skyerjoe 10 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Morgen Kann ich bei windows 2008 ein zertifikat auch händisch ohne zertifikatsstelle erstellen ? so nach diesem muster vielleicht? : How to enable LDAP over SSL with a third-party certification authority oder geht das nur noch mit der zertifikatsstelle? beste grüße skyerjoe Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Ähm das obige erwartet aber auch ne Zertifikatsstelle (nur halt eine third Party CA ;)). SelfSSL sollte aber auch funktionieren, bzw. wenn du Exchange 2007/2010 einsetzt ist das relativ einfach per Powershell zu realisieren. Nur sind selbstausgestellte Zertifikate manchmal etwas tricky in der Nutzung. Bye Norbert Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Certificate Creation-Tool (Makecert.exe) oder google mal nach "openssl windows" blub Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 9. Mai 2011 Autor Melden Teilen Geschrieben 9. Mai 2011 Das zertifikat selber ist nicht das problem, ich hab schwierigkeiten, dass ich ldap über ssl zum laufen kriege ... grüße skyerjoe Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Vergiß das ohne CA. Das wird nicht sinnvoll funktionieren. Bye Norbert Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 9. Mai 2011 Autor Melden Teilen Geschrieben 9. Mai 2011 Vergiß das ohne CA. Das wird nicht sinnvoll funktionieren. Eine eigene CA Root hab ich schon erstellt ( per makecert) ist auch schon in den lokalen zertifikaten vertrauenstellungen bei ca drinnen aber... irgendwie klappt die verb. pder ssl mit ldp einfach nicht .... grüße skyerjoe Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Eine eigene CA Root hab ich schon erstellt ( per makecert) Nein, damit hast du ein eigenes Zertifikat erstellt und keine CA. ist auch schon in den lokalen zertifikaten vertrauenstellungen bei ca drinnen aber... irgendwie klappt die verb. pder ssl mit ldp einfach nicht .... Ich weiß. Weil das nicht sinnvoll so geht, warte ich mal, ob hier noch andere ein Statement hinterlassen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. Mai 2011 Melden Teilen Geschrieben 9. Mai 2011 Hi, was ist denn der "certificate purpose" des von Dir ausgestellten Zertifikats? Beschreibe noch einmal ganz genau, wie Du vorgegangen bist. Also wie wurde das Zertifikat erstellt, welche Optionen wurden im Zertifikat definiert, wurde der private Schlüssel ebenfalls importiert, gibt es Fehler im Eventlog, wie greifst Du auf den LDAP Server zu (DNS Name, NetBIOS Name, was auch immer) usw. Viele Grüße olc Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 10. Mai 2011 Autor Melden Teilen Geschrieben 10. Mai 2011 Beschreibe noch einmal ganz genau, wie Du vorgegangen bist./QUOTE] 1.Vorrangig ist das Ziel erstmal auf den ldap server zugreifen per ssl geht ja nichtmal über ldp.exe Die Zertifikate und der CA Root wurden mit Makecert erstellt, sollte also gehen, und auch entsprechend der Verwendungszweck ist angegeben. Dann wurden sie einmal per mmc und einmal per makecert versucht zu installieren. Aber selbst wenn das klappt und die Zertifikate sich im Zertifikatsspeicher befinden, klappt eine Verb. per ssl nicht. Lt. dem MS Dokument sollte es dann irgendwann klappen. Ich überlege grad .. gibt es evtl ne Richtlinie die per default an ist, die da nen strich durch die Rechnung macht.? grüße skyerjoe Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Hi, wie genau sollen wir DIr mit solchen Beschreibungen weiter helfen? ;) geht ja nichtmal über ldp.exe Das bedeutet, wir reden hier ganz offensichtlich nicht von einem SSL Problem. Eine gute Fehlerbeschreibung gäbe uns die Möglichkeit, das zu prüfen. Mit "geht nicht" kann man nichts anfangen. Die Zertifikate und der CA Root wurden mit Makecert erstellt, sollte also gehen, und auch entsprechend der Verwendungszweck ist angegeben. Aha, und der Verwendungszweck heißt genau wie? "Mach LDAP über SSL mit ldp.exe" habe ich bisher nicht gefunden als Schalter zum Erzeugen eines Zertifikats... ;) Dann wurden sie einmal per mmc und einmal per makecert versucht zu installieren. Aber selbst wenn das klappt und die Zertifikate sich im Zertifikatsspeicher befinden, klappt eine Verb. per ssl nicht. Du verstehst scheinbar nicht, was ich frage: Bitte gib eine genaue Beschreibung, wie Du vorgegangen bist. Hast Du ein PFX installiert oder nur das *cer importiert. Letzteres *kann nicht* funktionieren, um LDAP/S zu aktivieren. Wo genau hast Du es importiert - in welchen Speicher usw. Lt. dem MS Dokument sollte es dann irgendwann klappen. Ja, wenn man es richtig macht. Von welchem MS Dokument sprichst Du? Ich überlege grad .. gibt es evtl ne Richtlinie die per default an ist, die da nen strich durch die Rechnung macht.? Nein, außer der "soft-skill Richtlinie", daß man sich ein wenig bemühen muß zu verstehen, was man dort tut. Bitte entschuldige meine deutlichen Worte - aber so geht das nicht. Wenn Du möchtest, daß wir Dir helfen, mußt Du ein wenig genauer werden. Viele Grüße olc Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 10. Mai 2011 Autor Melden Teilen Geschrieben 10. Mai 2011 (bearbeitet) Bitte entschuldige meine deutlichen Worte - aber so geht das nicht. Wenn Du möchtest, daß wir Dir helfen, mußt Du ein wenig genauer werden. Das ist vollkommen in ordnung ... denke das ist normal , wenn man relativ neu mit ner best. bereich befasst ... und bevor ich nie weiß, was ich fragen muss... Also zu meinem überraschung geht es jetzt auf einmal ... Bin nach dieser Anleitung vorgegangen: Event ID 1220 Das mit der CA Stelle klappt dann auch .... Ich kann jetzt eine verb. über ldp per ssl herstellen .....