yake-wu
Goto Top

SSL-Zertifikat abgelaufen bei OCSPowershell (Lync 2010)

Guten Morgen,


ich habe ein Problem auf die Lync-Verwaltungsshell (OCSpowershell) mit einem Rechner zuzugreifen. Die Rechner sind Domänenmitglieder der selben Domäne. Ich nehme an, es ist ein Fehler auf dem Client, da ich mit anderen Rechnern eine https-verbindung zur ConnectionUri der Lync-Verwaltungsshell herstellen kann.

Eine normale Powershell-Verbindung via SSL zum Lyncserver ist auch möglich, doch bei dem Befehl:
New-PSSession -ConnectionUri http://<Lyncserver>/ocsPowerShell -Credential Get-Credential
Erhalte ich die Fehlermeldung:
New-PSSession : [<Lyncserver>] Connecting to remote server <Lyncserver> failed with the
following error message : Das Serverzertifikat auf dem Zielcomputer (<Lyncserver>:443) enthält die
folgenden Fehler:
Es konnte nicht überprüft werden, ob das SSL-Zertifikat gesperrt ist. Der zum Überprüfen der Sperren verwendete Server
ist möglicherweise nicht erreichbar.
Das SSL-Zertifikat ist abgelaufen. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:12
 $Session = New-PSSession -ConnectionUri https://<Lyncserver>. ...
            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : 12175,PSSessionOpenFailed

Ich habe das genutzte Zertifikat auf dem IIS exportiert und es auf dem Client mit certutil -verify überprüft:
Ausgabe:
C=DE
Zertifikatseriennummer: 3608e9a5000000000bec

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 40 Days, 20 Hours, 36 Minutes, 24 Second
s

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 40 Days, 20 Hours, 36 Minutes, 24 Seconds


CertContext: dwInfoStatus=102 dwErrorStatus=0
  Issuer: xxx
  NotBefore: 29.03.2016 10:59
  NotAfter: 29.03.2018 10:59
  Subject: xxx
  Serial: 3608e9a5000000000xxx
  SubjectAltName: DNS-Name=sip.xxx.de, DNS-Name=lyncdiscoverinternal.xxx.de, DNS-Name=lyncdiscover.xxx.de, DNS-Name=dailin.xxx.de, DNS-Name=
meet.xxx.de, DNS-Name=sipadmin.xxx.de, DNS-Name=sipextern.xxx.de,
 DNS-Name=de01com03.xxx.de, DNS-Name=xxx, DNS-Name=dial
in.xxx.de
  Template: WebServer
  c7 3c 8a e1 c5 b6 3a bd 7e aa 95 e0 d7 65 e8 83 62 5b 17 08
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL d1:
    Issuer: CN=xxx, DC=xxx, DC=de
    60 49 b4 e1 e5 b2 d0 ad 84 7e 0d 1d e3 47 0c f2 0d xxx
  Application = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung

CertContext[1]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=xxx
  NotBefore: 19.10.2012 12:12
  NotAfter: 19.10.2022 12:22
  Subject: xxx
  Serial: 613f2930000000000xxx
  Template: SubCA
  b5 86 3f 80 25 f0 43 d3 52 18 f2 a7 7c 5b e6 39 cf xx
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL 10:
    Issuer: xxx
    bd 75 22 fc 53 0f e7 c4 70 7f 25 bc 5e 9d 51 03 4xx

CertContext[2]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: xxx
  NotBefore: 07.02.2007 13:38
  NotAfter: 07.02.2027 13:47
  Subject: xxx
  Serial: 55905209c1a78bb546bc4af80c9xx
  a3 5a 13 2c 77 6d 26 e8 4e e6 73 15 78 1d d0 76 5b xx
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
  51 43 ec 99 da 36 1c a1 53 b3 2e 0f 31 d8 4d d2 14 68 xx
Full chain:
  10 47 c5 90 90 73 95 48 22 aa c9 20 e1 6d 88 77 67xx
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
n.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.
Ich komme nicht dahinter, warum nur dieser eine Client keine Verbindung aufbauen kann.
Kann jemand helfen?


Vielen Dank.
Kommentar vom Moderator Dani am 05.04.2016 um 17:38:52 Uhr
Formatierung hinzugefügt.

Content-Key: 300927

Url: https://administrator.de/contentid/300927

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: 114757
114757 05.04.2016 aktualisiert um 14:27:27 Uhr
Goto Top
Moin
Es konnte nicht überprüft werden, ob das SSL-Zertifikat gesperrt ist. Der zum Überprüfen der Sperren verwendete Server ist möglicherweise nicht erreichbar.
Der Fehler ist eigentlich eindeutig, der Client kann den Sperrserver welcher im Zertifikat hinterlegt ist nicht erreichen. Öffne mal das Zertifikat und sieh nach der Option Sperrlisten-Verteilungspunkte. Mindestens eine der dort hinterlegten CRL (Certificate Revocation List)-URLs muss der Client erreichen können. Ist das nicht der Fall kommt es zu der o.g. Fehlermeldung.

Gruß jodel32
Mitglied: yake-wu
yake-wu 05.04.2016 um 15:10:56 Uhr
Goto Top
Hallo jodel32,

vielen Dank für Deine Antwort.

Der Client kommt aber an die Sperrlisten-Verteilungspunkte. Dieser liegt bei uns im Netz. Wie oben beschrieben, certutil -verify auf dem client hat mit dem Zertifikat auch gar kein Problem. Eben nur die Powershell.

Gruß

yake-wu
Mitglied: yake-wu
yake-wu 06.04.2016 um 11:06:26 Uhr
Goto Top
Hallo,

ich habe es lösen können und möchte Euch daran teilhaben lassen. Ich denke, in diese Fall kann man leicht tappen.

Es lag am IIS auf dem Lyncserver. Hier gab es eine Bindung für http und https. Diese waren an "*" gebunden. Also an alle IP-Adressen des Hosts. Das sollte eigentlich ausreichen. Tut es aber nicht.

Auf dem Clientserver und auch dem Host ist IPv6 aktiviert. Und bei IPv6 gilt das "*" in den Bindungen am IIS nicht. Ich habe nun das gültige Zertifikat expliziet an die IPv6 Adresse des Hosts gebunden und habe nun keine Probleme mit dem Zertifikat.
Mitglied: 114757
114757 06.04.2016 aktualisiert um 12:28:42 Uhr
Goto Top
Bezüglich IPv6 und IIS Zertifikate schau auch mal hier rein:
Internet Information Server (IIS 7.5) verwendet altes Zertifikat trotz korrekter Einbindung eines neuen Zertifikates
Das hatte ich nämlich auch schon mal. Denn manche Bindungen tauchen im IIS manchmal nicht direkt in der GUI auf.