heinzp
Goto Top

Neues Zertifikat für RPC over HTTPS over ISA (SBS2003)

(kein priv. Schlüssel für Zertifikat)

Hallo!

Ich soll auf einem SBS2003 mit ISA und interner CA ein neues Zertifikat erstellen und dem ISA für
die vom Internet kommenden SSL-Verbindungen unterschieben, denn das bisherige Zertifikat ist abgelaufen
und somit funktioniert die Outlook-Verbindung per RCP over HTTPS nicht mehr.

Der Versuch das Zertifikat über das MMC SnapIn zu erneuern schlägt mit folgender Meldung fehl:
"Sie sind nicht berechtigt, ein auf der ausgewählten Zertifikatvorlage basierendes Zertifikat anzufordern."

Ich bin über eine RemoteDesktop-Verbindung als Administrator angemeldet. Trotzdem diese Meldung.

Der Versuch ein neues Zertifikat über http://mein.server.lokal/certsrv zu erstellen klappt nur
teilweise. Wenn ich das auf der Vorlage "WebServer" basierende Zertifikat über das MMC-SnapIn "Zertifikate"
importiere erhalte ich -nicht- die Info: "Sie besitzen einen privaten Schlüssel für dieses Zertifikat"
und somit ist die Nutzung dieses Zert. mit ISA nicht möglich.

Über diesen Punkt bin ich nicht hinaus gekommen.

In vielen Beschreibungen steht, wie man das Zertifikat für den IIS erneuert, aber dieses
Zert. nutzt einen anderen Namen und ist auch noch gültig. Es geht also nur um das Zertifikat
mit dem der Verkehr zwischen Internet und ISA verschlüsselt wird.


Wer kann mir erklären wie ich ein entsprechendes Zertifikat erstelle
bzw. was notwendig ist, damit ich einen "priv. Schlüssel" besitze.

Vielen Dank für die Unterstützung.

Gruss Heinz

Content-ID: 102282

Url: https://administrator.de/forum/neues-zertifikat-fuer-rpc-over-https-over-isa-sbs2003-102282.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

heinzp
heinzp 24.11.2008 um 10:07:24 Uhr
Goto Top
Hallo!

Der Beitrag wurde bisher (24.11.) 80x gelesen
und keiner weiß eine Antwort? ;-(

Vielleicht habe ich den Titel falsch gewählt
oder alle Leser haben das gleiche Problem?

Ich habe auch noch keine Lösung gefunden.
Im Grunde geht es doch nur darum

"Wie erstelle ich unter SBS2003 ein Zertifikat
mit priv. Schlüssel mit einer internen CA?"

Wäre toll, wenn noch jemand einen Tipp hätte der
in die richtige Richtung führt. Vielen Dank!

Gruss Heinz
tpk147
tpk147 26.11.2008 um 09:54:06 Uhr
Goto Top
So nachdem dir keiner hilft hab mich hier mal angemeldet ;)


Schau mal hier rein, da ist Schritt für Schritt beschrieben wie du ein Zertifikat für RPC erstellst bzw. anforderst, nur so als Hinweis: Damit du beim Listener vom ISA das Zertifikat auswählen kannst, musst du es beim ISA Server über das MMC Importieren.


http://www.msisafaq.de/anleitungen/2004/firewallrichtlinien/rpchttps.ht ...

lg
heinzp
heinzp 26.11.2008 um 10:02:42 Uhr
Goto Top
Hallo!

Danke fuer Deine Bemühungen.

Die Anleitung kenne ich bereits und bin von dort dem Link zu http://www.msisafaq.de/anleitungen/2000/Server/Exchange_OWA_SSL_2.htm gefolgt um das Zertifikat zu erstellen.

Im ersten, dort zu sehenden, ScreenShot kann man den Button "Serverzertifikat" unter "Sichere Kommunikation" auswählen. Dieser ist bei mir "inaktiv".

Es gibt ja ein altes abgelaufenes Zertifikat. Leider finde ich bisher keinen Weg dieses zu "erneuern" oder ein passendes Zertifikat (inkl. priv. Schlüssel) zu erstellen.

Schöne Grüße
Heinz
tpk147
tpk147 26.11.2008 um 11:14:42 Uhr
Goto Top
Der Button ist vermutlich inaktiv weil du versuchst das Zertifikat direkt beim Punkt RPC zu erneuern. Du musst das aber über die Standardwebseite anfordern.

lg
heinzp
heinzp 26.11.2008 um 23:37:12 Uhr
Goto Top
Hallo!

