IIS: Clientzertifikate werden vorrausgesetzt

[SaschG 10]

Hallo Jungs,

 

ich habe ein Problem und bin etwas überfordert.

Mein Chef möchte -wahrscheinlich hat ihm irgendjemand sowas in den Kopf gesetzt- für das Intranet einen gesperrten Bereich auf den nur zugegriffen werden kann, wer das passende Zertifikat hat. Für mich Neuland.

Ich habe mich in den letzten zwei Wochen immer mal wieder damit befasst und etwas eingelesen, aber es klappt nicht so wie es soll.

Ich habe eine Stamm-CA auf dem Domänencontroller eingerichtet und kann per IIS dort von den Clients aus Certs anfordern, tolle Sache.

Auf dem Server, der das Intranet bedient, habe ich also Clientzertifikate zwingend vorrausgesetzt. Habe bei meinem Testclient das Cert exportiert, beim IIS importiert und dem Benutzerkonto zugerordnet.

Trotzdem sagt er mir beim Zugriff, ich hätte nicht das richtige Zertifikat.

Irgendwo habe ich wohl einen Denkfehler.

Braucht der Intranetserver ein Zertifikat von der CA zum Vergleich ?

Hat jemand schonmal eine solche Lösung eingerichtet ?

 

Domänencontroller 2003 Enterprise, Intranet 2003 Webedition, Clients W2K & XP

Wenn ihr mehr Informationen braucht, einfach fragen.

 

Vielen Dank,

Sascha

[Wolke2k4 11]

Ich kann leider nur sagen wie es bei SSL ausschaut, vielleicht gibt es dir ja einen Denkanstoß... ;)

 

Bei einer private CA muss auf dem Server, der SSL verschlüsselten Inhalte zur Verfügung stellt sowohl das CA Root Cert wie auch das Serverzertifikat installiert werden.

 

Den Clients die auf die SSL Inhalte zugreifen wollen mussen in diesem Fall die private CA bekannt gemacht werden. Somit muss auch auf den Clients das CA Root Cert installiert werden.

 

Bei deinem Szenario wird es (wahrscheinlich) so sein, dass jeder Client, wie bei SSL auch, ein eigenes Zertifikat bekommt und sich dementsprechend über dieses Zertifikat beim Server authentifiziert. Nichtsdestotrotz wird auch hier wieder das CA Root Cert auf den Clients und dem Server notwendig sein.