifikat erstellen zu lassen, aber nicht über die Web-Site, sondern aus dem IIS Manager heraus. So erstellte Zertifikate haben einen exportierbaren privaten Schlüssel. Man kann es auch über den Browser schaffen, aber da muss man einen kleinen "Trick" anwenden. Siehe Using Microsoft CA and when creating an advanced certificate request via the web site (http://svr01.domain.com/certsrv) mark keys exportable is greyed out and cannot be selected Dabei stellt die CA zwei Zertifikate aus, von denen Du aber nur das 2. installierst. Christoph Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 11. April 2008 Autor Melden Teilen Geschrieben 11. April 2008 Eine Möglichkeit wäre, extern einen anderen Namen zu nehmen, und für diesen Namen direkt vom ISA aus ein Zertifikat erstellen zu lassen. Dafür musst Du in den System-Policies des ISA Servers den CRL-Download erlauben. keine Ahnung was du damit meinst. owa.zuken.de ist der exterene Name. Die andere ist, dir ein neues Zertifikat erstellen zu lassen, aber nicht über die Web-Site, sondern aus dem IIS Manager heraus. So erstellte Zertifikate haben einen exportierbaren privaten Schlüssel. wie kann man im ISS Mangaer ein Zertifikat erstellen? Man kann es auch über den Browser schaffen, aber da muss man einen kleinen "Trick" anwenden. Siehe Using Microsoft CA and when creating an advanced certificate request via the web site (http://svr01.domain.com/certsrv) mark keys exportable is greyed out and cannot be selected Dabei stellt die CA zwei Zertifikate aus, von denen Du aber nur das 2. installierst. Christoph Ok das hat funktioniert, habe die beiden Certifikate exportiert und auf dem ISA installiert. Nur im ISA hab ich dieses Zertifikat nicht zur Auswahl in dem Web Listener der f. das OWA zuständig ist. Auch wenn ich versuche einen neuen Listener zu erstellen, hab ich nur das alte Zertifikat zur Auswahl. Mache ich eventuell bei der Installation der Zert. einen Fehler? Einfach das Zert. öffnen und auf den Button "Zertifikat installieren" gehen. Den Zertifikatsspeicher lasse ich auf automat. Auswahl. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 Öffne auf dem ISA doch einfach mal eine mmc füge das Zertifikate Snap In hinzu (lokaler Computer) und importiere dann dein Zertifikat in "Eigene Zertifikate". Wenns dann immer noch nicht geht, melde dich. Bye Norbert Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 12. April 2008 Autor Melden Teilen Geschrieben 12. April 2008 Öffne auf dem ISA doch einfach mal eine mmc füge das Zertifikate Snap In hinzu (lokaler Computer) und importiere dann dein Zertifikat in "Eigene Zertifikate". Wenns dann immer noch nicht geht, melde dich. Bye Norbert das habe ich jetzt getan. ich habe bei zertifikate importiert, sowohl das .cer als auch das .p7b zertifikat. im ISA hat sich jedoch nichts geändert. wenn ich im ISA 2004 Manager rechts auf Toolbox , dort "Network Objects" den entsprechenden Listener bearbeiten will und dort auf dem Reiter "Preferences" unter dem Punkt SSL das Certificate auswählen will, steht immernoch nur das alte Zert. drin. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 das habe ich jetzt getan. ich habe bei zertifikate importiert, sowohl das .cer als auch das .p7b zertifikat.im ISA hat sich jedoch nichts geändert. wenn ich im ISA 2004 Manager rechts auf Toolbox , dort "Network Objects" den entsprechenden Listener bearbeiten will und dort auf dem Reiter "Preferences" unter dem Punkt SSL das Certificate auswählen will, steht immernoch nur das alte Zert. drin. Das kann aber eigentlich nicht sein. Du bist dir sicher, dass du das zertifikat mit privatem Schlüssel importiert hast? Steht ja da, wenn du das Zertifikat mal öffnest. (Er muß nicht als exportierbar markiert werden) Die ISA Konsole mal geschlossen und wieder geöffnet? Schonmal gebootet? Hast du jetzt in der MMC also mindestens zwei Zertifikate mit dem selben Namen stehen? (unterschiedliche Ablaufdaten) Warum hast du das Zertifikat nicht einfach nur verlängert? Bye Norbert Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 12. April 2008 Autor Melden Teilen Geschrieben 12. April 2008 Das kann aber eigentlich nicht sein. Du bist dir sicher, dass du das zertifikat mit privatem Schlüssel importiert hast? Steht ja da, wenn du das Zertifikat mal öffnest. (Er muß nicht als