manu90
Goto Top

Zertifikat Import

hallo zusammen,

ich habe folgendes Problem, ich habe ein selbsterstelltes Zertifikat für OWA ... damit die lästige Zertifikatsmeldung nicht mehr erscheint...
soweit so gut...

wenn ich das Zertifikat auf dem lokalen PC installieren will...
gehe ich über Systemsteuerung - > Internet > Zertifikate ... und da importiere ich es in vertrauenswürdige Stammzertifizierungsstellen... am Schluss kommt die Meldung: Der Importvorgang war erfolgreich...

dazu gehe ich in die MMC und Zertifikate und suche es... es ist einfach nie da... egal ob ich in vertrauenswürdige Stammzertifizierungsstellen oder in Eigene Zertifikate...

kann mir das jemand erklären?

vielen Dank und tschüss...

Content-ID: 181748

Url: https://administrator.de/contentid/181748

Ausgedruckt am: 05.11.2024 um 20:11 Uhr

Patriot
Patriot 11.03.2012 um 13:34:46 Uhr
Goto Top
Also ich impotiere Zertifikate immer per doppelklick auf das .cer und dann wähl ich den Speicher aus, aber ich nehm mal an das dass gerade keinen Unterschied macht!
In Welchen Zertifikatsspeicher impotierst du es denn?

Benutzerkonto?
Dienstkonto?
Compuiterkonto?

Suchst du auch im richtigen Zertifikatsspeicher nach deinem Zertifikat?
Dani
Dani 11.03.2012 um 13:39:01 Uhr
Goto Top
Moin,
es bringt dir überhaupt nichts, wenn du das selbe Zertifikat dass du für OWA installiert hast auf deinem Rechner auch zu Hause installierst. Was diese "Lästige" (aber sinnvolle) Fehlermeldung beseitigt, ist die Installation des Zertifikats der Zertifizierungstelle. Somit kann der Browser das OWA Zertifkat verfizieren und bestätigen.


Grüße,
Dani
manu90
manu90 11.03.2012 um 14:10:14 Uhr
Goto Top
Hi, wie meinst du das?

Zertifizierungsstelle ... Eines kaufen ???

Geht denn Rpc over https. Nur über gekauftes Zertifikat... ?

Danke dir
Dani
Dani 11.03.2012 um 14:14:40 Uhr
Goto Top
Zertifizierungsstelle ... Eines kaufen ???
Nene...
Wie hast du den das Zertifikat für den Exchange (BTW: welche Version setzt du ein) erstellt?!
manu90
manu90 11.03.2012 um 14:55:39 Uhr
Goto Top
ex2010

habe das Zertifikat über die AD Zertifikate erstellt und danach die Dienste in ex2010 zugeteilt...

die entsprechenden Domainnamen sind eigentlich alle drin...
spacyfreak
spacyfreak 11.03.2012 um 14:57:01 Uhr
Goto Top
Der OWA Server hat ein Serverzertifikat, das irgendjemand ausgestellt hat.

Je nachdem, WER es ausgestellt hat, VERTRAUT dein Browser dem Zertifikat, oder eben nicht.

Die Entscheidung, WELCHEN Zertifikaten der zugreifende WEbbrowser vertraut, hängt davon ab, ob das STAMMZERTIFIKAT (Root Zertifikat) der AUSSTELLENDEN ZERTIFIZIERUNGSSTELLE in den "Vertrauenswürdigen Stammzertifizierungsstellen" drin ist.
Das ist auch der einzige Grund, warum Firmen Zertifikate z. B. von Verisign, Global Trust etc kaufen - weil die Root CA Zertifikate bereits im Browser drin sind und somit die lästigen, für Anwender eh nicht verständlichen Warnungen nicht angezeigt werden. Dass diese Firmen für sowas richtig Kohle verlangen ist meines Erachtens eine Frechheit - doch das ist ein anderes Thema. face-smile

Wenn das OWA Serverzertifikat von einer eigenen CA ausgestellt / signiert wurde, muss nur das Stammzertifikat (Root CA Zertifikat) der eigenen, privaten CA auf dem Clientrechner installiert werden.
Da es da verschiedene Formate gibt ist das auch wieder bisschen verwirrend. In der Regel enthält ein .pfx Container die zusammengehörenden Zertifikate/Schlüssel.
Es gibt aber auch noch einige andere Formate wie .pem, .cer, was die Zertifikatsthematik für den Laien nicht grade verständlicher macht.
manu90
manu90 11.03.2012 um 15:18:39 Uhr
Goto Top
Hi,

ok, wenn ja die OWA Warnung kommt ich ich da sage Zertifikat importieren... dieses in Vertrauenswürdigen Stammzertifizierungsstellen lege... kann ich ja nicht auswählen ob .cer oder .pfx etc...
Dani
Dani 11.03.2012 um 15:31:48 Uhr
Goto Top
Zitat von @manu90:
ok, wenn ja die OWA Warnung kommt ich ich da sage Zertifikat importieren... dieses in Vertrauenswürdigen
Stammzertifizierungsstellen lege... kann ich ja nicht auswählen ob .cer oder .pfx etc...
Du musst auf dem Client das ROOT CA Zertifikat einspielen. Dies bekommst du von dem Server auf dem die Rolle installiert ist.
Das Zertifikat von Exchangeserver spielt derweil keine Rolle!


