OWA (und eigentlich alles) über SSL Problem mit Zertifikat

[Markus Butz 10]

Hallo noch einmal,

 

habe Probleme mit OWA über SSL.

 

Wenn ich aktuell https://owa/exchange aufrufe, kommt beim ersten Mal sofort "Seite kann nicht angezeigt werden", beim zweiten Mal hängt er dann als würde er ewig laden. Im System-Ereignis-Protokoll ist zudem ein Fehler mit Kennung 36871 (Quelle: Schannel) zu sehen: "Ein schwerwiegender Fehler ist beim Ertstellen der Referenz Server für SSL aufgetreten."

 

Andere Inhalte (nicht nur OWA) funktionieren über SSL genauso wenig.

 

Ich bin folgendermaßen vorgegangen:

 

- Zertifikatdienste installiert

- Stammzertifizierungsstelle des Unternehmens erstellt

- In MMC und per http://owa/certsrv überprüft, dass Inst. OK war

- über http://owa/certsrv: "Ein Zertifkat anfordern", "Erweiterte...", "Webserver"

- Danach ebenfalls über http das Zertifikat "installiert" (Klick auf den Link)

- ISS-Konfig der Standardwebseite: Verzeichnissicherheit, VORHANDENES Zertifikat hinzufügen, es wird dann ein 5 Jahre gültiges Zertifikat angezeigt, OK

- "Zertifikat anzeigen" sagt, ich besäße einen gültigen privaten Schlüssel

- Im IIS / Ordner Exchange noch "Sicheren Kanal voraussetzen" mit 128 Bit aktiviert

- Unter "Authentifizierungsmethoden" "Anonymen Zugriff aktivieren" aktiviert

- Im Exchange Systeme Manager unter Protokolle, HTTP die Option "Formularbasierte..." aktiviert

- Diverse Dienste und auch ganzen Server neu gestartet

 

Wo könnte der Fehler liegen?

Ich finde keine Möglichkeit, da systematisch zu suchen, da ich keine Vernünftige Meldung habe. Die Vorgehensweise stammt aus dem Exchange Kompendium von Thomas Joos. Im IE habe ich die kurzen HTTP Fehler natürlich deaktiviert, bringt aber auch keine bessere Anzeige.

 

Was kann ich tun?

Ist das Vorgehen so richtig, wenn ich keine Lust, zum Testen einen Schlüssel zu kaufen?

 

Danke für ein paar Tips!

 

Markus

[ChristianHemker 10]

Hallo,

 

von welchem Client aus greifst du auf die HTTPS Seiten zu? Ist dieser in der Domäne oder außerhalb?

Ein Client außerhalb wird deiner Stammzertifizierungsstelle nicht vertrauen, das könnte dann zu den von dir beschriebenen Problemen führen. Die Clients in der Domäne vertrauen einer Stammzertifizierungsstelle des Unternehmens (Enterprise Root CA) automatisch, das wird über Gruppenrichtlinien geregelt.

 

Andere möglich Fehlerquelle: Ich würde das SSL Zertifikat nicht über die Webseite anfordern, sondern entweder über das SnapIn Zertifikate für lokaler Computer gehen. Über die Webseite bekommt der User das Zertifikat, nicht der Computer. Oder noch besser:

Ein neues Zertifikat erstellen (Soll anfordern bedeuten) in der IIS Managemant Konsole. Dieses wird dann bei einer Unternehmenszertifizierungsstelle automatisch genehmigt und auch installiert. Weniger Arbeit und hat bei mir bisher immer funktioniert.

 

Hier habe ich die ganze Prozedut mal als Video aufgenommen:

Windows Server Netzwerke - Blogcast Teil 1: Absicherung von OWA mit SSL und SecurID

[Markus Butz 10]

Hallo Christian,

 

es funktionierte noch nicht einmal von der selben Maschine aus.

Wie auch immer, ich habe es jetzt mit einer Zertifikat-Anforderung über den IIS Manager gemacht, damit funktioniert es auch (hatte es auch beim testen vorher schon mal getan...) aber ich dachte, dass man es auch flexibler machen kann.

 

Im Moment ist es jetzt so, dass wenn ich auf den Host über den im Zertifikat angegebenen Namen zugreife, es auf jeden Fall ohne Meldung geht (sofern in der Domäne), sonst außerhalb der Domäne oder über falschen Namen eben mit Meldung.

 

So sollte es doch über diesen Weg auch sein, richtig?

 

Aber wie ist das denn beim SBS? Wäre das da ählich oder ist da schon ein "gekauftes" Zertifikat mit bei? Oder würde der auch meckern in bestimmten Konstellationen?

 

Danke!

 

Gruß

Markus