none
Serverauthentifizierungszertifikat für TS Gateway über IIS7 beantragen RRS feed

  • Frage

  • Hallo,

    ich bin dabei ein TS-Gateway einzurichten mit einem eigenen Zertifikat. Hier habe ich mich versucht an folgende Anleitung für die Vorbereitung zu halten:

    http://www.youtube.com/watch?v=ak_7g9oB5a4

    Soweit verstehe ich auch fast alles... aber nur fast. In dem Video beantragt er über IIS ein "Serverauthentifizierungszertifikat, was er in den TS-Gateway einbindet. Das Problem ist, dass ich kein Serverauthentifizierungszerifikat beantragen kann. Ich habe als Administrator nur folgende Anforderungen zur Auswahl:

    Benutzer, Basis-EFS, Administrator, EFS-Wiederherstellungs-Agent, Webserver, Untergeordnete Zertifizierungsstelle

    In der Zertifikatsrolle gibt es noch ein paar Vorlagen mehr, aber keins mit dem Namen: "Serverauthentifizierungszertifikat"

    Ich habe versucht ein Webserver+ Untergeordnete Zertifizierungsstelle anzufordern. Bei Webserver ist es keine pfx, was das Gateway nicht mag und bei der untergeordneten Zertifizierungsstelle sagt er, dass es kein Serverauthentifizierungszertifikat ist.

    Infos zum System: Windows 2008 R2 mit folgenden Rollen: Active-Directory-Zertifikatsdienste, Remotedesktopgateway, Web Access für Remotedesktop, Webserver (IIS).

    Über Tipps wäre ich sehr dankbar.

    Gruß

    Modjo85

    Montag, 30. Juli 2012 08:24

Antworten

  • Einfache Lösung: bastel dir dein eigenes Template. Starte die CA Konsole, geh mit der rechten Maus unten auf Templates und wähle Manage. Im neuen Fenster duplizierst du die Vorlage Webserver und setzt das Häkchen bei Allow private key to be exported.

    Das Ganze noch in der CA Konsole aktivieren: Templates --> New --> neu erstelltes Template wählen.

    Allerdings ist das Betreiben eine PKI durchaus kompliziert, auch wenn es nicht danach aussieht. Es gibt viele Abhängigkeiten die man beachten muss.

    Dienstag, 31. Juli 2012 11:05

Alle Antworten

  • Was du aufzählst sind keine Zertifikate sondern Templates. Welchen Zweck Templates haben steht in den Eigenschaften unter Erweiterte Schlüsselverwendung. Das Webserver Template dient bspw. dem Zwecke der Serverauthentifizierung (1.3.6.1.5.5.7.3.1), was dem entspricht was du suchst.

    Dienstag, 31. Juli 2012 10:03
  • Hallo,

    danke für die Antwort. Das Problem bei dem Webserver-"Template" ist, dass ich den Schlüssel nicht exportierbar "markieren" kann... das bedeutet, dass ich hinterher auf dem exportierten Zertifikat kein Schlüssel habe und der TS-Gateway das voraussetzt.

    Gruß

    Dienstag, 31. Juli 2012 10:09
  • Einfache Lösung: bastel dir dein eigenes Template. Starte die CA Konsole, geh mit der rechten Maus unten auf Templates und wähle Manage. Im neuen Fenster duplizierst du die Vorlage Webserver und setzt das Häkchen bei Allow private key to be exported.

    Das Ganze noch in der CA Konsole aktivieren: Templates --> New --> neu erstelltes Template wählen.

    Allerdings ist das Betreiben eine PKI durchaus kompliziert, auch wenn es nicht danach aussieht. Es gibt viele Abhängigkeiten die man beachten muss.

    Dienstag, 31. Juli 2012 11:05
  • Danke für die Antwort. JA!!! Ich habe ein Zertifikat anfordern können, welches das TS Gatway "frisst".

    Was nur komisch ist. Ich habe das Webserver-Template kopiert und eine Gültigkeitsdauer von 100 Jahren angegeben. Wenn ich das Zertifikat dann in den TS-Gateway einbinde, sagt er bei Ablaufdatum 31.07.2014 (also 2 Jahre, wie das normale Webserver-Template). Wie kann ich das erhöhen!?!

    In wie fern ist das Betreiben von PKI kompliziert? Kannst du das näher erläutern?

    Danke

    Dienstag, 31. Juli 2012 11:23
  • Inwiefern kompliziert? Du lieferst doch schon die Argumente. :-) --> Warum die geringe Laufzeit? Weil das CA Certificate nur zwei Jahre gültig ist. Längere Laufzeiten als das CA Cert. geht halt nicht. Das sind die beschriebenen Abhängigkeiten.
    Dienstag, 31. Juli 2012 11:34
  • Inwiefern kompliziert? Du lieferst doch schon die Argumente. :-) --> Warum die geringe Laufzeit? Weil das CA Certificate nur zwei Jahre gültig ist. Längere Laufzeiten als das CA Cert. geht halt nicht. Das sind die beschriebenen Abhängigkeiten.
    Dienstag, 31. Juli 2012 11:34
  • Hi,

    ich habs trotzdem hinbekommen. Im folgenden Link ist es beschrieben, wie man die Vorlage von der Laufzeit her verlängern kann. Klick

    Gruß

    Dienstag, 31. Juli 2012 11:41