none
IIS https Bindung funktioniert nicht mehr RRS feed

  • Frage

  • Hallo allerseits,

    wir haben hier eine gewisse Anzahl von Server 2008 R2 Maschinen, bei denen der IIS aktiviert wurde. Es wurde ein Zertifikat manuell durch unsere Enterprise CA im AD ausgestellt und für den IIS hinterlegt. Die Bindung für https an Port 443 mit diesem Zertifikat wurde eingerichtet. Zugriff funktioniert einwandfrei.

    Nach einiger Zeit ist plötzlich https einfach nicht mehr erreichbar. http ist weiter kein Problem.

    Also IIS Manager gestartet, auf die Bindungen geschaut und nachgeschaut, dass das Zertifikat korrekt hinterlegt ist. Und oh Wunder, sobald ich unter Bindings / Edit Site Binding reingeschaut und auf OK geklickt habe, funktioniert der Zugriff über https wieder. Wie gesagt, es wurde nichts verändert. Die Einstellugen waren allesamt noch wie sie sein sollten.

    Die Maschinen sind durchweg auch DC, haben einen SCCM 2012 SP1 Deployment Point installiert und nutzen IIS sowohl für diesen wie auch für WSUS. Mit Server 2012 konnte ich das Problem in der selben Umgebung bisher noch nicht nachvollziehen, allerdings laufen auch noch nicht so viele 2012 Systeme in den Sites. 

    Ideen? 

    Grüße, Ingo

    Dienstag, 21. Mai 2013 14:23

Antworten

Alle Antworten

  • Hallo Ingo,

    ich habe exakt das gleich Problem. Ein Server 2008 R2 EN lässt hin und wieder keine HTTPS Verbindungen mehr zu. Nach dem öffnen des Zertifikates unter Bindings funktioniert alles wieder. Im Eventlog war nicht brauchbares zu finden. Das Cert kommt auch von der eigenen MS CA.

    Ein Restart der Dienste oder des Servers brachte genau soviel wie ein iisreset. Nämlich nichts :-(

    Als Applikation läuft bei uns ein SP Foundation. Sonst ist auf den Maschinen nichts drauf.

    Gruß Malte

    Dienstag, 21. Mai 2013 16:20
  • Ja, so sieht das hier auch aus.

    Ich habe letzte Nacht einige Maschinen neu starten lassen. Scheinbar steigt dabei auch gerne mal die Bindung aus. Aber halt nicht grundsätzlich. Manche Maschinen behalten die Einstellungen über einen Neustart bei.

    Schräges Problem...

    Gruß, Ingo

    Mittwoch, 22. Mai 2013 07:15
  • Danke, dann hoffe ich, dass hier dann auch jemand eine Idee hat. Bisher sieht das ja noch nicht so aus.

    Das Problem existiert zumindest weiter.

    Mittwoch, 29. Mai 2013 12:05
  • Hallo,

    ich habe jetzt auch noch einmal geschaut und einen Hinweis darauf gefunden, dass das Problem autritt, wenn das Cert vom User in den Machine Store per Drag&Drop verschoben wird. Dies war in meinem Fall auch so. Ob sich das Problem wie beschrieben lösen lässt weis ich jedoch nicht da es ja nur hin und wieder sporadosch auftitt...

    Quelle: http://blogs.msdn.com/b/webtopics/archive/2009/02/06/ssl-stops-working-in-iis7.aspx

    Gruß Malte

    • Als Antwort vorgeschlagen Malte Brodersen Montag, 10. Juni 2013 11:27
    • Als Antwort markiert Windingo Dienstag, 11. Juni 2013 09:42
    Montag, 3. Juni 2013 10:57
  • Könnte in die Richtung gehen. Wenn ich per Browser von unserer CA ein Zertifikat anfordere, landet das ja nun einmal standardmäßig im Store des Users. Nur wird dort ja als einfachste Lösung genannt, dass man in den Einstellungen nochmal die Bindung bestätigt. Das scheint aber zumindest die Sache nicht dauerhaft zu lösen.

    Also wäre eine Lösungsmöglichkeit: die ganzen Zertifikate noch mal neu ausstellen lassen, exportieren, importieren und im IIS hinterlegen. Und das auf allen in dem Fall  beteiligten Servern, welches hier rund 30 Stück sein dürften. Ich könnte $§%$"§%! :-(

    Montag, 3. Juni 2013 11:13
  • Zweiteres habe ich jetzt einmal versucht .... nun heist es warten ... (ich habe nur einen Server *puh*)

    Bei dir kannst du dir ja ein kleines PS Script bauen das das eledigt ;-)

    Montag, 3. Juni 2013 11:31
  • Hallo Zusammen,

    bei mir tritt das Problem nicht mehr auf. Gibt es hierzu noch weitere Erfahrungen?

    Gruß Malte

    Montag, 10. Juni 2013 11:31
  • Hier ist auf dem Server, wo ich testweise das Zertifikat neu importiert hatte, das Problem auch nicht wieder aufgetaucht.

    Microsoft hat das Problem beim Server 2012 auch erkannt und auf die ...Entschuldigung... dämlichste Art und Weise gelöscht: es ist einfach kein Drag & Drop mehr zwischen den Zertifikatsstores möglich. So kann man das natürlich auch umgehen.

    Dienstag, 11. Juni 2013 08:52
  • Hi Windingo,

    wenn du möchstest kannst du das Thema dann ja als gelöst markieren ;-)

    Gruß Malte

    Dienstag, 11. Juni 2013 09:38