8
Frage zu OWA mit SSl über ISA2004
Hallo,
ich versuche gerade folgende Anleitung in einer Testumgebung einzurichten.
Die Anleitung setzt ein Webserverzertifikat für exchange.meinedomain.de auf dem ISA server vorraus, und genau da hakt es bei mir.
Was ich schon eingerichtet habe ist dass OWA über SSL intern tadellos funktioniert. Webserverzertifikat für den Exchange Server ist für exchangeserver.meinedomain.local eingerichtet.
Aber wie stelle ich nun ein Webserverzertifikat für den ISA Server aus, der für den Namen exchange.meinedomain.de eingerichtet ist?
Vielen Dank für jede Hilfe!
Gruß,
cesarius
ich versuche gerade folgende Anleitung in einer Testumgebung einzurichten.
Die Anleitung setzt ein Webserverzertifikat für exchange.meinedomain.de auf dem ISA server vorraus, und genau da hakt es bei mir.
Was ich schon eingerichtet habe ist dass OWA über SSL intern tadellos funktioniert. Webserverzertifikat für den Exchange Server ist für exchangeserver.meinedomain.local eingerichtet.
Aber wie stelle ich nun ein Webserverzertifikat für den ISA Server aus, der für den Namen exchange.meinedomain.de eingerichtet ist?
Vielen Dank für jede Hilfe!
Gruß,
cesarius
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23342
Url: https://administrator.de/contentid/23342
Printed on: April 16, 2024 at 20:04 o'clock
8 Comments
Latest comment
Hi,
schau mal hier http://www.msexchangefaq.de/internet/isassl.htm
hab ich selber noch nicht gebaut
Gruß
Appel
schau mal hier http://www.msexchangefaq.de/internet/isassl.htm
hab ich selber noch nicht gebaut
Gruß
Appel
naja..in den beiden Links wird nur generell über SSL und OWA gesprochen.
Bei isaserver.org wird finde ich nur Tutorials für SSL Bridging, nicht für Tunneling.
Ich habe jetzt versucht über meinedomaine.local/certsrv ein SSL Zertifikat zu erstellen mit dem Containername exchange.meinedomaine.de wollte diesen dann exportieren, jedoch kann ich den privaten Schlüssel nicht mitexportieren (ist grau hinterlegt, warum auch immer?), ohne den Schlüssel kann ich den aber nicht in den ISA importieren.
Hat das denn noch keiner gemacht, oder habt habt Ihr alle VPN Lösungen im Einsatz?
Gruß
cesarius
Bei isaserver.org wird finde ich nur Tutorials für SSL Bridging, nicht für Tunneling.
Ich habe jetzt versucht über meinedomaine.local/certsrv ein SSL Zertifikat zu erstellen mit dem Containername exchange.meinedomaine.de wollte diesen dann exportieren, jedoch kann ich den privaten Schlüssel nicht mitexportieren (ist grau hinterlegt, warum auch immer?), ohne den Schlüssel kann ich den aber nicht in den ISA importieren.
Hat das denn noch keiner gemacht, oder habt habt Ihr alle VPN Lösungen im Einsatz?
Gruß
cesarius
Jupp, sorry
VPN
Gruß
VPN
Gruß
Bei der Erstellung des Schlüssels muss angegeben werden, ob dieser exportierbar sein darf oder nicht!
(Die Option heisst: Schlüssel als exportierbar markieren)
Kostenlose SSL Zertifikate, die auch auf PDAs funktionieren bekommst Du hier:
http://www.cacert.org
Hope this helps
Administratesse
(Die Option heisst: Schlüssel als exportierbar markieren)
Kostenlose SSL Zertifikate, die auch auf PDAs funktionieren bekommst Du hier:
http://www.cacert.org
Hope this helps
Administratesse
Danke ür Deine Nachricht.
Das wollte ich soeben machen, allerdings wenn ich beim certsrv ein Webserverzertifikat anfordere, ist die Option "Schlüssel als "Exportierbar" markieren" auch grau hinterlegt.
Kann ich das mit meiner Zertifizierungstelle es nicht ausstellen?
Gruß,
cesarius
Das wollte ich soeben machen, allerdings wenn ich beim certsrv ein Webserverzertifikat anfordere, ist die Option "Schlüssel als "Exportierbar" markieren" auch grau hinterlegt.
Kann ich das mit meiner Zertifizierungstelle es nicht ausstellen?