Grüße,
Dani
spacyfreak
spacyfreak 11.03.2012 um 17:15:50 Uhr
Goto Top
Das Zertifikat des Exchangeservers (eventuell noch incl. private Key..hehe) auf den Clients zu installieren ist nicht nur sinnfrei, sondern sicherheitstechnisch gar total kontraproduktiv, genau genommen ist es grob fahrlässig. face-smile

Zu jedem Zertifikat gehört auch ein privater Schlüssel.
Das Zertifikat (das auch den public key enthält) wird beim Verbindungsaufbau zum Client geschickt.
Der Client verschlüsselt die Daten die er zum Server schickt mit dem public key das im Serverzertifikat enthalten ist.
Und nur der OwA Server kann die Daten wieder entschlüsseln, da nur er den passenden private Key dazu hat.
Wenn aber das OWA Server Schlüsselpaar wirr verteilt wird kann natürlich jeder, der denTraffic mitschneidet, und den private Key hat, die Daten entschlüsseln.
Der private key heisst nicht private key weil man ihn privat verteilen darf, sondern weil er unbedingt geschützt werden muss und nicht in falsche Hände geraten darf. face-wink
Das sind PKI Grundlagen.

Wie dani sagt musst du das ROOT CA ZERTIFIKAT des CA Servers, der das Serverzertifikat signiert hat, auf den Cients installieren.
Das lässt sich auch verteilen via Active Directory Gruppenrichtlinien - http://technet.microsoft.com/de-de/library/cc770315%28WS.10%29.aspx

Dann vertrauen sie auch dem OWA Zertifikat - weil das Zertifikat des CA Servers auf dem Client bei den vertrauenswürdigen Zertifizierungsstellen hinterlegt ist.

Die PKI Geschichte gehört erfahrungsgemäss zu den am meisten missverstandenen Themen in der IT glaube ich... face-smile
Da geht es um Vertrauen, um Signieren, um Zertifikatsattribute, um Zertifikatsketten... ja dat is alles nit so einfach mit die Kompjuta!
manu90
manu90 11.03.2012 um 18:00:37 Uhr
Goto Top
hi dumme Frage... welches ist genau das Root CA ?
spacyfreak
spacyfreak 11.03.2012 um 18:10:17 Uhr
Goto Top
Zitat von @manu90:
hi dumme Frage... welches ist genau das Root CA ?


Das Zertifikat der Root CA, die das OWA Zertifikat ausgestellt hat.
Kannst das Root CA auch vom OWA Server exportieren und auf dem Client installieren.. Guggst du "Vertrauenswürdige Zertifikatsherausgeber" da sind ne ganze Menge, incl. der CA die du suchst..
Welche CA das ist - guggst du dir das owa zertifikat mal genau an da stehts..
Dani
Dani 11.03.2012 um 18:13:27 Uhr
Goto Top
Zitat von @manu90:
hi dumme Frage... welches ist genau das Root CA ?
Das war n Scherz zum Sonntag oder?! Es gibt nur eines und das hat deine Zertifizierungstelle selbst bzw. an alle Domänenclients verteilt.
spacyfreak
spacyfreak 11.03.2012 um 18:19:44 Uhr
Goto Top
Zitat von @Dani:
> Zitat von @manu90:
> ----
> hi dumme Frage... welches ist genau das Root CA ?
Das war n Scherz zum Sonntag oder?! Es gibt nur eines und das hat deine Zertifizierungstelle selbst bzw. an alle
Domänenclients verteilt.

Müsste aber auch auf dem OWA Server installiert sein, damit er auch selber seinem eigenen Zertifikat vertraut üblicherweise.
Dani
Dani 11.03.2012 um 18:24:31 Uhr
Goto Top
Hast Recht.. ist unglücklich formuliert. Alle Domänen-clients/-server/-memberserver. face-smile
Dani
Dani 15.03.2012 um 20:48:49 Uhr
Goto Top
Du hast du deinen eignen Thread...


Grüße,
Dani