Jump to content

MSX / Forefront TMG - Der private Schlüssel ist nicht installiert - Wo ist er nur?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

"Houston, we have a problem."

Mahlzeit ihr Gleichgesinnten, ich habe ein Problem.

Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen.

Ende Oktober läuft nun das SSL Zertifikat für die Domain aus - dieses will ich nun verlängern.
Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel".

Okay, erstmal zum Anfang.

Vorgehensweise und Einstellungen
 

  • es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft
  • "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen"
  • Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10"
  • "Eigenschaften"
  • im Reiter "Allgemein" den gleichen Anzeigename wie das bestehende Zertifikat
  • im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen
  • im Reiter "Erweiterungen" habe ich "Datenverschlüsselung" und "Digitale Signatur" gewählt
  • im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Austausch" [englisch "Exchange"] (nicht "Signatur") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exprtierbar machen"
  • OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt
  • CSR bei Thawte SSL123 eingereicht
  • Zertifikat bekommen + eingespielt
  • MS Forefront TMG > Toolbox > Weblistener > Zertifikat > …

post-67150-0-33771300-1381301712_thumb.png

Fehler
 

"Der private Schlüssel ist nicht installiert"


mögliche Ursachen(?)
 

  • Liegt der Fehler bei meiner Einstellungen unter "privater Schlüssel" > "Schlüsseltyp" > "Austausch" (nicht "Signatur")? Habe ich deswegen keinen privaten Schlüssel?
  • Habe ich keinen "privaten Schlüssel" weil, dass alte Zertifikat ("privater Schlüssel" vorhanden) den gleichen Namen hat und deswegen kein neuer "privater Schlüssel" generiert wurde? (Bug?)



Kann mir jemand helfen und sagen wo der Fehler ist bzw. wo ich den dazugehörigen "privaten Schlüssel" finde?

Cheers Marcel

Link to comment

Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen.

Dafür braucht man doch aber kein TMG, und gepusht wird da eigentlich auch nix. ;)

Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel".

Also warst du eigentlich nicht fast fertig? ;)

 

 

  • es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft

 

 

Wo ist das installiert? Auf dem TMG?

 

Ganz ehrlich, viel einfacher wäre gewesen:

1. Zertifikatsrequest per Powershell auf dem Exchange erstellen (digicert bietet dir sogar nen schönen Wizard, der dir den Powershellbefehl zusammenbaut)

2. Zertifikatsrequest einreichen und warten.

3. Zertifikat welches man erhält auf dem Exchange installieren mittels der Exchange Managementkonsole (ausstehende Zertifikatsanforderung abschließen)

4. Zertifikat mit privatem Schlüssel exportieren

5. Zertifikat auf TMG importieren (privater Schlüssel als exportierbar markieren nicht anhaken).

6. Zertifikat im Weblistener konfigurieren

7. Fertig.

 

Bye

Norbert

 

PS: Wird dir denn in deiner Zertifikats-MMC auch kein privater Schlüssel angezeigt?

PS: Alternativ, wenn du

  • Like 1
Link to comment

PS: Wird dir denn in deiner Zertifikats-MMC auch kein privater Schlüssel angezeigt?

 

Wo sehe ich den?

Es fehlt beim neuen Zertifikat das "Schlüssel-Symbol". (TMG-Server)

 

post-67150-0-17636300-1381312805_thumb.jpg

 

 

Wo ist das installiert? Auf dem TMG?

 

Ja auf dem TMG-Server.

Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist.

Hätte ich den CSR auf dem Exchange machen müssen?

 

PS: Alternativ, wenn du

 

Wh0t?  :p

Link to comment

Wo sehe ich den?

In der Zertifikats-MMC.

Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist.

Wie hast du das Zertifikat denn im TMG eingespielt?

Hätte ich den CSR auf dem Exchange machen müssen?

Nein, nur ist es da viel bequemer als auf dem TMG. :p

 

Bye

Norbert

 

PS: Das zweite PS war der Satzanfang der durch das erste PS überflüssig wurde, welches du aber nicht beantwortet hast :p

  • Like 1
Link to comment

"MMC" > "Zertifikate" > "lokaler Computer" > "Eigene Zertifikate" > "Zertifikate" > "Rechtsklick" > "Alle Aufgaben" > "Importieren"

Da müßte ja eigentlich auch der Request noch rumgedümpelt sein, oder?

 

 

Wo genau? Screenshot?

