ralhue
Goto Top

Problem mit Zertifizierungsstellen Webregistrierung

Hallo zusammen,
ich habe folgendes Problem:
In einer Testumgebung (w2k12r2) habe ich 4 VMs eingerichtet:
1 mal w2k12r2 DC
1 mal w2k12r2 Member (soll später exchange 2012 SP1 aufnehmen)
2 mal Win8.1

Der DC hat den Namen DOMC und die Domäne den Namen contoso.int

Alle Rechner sind komplett durchgepatched. Es ist keinerlei Software außer OS installiert. Alles niegel-nagel neu.
Domäne funktioniert soweit. Die Ereignisprotokolle sind sauber.

Nachdem ich einen Prüfpunkt für den DC gesetzt hatte, habe ich die Rollen Zertifizierungsstelle und Zertifizierungsstellen Webregistrierung installiert. Die Installation lief sauber durch, ich habe alles soweit auf default Einstellungen gelassen. Danach die Zertifizierungsstelle überprüft mit:
Verwaltung Zertifizierungsstelle (grüne Haken)
Befehlszeile PKIView (Status OK)

ABER

der Aufruf über https://domc/certsrv klappt nicht. Meldung: Webseite kann nicht angezeigt werden.
der Aufruf über http://domc/certsrv klappt.

Das Zertifikat contoso-DOMC-CA ist im Ordner Zertifikate der Vertrauenswürdigen Stammzertifizierungstelle auf den Clients vorhanden (sobald sie Mitglied der Domäne sind)

Ich möchte mit der Installation des Exchang Servers erst beginnen wenn alles funktioniert. In allen Anleitungen, die ich bis jetzt gelesen habe, steht, dass die Zertifizierungsstelle mit dem Browser über https aufgerufen werden kann. Wo liege ich falsch oder was habe ich noch nicht bedacht?

Grüße
Ralf

Content-ID: 236520

Url: https://administrator.de/forum/problem-mit-zertifizierungsstellen-webregistrierung-236520.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

colinardo
colinardo 26.04.2014 aktualisiert um 12:30:01 Uhr
Goto Top
Hallo Ralf,
neu gestartet hast du sicher !? Bitte prüfe dann mal die Bindungen im IIS einmal für die "Default Web Site" und dann noch die SSL-Einstellungen im virtuellen CertSrv-Verzeichnis. Zusätzlich für dieses Verzeichnis im Dialog Erweiterte Einstellungen überprüfen ob dort unter aktivierte Protokolle http,https eingetragen ist. Dann natürlich noch die Einstellungen des IE überprüfen, ob der Seite wirklich vertraut und nicht geblockt wird.

Schon ein gültiges Zertifikat für den IIS generiert ?

Läuft eventuell schon ein anderer Dienst oder Rolle auf Port 443 ?

Wie lautet die genaue Fehlermeldung im Browser ?

Hier gibt es auch noch diverse Lösungen für genau dein Problem: http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c ...

Geh die mal durch, dann wird sich das sicherlich aufklären face-smile

Grüße Uwe
ralhue
ralhue 26.04.2014 um 17:57:15 Uhr
Goto Top
Hallo Uwe,

ich habe das Gefühl, dass wir das irgendwie hinkriegen - aber im Moment "schwimme" ich noch ziemlich kopflos in der Gegend rum (dieses zertifizierungsgedöhns ist totales Neuland für mich).

Als erstes habe ich die Bindungen der default Website kontrolliert, und da gabs tatsächlich nur http auf Port 80. Also habe ich https auf Port 443 zugefügt.
Dann habe ich in den erweiterten Eigenschaften die "Aktivierten Protokolle" um https erweitert (mit einem Komma von http getrennt). Dann habe ich kontrolliert, ob Serverzertifikate unter dem Zweig DOMC (Contoso\Administrator) im IIS vorhanden sind, ja da gibts zwei Zertifikate:

contoso-DOMC-CA und
DOMC.contoso.int
beide ausgestellt von contoso-DOMC-CA - ob das die erfordelichen sind ??????

Hat aber alles nichts gebracht. Die Standardmeldung im Browser war eben, dass die Seite nicht verfügbar ist und man solle kontrollieren ob die Adresse https://domc richtig geschrieben sei.

Dann habe ich in den SSL Einstellungen der Site CertSrc im IIS die Option aktiviert "Clientzertifikate Akzeptieren". Jetzt erhalte ich beim Aufruf die Meldung
:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Wenn ich dann "Laden der Website fortsetzen (nicht empfohlen) klicke, komme ich tatsächlich auf die Site "Microsoft-Active Directory-Zertifikatdienste - Contoso-DOMC-CA". Und in der URL-Zeile steht: https://domc/certsrv.

Aber irgendwie befriedigt mich das nicht, da ich die Zusammenhänge nicht richtg verstehe (und dafür habe ich mir ja die Testumgebung aufgebaut). Wie kann ich denn ein Sicherheitszertifikat für die Site CertSrv erstellen?

Jetzt aber erst mal recht herzlichen Dank für Deine Mühe und die fundierten Hilfestellungen - was täten wir "Normaladmins" ohne so engagierte Jungs wie Dich?!

Vieleicht fällt Dir ja noch was ein

Grüße
Ralf
colinardo
Lösung colinardo 26.04.2014, aktualisiert am 27.04.2014 um 17:38:39 Uhr
Goto Top
Hi Ralf,
schonmal die Seite mit https://domc.contoso.int/certsrv aufgerufen ? Das jetzige Zertifikat ist vermutlich nur auf den FQDN ausgestellt... dann solltest du
mit diesem Aufruf keine Fehlermeldung mehr erhalten.

Um dem IIS ein neues Zertifikat zu erstellen, wenn du das mal als Übung machen willst, sei dir dieser Artikel empfohlen:
http://www.techrepublic.com/blog/how-do-i/how-do-i-request-and-install- ...

Wie man eine Zertifizierungsstelle betreibt kannst du hier nachlesen: http://technet.microsoft.com/de-de/library/cc772393(v=ws.10).aspx

Das Thema ist vielschichtig und du solltest sich mit den Fachbegriffen Schritt für Schritt vertraut machen, damit du das gesamte System verstehst. Also eins nach dem anderen face-smile

Schönen Abend
Grüße Uwe
ralhue
ralhue 27.04.2014 aktualisiert um 17:43:07 Uhr
Goto Top
Hallo Uwe und alle die mitgelesen haben,

dass war vieleicht eine Geburt. Nach gefühlten 1000 Foren- und Bloggbeiträgen und viel, viel rumprobieren läuft meine WebSite jetzt mit SSL-Verschlüsselung.
Die Lösung brachte ein Userbeitrag in dem von Uwe empfohlenen Forum http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c .... Hier beschreibt er mein Problem und liefert auch gleich die Lösung: CA und Webregistrierung deinstallieren, sich an der Domäne mit dem Domänenkonto anmelden und neu installieren. Die Art der Anmeldung entscheidet also darüber obs nachher geht. Die Logik muss mir mal jemand erklären.
Aber egal - vieleicht sollte ich auch dankbar sein, denn dadurch musste ich mich intensiv mit der Materie auseinandersetzen und den Zertifikatkram hab ich jetzt drauf.
Dir, lieber Uwe, nochmals herzlichen Dank - ohne Deine Tips hätte ich das nicht hinbekommen.

Schönes Restwochenende
Grüße Ralf