Einbundung Clientzertifikat auf Server aber wo?

[aGenToFdEv!L 10]

Hallo Allerseits,

 

ich bin langsam am verzweifeln, ich versuche heute den halben Tag über den IIS 7.0 ein Clientzertifikat einzubinden.

 

OWA und Active Sync sind über SSL verschlüsselt, das Zertifikat habe ich von Comodo, ebenso das Clientzertifikat.

 

Ich bin nach dieser Installations-anleitung vorgegangen:

 

404, Page Not Found : The Official Microsoft IIS Site ...

 

habe alles schritt für schritt installiert. die Vorraussetzungen in der anleitung habe ich erfüllt, leider funktioniert das ganze nicht so wie es funktionieren sollte.

 

 

Wenn in den SSL-Einstellungen für OWA "Clientzertifikate aktzeptieren" eingestellt ist, kann ein Client ohne das Clientzertifikat auf OWA zugreiffen. Installiere ich das

Clientzertifikat auf dem Client, kommt dann eine Meldung über den IE: "Die Website, die sie ansehen möchten, erfodert eine indentifikation. Wählen Sie ein zertifikat aus."

Darin kann ich das Clientzertifikat sehen, bestätige ich diese Meldung, komme ich auf OWA.

 

Setzte ich in den SSL Einstellungen für OWA "Clientzertifikate anfordern", wird er Zugriff ohne Clientzertifikat mit der Meldung 403 verweigert. Habe ich dasClientzertifikat installiert, bekomme ich wieder diese Meldung mit der Auswahl eines Zertifikates. Bestätige ich diese kann ich auf OWA zugreiffen.

 

In einem Artikel: IIS and client certificates ... von einem MS Mitarbeiter habe ich folgendes rausgelesen:

 

"For a certificate to work properly, certain requirements must be met on both the server and the client. Each side has a list of root certification authorities that they trust. When the server prompts for a certificate, the request includes a list of the certification authorities that the server trusts. The client then compares this list to the list of certification authorities that the client trusts and creates a list of the ones that match. Then, the client compares that list to the client certificates it has and determines which, if any, certificates have been issued by certification authorities that both the client and the server trust. Depending on the client, you may see a list of certificates to choose from if there is more than one certification authority that both sides trust. The client then sends the public portion of the certificate to the server. At this point, the server generally checks to make sure that the certificate is valid and, if no mapping is performed, the communications between the client and the server can continue."

 

Mir geht es einfach darum, sobald ein Client über das Internet auf OWA zugreiffen will, sollte der IIS zuerst überprüfen ob der Client das passende Clientzertifikat hat.

Ist das Clientzertiikat zum Zertifikat auf dem IIS passend, so soll der Client auf OWA Zugriff bekommen, damit der Benutzer sich schließlich an OWA anmelden kann.

 

Mehr will ich auch eigentlich nicht. Leider finde ich niergendswo Informationen darüber, wie ichdas realisieren kann. Ich habe auch versucht das Clientzertifikat ohne privaten Schlüssel über die MMC in die Vertrauenwürdigen Zertifizierungsstellen aufzunehmen, leider ohne erfolg, gleiche Problematik wie o. genannt besteth immer.

 

Ist so eine Realisierung überhaupt ohne 1:1 bzw. n:1 Mapping möglich?

 

Ich sollte morgen zu dem Problem eine Lösung haben, ich hoffe es kann mir jemand auf dei Schnelle helfen.

 

Viele Grüße

 

aGenToFdEv!L

bearbeitet 15. April 2010 von aGenToFdEv!L

[aGenToFdEv!L 10]

Hat keiner eine Idee?

[p.domb 10]

Hmm vllt ne Idee,

 

ich hab rausgelesen das du immer versuchst das Clientzertifikat zu installieren..

In dem text vom Microsoftmenschen steht es doch eigentlich schon drinne...

Du solltst das Root Cert auf den Clients in die vertrauenswürdigen zertifizierungstellen aufnehmen.

 

Also das CA Certificate auf den Clients verteilen...

Das Clientzertifikat ziehen diese sich dann alleine...