*freu So jetzt würde ich gerne noch die Sache mit der händischen Installation lösen, dass das auch geht also zu folgenden Punkten. Aha, und der Verwendungszweck heißt genau wie? "Mach LDAP über SSL mit ldp.exe" habe ich bisher nicht gefunden als Schalter zum Erzeugen eines Zertifikats... Alles mit OID 1.3.6.1.5.5.7.3.1 ( Server Authentifizierung); und das pw ist nicht gesetzt, da ich bei einem externen dienst (webanwendung) nicht jedesmal ein pw mitgeben kann. und die cn ist auf den fqdn des AD servers gesetzt. Makecert CA: 1. CA mit schlüssel und key erstellt 2. per mmc die CA eingtragen unter "lokaler computer" ; "vertrauenswürdige zertifizierungsstellen" Makecert Clientzertifikat(versuch1) : 1. Clientzertifikat ohne schlüssel erstellt mit parameter localmachine in certificatsspeicher my übertragen .... Makecert Clientzertifikat(versuch2): 1.Clientzertifikat mit schlüssel erstellt und per mmc "lokaler computer" in "eigenes zertifikate" installiert. Makecert Clientzertifikat (versuch3): 1.Clientzertifikat mit Schlüssel erstellt, und per pvk2pfx konvertiert 2. CA Stelle installiert und importiert. Bezug: Using Makecert to Create Certificates for Development | DigitallyCreated Alle diese Versuche schlugen fehl Wie gesagt mit der CA Stelle ( neuer schlüssel erstellt) geht alles ( also jedenfalls bis etz auf Serverseite) Ps: Falls noch was fehlt bitte ich um Nachsicht ... ist das erstemal das ich mich an die Zertifikatsgeschichten wage ... grüße skyerjoe bearbeitet 10. Mai 2011 von skyerjoe makcert infos hinzugefügt Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 Habe etz mal ein ldapsearch versucht über ssl der scheitert.... Befehl : sudo ldapsearch -h xxx.xxx.local -p 636 -Z -D "xxx\user" -w "password" -b " CN=Configuration,DC=xxx,DC=xxxx" -s sub "sAMAccountName=USER" Es kommt dann folgende errormeldung: ldap_start_tls: Can't contact LDAP server (-1) ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) ich frage mich was ich übersehe oder ob ich evtl. irgendwie in ubuntu das zertifikat installieren muss. Ich habe nur gefunden, dass die zertifikate in dem verzeichnissen in /etc/ssl liegen müssen grüße skyerjoe Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 evtl. Firewall teste mal mit einem Portscanner, ob 636 offen ist z.b. http://www.mcseboard.de/tipps-links-5/einfacher-portscanner-173485.html "SimpleTCPCheck.exe <IP> 636" sollte 11 als Ausgabe liefern blub Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 12. Mai 2011 Autor Melden Teilen Geschrieben 12. Mai 2011 @blub denke nicht, dass es daran liegt da, wenn ich mit open_ssl einen connect mache, openssl s_client -connect xxx.xxx.xxx.xxx:636 kommt folgende meldung zurück: CONNECTED(00000003) --- Certificate chain 0 s:/CN=xxx.xxx.local i:/CN=xxxx.xxxx.local --- Server certificate -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- subject=/CN=xxx.xxx.local issuer=/CN=xxxx.xxxx.local --- Acceptable client certificate CA names /DC=local/DC=xxx/CN=xxxx-xxxx-CA /CN=CAxxx /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized use only/OU=VeriSign Trust Network /C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root /C=DE/ST=none/L=none/O=SBA/CN=xxx.xxx.local /OU=Copyright (c) 1997 Microsoft Corp./OU=Microsoft Corporation/CN=Microsoft Root Authority /DC=com/DC=microsoft/CN=Microsoft Root Certificate Authority /CN=NT AUTHORITY --- SSL handshake has read 1754 bytes and written 459 bytes --- New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: 324i0ßi0ß234i0ß234i0ß234i0ß234230i0ß234E6235DF2B6863A365ABB04043 Session-ID-ctx: Master-Key: 000000000000000000000000000000000000000000000529CE6AA71521FCA6A6E5C73446B201651FD2F8 Key-Arg : None Start Time: 1305192634 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- also so wie ich des sehe, connected er, aber er kann das zertifikat nicht verifizieren..... was könnte ich machen? grüße skyerjoe Zitieren Link zu diesem Kommentar
skyerjoe 10 Geschrieben 13. Mai 2011 Autor Melden Teilen Geschrieben 13. Mai 2011 (bearbeitet) Guten morgen, Es klappt irgendwie immer noch nicht. Aber.... da das hier ein windows forum ist, würde ich sagen, dass mir vielleicht jemand helfen kann, erstmal die Windows Seite abzudecken .... Was ich denke das nötig ist: 1. Zertifikat muss im Zertifikatsspeicher sein ( wie kann ich eigentlich zertifikate explizit dahin verschieben)? 2. Es muß bei "eigene Zertifikate" in lokaler Computer installiert sein. 3. Es muss alle Berechtigungen haben. 4. Rechte von authentfizierten Benutzern setzen. 5. CA CERT muss in den "vertrauenswürdigen Stammzertifizierungsstellen sein. Fällt jemanden auf der Windows seite sonst noch was ein? Ps: wie kann ich die überschrift von dem thread ändern? grüße skyerjoe bearbeitet 13. Mai 2011 von skyerjoe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.