SSL-Zertifikat abgelaufen bei OCSPowershell (Lync 2010)

Mitglied: yake-wu

yake-wu (Level 1) - Jetzt verbinden

05.04.2016, aktualisiert 17:38 Uhr, 1312 Aufrufe, 4 Kommentare

Guten Morgen,



ich habe ein Problem auf die Lync-Verwaltungsshell (OCSpowershell) mit einem Rechner zuzugreifen. Die Rechner sind Domänenmitglieder der selben Domäne. Ich nehme an, es ist ein Fehler auf dem Client, da ich mit anderen Rechnern eine https-verbindung zur ConnectionUri der Lync-Verwaltungsshell herstellen kann.

Eine normale Powershell-Verbindung via SSL zum Lyncserver ist auch möglich, doch bei dem Befehl:
Erhalte ich die Fehlermeldung:

Ich habe das genutzte Zertifikat auf dem IIS exportiert und es auf dem Client mit certutil -verify überprüft:
Ausgabe:
Ich komme nicht dahinter, warum nur dieser eine Client keine Verbindung aufbauen kann.
Kann jemand helfen?


Vielen Dank.
Kommentar vom Moderator Dani am 05.04.2016 um 17:38:52 Uhr
Formatierung hinzugefügt.
Mitglied: 114757
114757 (Level 4)
05.04.2016, aktualisiert um 14:27 Uhr
Moin
Es konnte nicht überprüft werden, ob das SSL-Zertifikat gesperrt ist. Der zum Überprüfen der Sperren verwendete Server ist möglicherweise nicht erreichbar.
Der Fehler ist eigentlich eindeutig, der Client kann den Sperrserver welcher im Zertifikat hinterlegt ist nicht erreichen. Öffne mal das Zertifikat und sieh nach der Option Sperrlisten-Verteilungspunkte. Mindestens eine der dort hinterlegten CRL (Certificate Revocation List)-URLs muss der Client erreichen können. Ist das nicht der Fall kommt es zu der o.g. Fehlermeldung.

Gruß jodel32
Bitte warten ..
Mitglied: yake-wu
05.04.2016 um 15:10 Uhr
Hallo jodel32,

vielen Dank für Deine Antwort.

Der Client kommt aber an die Sperrlisten-Verteilungspunkte. Dieser liegt bei uns im Netz. Wie oben beschrieben, certutil -verify auf dem client hat mit dem Zertifikat auch gar kein Problem. Eben nur die Powershell.

Gruß

yake-wu
Bitte warten ..
Mitglied: yake-wu
06.04.2016 um 11:06 Uhr
Hallo,

ich habe es lösen können und möchte Euch daran teilhaben lassen. Ich denke, in diese Fall kann man leicht tappen.

Es lag am IIS auf dem Lyncserver. Hier gab es eine Bindung für http und https. Diese waren an "*" gebunden. Also an alle IP-Adressen des Hosts. Das sollte eigentlich ausreichen. Tut es aber nicht.

Auf dem Clientserver und auch dem Host ist IPv6 aktiviert. Und bei IPv6 gilt das "*" in den Bindungen am IIS nicht. Ich habe nun das gültige Zertifikat expliziet an die IPv6 Adresse des Hosts gebunden und habe nun keine Probleme mit dem Zertifikat.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
06.04.2016, aktualisiert um 12:28 Uhr
Bezüglich IPv6 und IIS Zertifikate schau auch mal hier rein:
https://www.administrator.de/wissen/internet-information-server-iis-7-5- ...
Das hatte ich nämlich auch schon mal. Denn manche Bindungen tauchen im IIS manchmal nicht direkt in der GUI auf.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic23 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 9 StundenFrageLAN, WAN, Wireless30 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft10 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 6 StundenFrageOff Topic19 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 7 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...