exportierbar markiert werden) Die ISA Konsole mal geschlossen und wieder geöffnet? Schonmal gebootet? Hast du jetzt in der MMC also mindestens zwei Zertifikate mit dem selben Namen stehen? (unterschiedliche Ablaufdaten) Warum hast du das Zertifikat nicht einfach nur verlängert?Bye Norbert ich habe beide Zert. importiert. ich gehe doch mal davon aus das die p7b Datei der private Schlüssel ist. Ich muss gestehen das ich echte Probleme beim Veständniss von dem ganzen Thema Zert. habe. Habe eigentlich sehr selten damit zu tun und ich finde das ganze sehr verwirrend. Zum Verlängern muss der ISA server sicher ne http verbindung zum Cert Server herstellen, das geht aber nicht, da müsste man erst in der Firewall einiges anpassen. Wieso kann man nicht so ein sche... Zertifikat mit einer längeren Gültigkeit ausstellen? Die ISA Konsole habe ich erst geöffnet nachdem ich die Zert. importiert hatte. Irgendwie habe ich den Eindruck das ich beim erstellen einen Fehler gemacht habe. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 Irgendwie habe ich den Eindruck das ich beim erstellen einen Fehler gemacht habe. Da es sowieso selbsterstellte Zertifikate sind, machs einfach nochmal. OWA SSL Teil 1 und folgende Bye Norbert Zitieren Link zu diesem Kommentar
mcbart 10 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Hallo deadcandance, hatten das gleiche Problem. Das installierte Zertifikat wurde bei uns erst nach einem reboot des ISA im Auswahlmenü des Listeners angezeigt. Ist zwar nicht immer einfach, den ISA mal schnell durchzubooten, aber vielleicht hast Du ja mal ein Wartungsfenster. Viel Erfolg. Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 13. April 2008 Autor Melden Teilen Geschrieben 13. April 2008 Da es sowieso selbsterstellte Zertifikate sind, machs einfach nochmal.OWA SSL Teil 1 und folgende Bye Norbert Hi, danke damit hat es geklappt. ich denke mein Fehler war auch das ich das Zert. direkt auf dem Zert-Server erzeugt habe. Jetzt habe ich erst eine Zert. Anforderung erzeugt und zwar auf dem ISA Server. Mit dieser Anforderung habe ich dann auf dem Zert.Server das Zertifikat erzeugt. Dann auf dem ISA installiert und schon war es im ISA zur Auswahl. Ausserdem hatte ich beim Export die Auswahl den privaten Schlüssel mit zu exportieren, das hatte ich vorher auch nicht. Vielen Dank :), die Anleitung werde ich mir mal abspeichern, denn 2010 hab ich das wieder vergessen. :( Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Hi, danke damit hat es geklappt.ich denke mein Fehler war auch das ich das Zert. direkt auf dem Zert-Server erzeugt habe. Jetzt habe ich erst eine Zert. Anforderung erzeugt und zwar auf dem ISA Server. Mit dieser Anforderung habe ich dann auf dem Zert.Server das Zertifikat erzeugt. Dann auf dem ISA installiert und schon war es im ISA zur Auswahl. Ausserdem hatte ich beim Export die Auswahl den privaten Schlüssel mit zu exportieren, das hatte ich vorher auch nicht. Vielen Dank :), die Anleitung werde ich mir mal abspeichern, denn 2010 hab ich das wieder vergessen. :( OK, freut mich, dass es funktioniert hat. Im Übrigen ist es vollkommen wurscht, auf welchem Computer du die Zertifikats Anforderung erstellst. Sobald das Zertifikat ausgestellt wurde, kannst du es ja exportieren und auf jedem beliebigen Server wieder importieren. Bye Norbert Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 14. April 2008 Melden Teilen Geschrieben 14. April 2008 wie kann man im ISS Mangaer ein Zertifikat erstellen? Über die Eigenschaften der Website. Dann Directory-Security und Server Certificate anklicken. Dann startet ein Assistent, mit dem man Zertifikate anfordern kann oder vorhandene Zertifikate löschen. Christoph Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 16. April 2008 Autor Melden Teilen Geschrieben 16. April 2008 Mist, jetzt funktioniert das OWA aber das snyc. mit Mobilen Geräten (PDA) funktioniert nicht mehr. Er bringt mir jetzt auf dem mob. Gerät den Fehler: "Das Sicherheitszertifikat auf dem Server ist ungültig. Wenden Sie sich an Ihren Systemadministrator oder Ihren ISP, um ein gültiges Zertifikat auf dem Server zu installieren, und es erneut zu versuchen. Unterstützungscode: 0x80072F0D" Suche schon einige Std. kann aber keine Lösung finden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.