Gruß,
cesarius
Ich würde als erstes prüfen, ob der Schlüssel richtig erstellt worden ist bzw. ob Du ihn vielleicht falsch exportiert hast; am einfachsten erstellst Du ihn direkt über den Webserver:
Erstellung:
1. Verwaltung-Internetinformationsdienste Manager
2. Webseite für exchange.meinedomain.de mit der rechten Maustaste anklicken und auf Eigenschaften
3. Verzeichnissicherheit - Serverzertifikat
4. neues Zertifikat erstellen
5. Anforderung sofort an Online Zertifizierungsstelle senden
6. Name exchange.meinedomain.de eingeben
7. Organisation eingeben
8. gemeinsamer Name exchange.meinedomain.de eingeben
9. Land Bundesland Ort eingeben
10. Port 443 (oder anderer je nach Konfig)
11. deine Zertfizierungsstelle auswählen
12. Fertigstellen. Mit Zertifikat anzeigen, ob das Zertifikat ausgestellt wurde und richtig ist. Es muß dabei stehen "Sie besitzen einen privaten Schlüssel für dieses Zertifikat"
Export:
1. auf der Maschine mit dem Zertifikat: Start-ausführen MMC
2. Datei Snapin hinzufügen
3. Hinzufügen - Zertifikate - Computerkonto
4. Lokalen Computer
5. Fertigstellen - Schließem - OK
6. Unter eigene Zertifikate: Zertifikate anklicken
7. das Zertifikat mit dem angezeigter Name "exchange.meinedomain.de rechts anklicken
8. alle Tasks- Exportieren
9. Weiter - ja, privaten Schlüssel exportieren
10. Exportformat PKCS#12 - alle Zertfikate im Zertifizierungspfad miteinbeziehen anklicken
11 Passwort eingeben
12. Ziel eingeben
13. Fertigstellen.
Klappts jetzt?
A.
Erstellung:
1. Verwaltung-Internetinformationsdienste Manager
2. Webseite für exchange.meinedomain.de mit der rechten Maustaste anklicken und auf Eigenschaften
3. Verzeichnissicherheit - Serverzertifikat
4. neues Zertifikat erstellen
5. Anforderung sofort an Online Zertifizierungsstelle senden
6. Name exchange.meinedomain.de eingeben
7. Organisation eingeben
8. gemeinsamer Name exchange.meinedomain.de eingeben
9. Land Bundesland Ort eingeben
10. Port 443 (oder anderer je nach Konfig)
11. deine Zertfizierungsstelle auswählen
12. Fertigstellen. Mit Zertifikat anzeigen, ob das Zertifikat ausgestellt wurde und richtig ist. Es muß dabei stehen "Sie besitzen einen privaten Schlüssel für dieses Zertifikat"
Export:
1. auf der Maschine mit dem Zertifikat: Start-ausführen MMC
2. Datei Snapin hinzufügen
3. Hinzufügen - Zertifikate - Computerkonto
4. Lokalen Computer
5. Fertigstellen - Schließem - OK
6. Unter eigene Zertifikate: Zertifikate anklicken
7. das Zertifikat mit dem angezeigter Name "exchange.meinedomain.de rechts anklicken
8. alle Tasks- Exportieren
9. Weiter - ja, privaten Schlüssel exportieren
10. Exportformat PKCS#12 - alle Zertfikate im Zertifizierungspfad miteinbeziehen anklicken
11 Passwort eingeben
12. Ziel eingeben
13. Fertigstellen.
Klappts jetzt?
A.
Hi Samtpfote,
danke für den sehr ausführlichen Beitrag!
Diese Ausführung ist mir zwar schon klar, nur wird in der SSL Tunneling zwei Zertifikate genutzt : einmal ein Zertifikat zwischen ISA und Exchange (mit CN= Exchange.meindedomain.local) dieses ist auf dem Webserver des Exchange schon installiert und einmal zwischen Client und Isa mit (CN=exchange.meinedomain.de). Das erste Zertifikat ist ja schon installiert, das zweite kann ich leider nicht erstellen, zumindest mit meiner internen CA nicht.
Ist es denn nicht möglich mit einer lokalen CA ein beliebiges Webserverzertifikat mit exportierbaren Schlüssel zu erstellen? Oder ist dies nur einmal machbar für den lokalen Webserver.
Ich hoffe ich nerve nicht, und vielen Dank nochmal!!!
Gruß,
cesarius
danke für den sehr ausführlichen Beitrag!
Diese Ausführung ist mir zwar schon klar, nur wird in der SSL Tunneling zwei Zertifikate genutzt : einmal ein Zertifikat zwischen ISA und Exchange (mit CN= Exchange.meindedomain.local) dieses ist auf dem Webserver des Exchange schon installiert und einmal zwischen Client und Isa mit (CN=exchange.meinedomain.de). Das erste Zertifikat ist ja schon installiert, das zweite kann ich leider nicht erstellen, zumindest mit meiner internen CA nicht.
Ist es denn nicht möglich mit einer lokalen CA ein beliebiges Webserverzertifikat mit exportierbaren Schlüssel zu erstellen? Oder ist dies nur einmal machbar für den lokalen Webserver.
Ich hoffe ich nerve nicht, und vielen Dank nochmal!!!
Gruß,
cesarius
Deine Config ist mir völlig klar...
Na das ist ja gar kein Problem!!!
1. Mach dir eine weitere Webseite im IIS Manager mit dem Hostheader exchange.meinedomain.de oder einem Hostheader den er noch nicht kennt (die Website ist nur ein Dummy und kommt dann wieder weg!) (Erstellen mit rechte Maus auf Websites - Neu - Website)
2. Erstell für diese Dummyseite ein Zertifikat wie in der letzten Anleitung beschrieben.
3. Lösche die Dummywebseite (das Zertifikat wird dadurch nicht gelöscht!)
4. exportiere das Zertifikat wie in der Anleitung beschrieben...
5. importiere das Zertifikat im ISA
besser?