Soweit ich es bisher verstanden habe wird das über die Standardwebseite erstellte Zertifikat für die Kommunikation zwischen ISA und WebServer (IIS) genutzt.

Dieses Zertifikat ist noch gültig und funktioniert.

Nur das Zertifikat für die Kommunikation aus dem Internet mit "ISA" ist abgelaufen und muss erneuert werden.

Kann ich dies auch über den Button "Serverzertifikat" der Std.WebSeite erstellen ohne das bestehende zu "überschreiben". Ich denke nicht - oder?

Ich hoffe ich konnte es einigermassen
verständlich darstellen.

Gruss Heinz
tpk147
tpk147 27.11.2008 um 08:27:34 Uhr
Goto Top
Morgen,

soweit richtig, das Zertifikat das bei Standardwebseite drin ist gilt für alle "untergeordneten" Seiten.

Wenn bei dir nur das ISA Zertifikat betroffen ist dann musst du das neue über MMC -> SnapIN Zertifikate (Computerkonto auswählen, ganz wichtig) und dort importieren. Anschließend im ISA beim Listener das neue Auswählen. Ein neues Zert kannst du auch online bei der Zertifizierungsstelle anfordern.
heinzp
heinzp 27.11.2008 um 13:40:14 Uhr
Goto Top
Hallo!

Wenn ich über den Button "Serverzertifikat" unter der "Standardwebsite" ein neues Zertifikat erstelle, dann überschreibt dies, soweit ich weiß, sofort das noch bestehende und gültige Zertifikat für die Kommunikation zwischen ISA und IIS.
Dies will ich aber eigentlich nicht.

Oder muss(!?) ich den Umweg gehen, ein neues Zertifikat wie oben beschrieben erstellen, dann per MMC-Snapin dem ISA "unterschieben" und danach ein zweites Mal ein neues Zertifikat erstellen, damit die Kommunikation zwischen ISA und ISS wieder abgesichert ist.

Nur ein Zertifikat verwenden geht ja nicht, weil der ISA von aussen unter einem anderen Namen angesprochen wird wie der ISS intern vom ISA.

Gibt es keine andere Möglichkeit ein neues Zertifikat mit Schlüssel etc. zu erzeugen?

Und warum erhalte ich die im ersten Beitrag genannte "Fehlermeldung"?

Vielen Dank fuer die Unterstützung.

Schöne Grüße
Heinz
tpk147
tpk147 27.11.2008 um 14:16:16 Uhr
Goto Top
Also du willst ja nur das Client <-> ISA Zertifikat tauschen und nicht das ISA <-> IIS (Exchange) Zert.

Den Umweg kannst du natürlich auch gehen, oder du kannst ein neues Zertifikat ja über jeden x beliebigen ISS anfordern, anschließend bei der CertSrv Stelle ausführen bzw. downloaden.

Den Fehler dürftest du vermutlich deshalb erhalten denke ich weil du beim export vom Zertifikat "Privaten Schlüssel Exportieren" ausgewählt hast, lass dies mal weg.

lg
heinzp
heinzp 27.11.2008 um 15:37:22 Uhr
Goto Top
Hallo,

ich hab' hier nur einen SBS und sonst nix. Kann also auf keiner anderen Kiste was anfordern.

Der Versuch das Zert. für Client <-> ISA über einen Browser beim IIS anzufordern
(http://mein.server.lokal/certsrv) klappt nicht, weil ich den priv. Schlüssel nicht exportieren kann und diesen brauche ich fuer den ISA, damit dieser die verschlüsselten Daten auch wieder entschlüsseln kann.

Soweit meine bescheidenen Kenntnisse reichen brauche ich eine PFX-Datei;
aber woher nehmen face-wink

Gruss Heinz
Mauiman
Mauiman 20.09.2011 um 11:05:14 Uhr
Goto Top
Ok, ist zwar schon nen sehr alter Thread, aber hier mal eine Lösung, wie man nen Privaten Schlüssel auf nen Zert. bekommt.

Commandozeile als Admin öffnen und da folgendes eintippen:

certutil –repairstore my “Seriennummer des Zertifikates, welches den Key bekommen soll”

Grüße maurice