Doppel-Klick aufs Zertifikat. Schau dir die Unterschiede zu deinem bisherigen an. Steht gleich auf der ersten Seite "Sie besitzen den privaten Schlüssel"

 

Bye

Norbert

  • Like 1
Link to comment

Da müßte ja eigentlich auch der Request noch rumgedümpelt sein, oder?

 

Ja, der Request ist unter "Zertifikatregistrierungsanfroderungen" inkl. "privaten Schlüssel".

 

post-67150-0-83884100-1381320485_thumb.jpg

 

Doppel-Klick aufs Zertifikat. Schau dir die Unterschiede zu deinem bisherigen an. Steht gleich auf der ersten Seite "Sie besitzen den privaten Schlüssel"

 

Beim "alten" Zertifikat ist der "private Schlüssel" da, beim "Neuen" nicht.

 

post-67150-0-54062600-1381320478_thumb.jpg

 

Warum nur?

 

 

Gruß Marcel

Edited by MarcelIT
Link to comment

Kann ich dir nicht sagen. ;) Frag doch mal beim Support der Ausstellungsstelle nach. Ist das direkt über Thawte oder über einen Reseller wie psw? Falls letzteres, klingel die kurz an, das funktioniert bei denen problemlos.

 

Bye

Norbert

 

Na dann, rufe ich mal bei PSW an.  :p

Edited by MarcelIT
Link to comment

Guten Morgen, ich find es strange, aber mit dem neuen, neuen (kostenloser Zertifikatsaustausch durch PSW) Zertifikat geht es jetzt - der private Schlüssel ist vorhanden.  :cool:

 

post-67150-0-25658600-1381386149_thumb.jpg

 

Mit welchen Optionen ich die neue, neue CSR (Certificate Signing Request) erstellt habe, möchte ich euch der Vollständigkeit halber nicht vorenthalten.

  • "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen"
  • Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10"
  • "Eigenschaften"
  • im Reiter "Allgemein" den FQDN als Anzeigename
  • im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen
  • im Reiter "Erweiterungen" habe ich bei "Schlüsselverwendung" "Datenverschlüsselung" und "Digitale Signatur" gewählt sowie bei "Erweiterte Schlüsselverwaltung" "Serverauthentifizierung" und "Clientauthentifizierung"
  • im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Signatur" (nicht wie vorher "Austausch/Exchange") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exportierbar machen"
  • OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt
  • in der MMC unter "Zertifikatregistrierungsanfroderungen" die neu erstelle Anforderung inkl. privaten Schlüssel auf den Desktop, als Backup, exportiert
  • CSR bei Thawte SSL123 eingereicht
  • Zertifikat bekommen + eingespielt
  • MS Forefront TMG > Toolbox > Weblistener > Zertifikat > …

 

@NorbertFe

Vielen Dank für deine Unterstützung!  :jau:

 

 

UPDATE: Jetzt steht im TMG beim Weblistener wo ich das Zertifikat auswählen will, falscher Schlüsseltyp. -.-

 

post-67150-0-94810400-1381387677_thumb.jpg

 

Wäre bei "Schlüsseltyp" doch "Austausch" richtig?

 

 

Gruß Marcel

Edited by MarcelIT
Link to comment

Was war jetzt an meinem powershellbefehl so umständlich, dass du dir den krampf mit der Konsole antust?

 

Ok, dann mache ich es so - wie lautet der PS-Befehl damit ich den Wizard starten kann?

 

1. Zertifikatsrequest per Powershell auf dem Exchange erstellen (digicert bietet dir sogar nen schönen Wizard, der dir den Powershellbefehl zusammenbaut)

2. Zertifikatsrequest einreichen und warten.

3. Zertifikat welches man erhält auf dem Exchange installieren mittels der Exchange Managementkonsole (ausstehende Zertifikatsanforderung abschließen)

4. Zertifikat mit privatem Schlüssel exportieren

5. Zertifikat auf TMG importieren (privater Schlüssel als exportierbar markieren nicht anhaken).

6. Zertifikat im Weblistener konfigurieren

7. Fertig.

 

Hi, hat wie oben beschrieben über die Powershell mit ...

 

New-ExchangeCertificate -GenerateRequest -SubjectName "cn=xxx.xxx.xxx, c=XX, o=XXXXXXXXXXX, l=XXXXXX, s=XXXXXX, ou=XXXXXXXXXXXX" -IncludeAcceptedDomains -privatekeyexportable $true

 

... super funktioniert. Danke!!

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...