none
IIS SSL-Einstellung Clientzertifikat erforderlich - Serverfehler 403 RRS feed

  • Frage

  • Hallo,

    ich möchte gerne den Remote Arbeitsplatz nur für die PCs / NBs unserer Firma zugänglich machen. Ich habe mir dabei gedacht, dass ich im IIS unter Remote bei SSL-Einstellungen "Erforderlich" bei dem Zertifikat wähle. Zertifikat sind auf allen Clients installiert. Wenn ich jedoch die Site ansurfe, dann erscheint:

    Serverfehler

    403 - Verboten: Zugriff verweigert.
    Die angegebenen Anmeldeinformationen berechtigen Sie nicht, dieses Verzeichnis oder diese Seite anzuzeigen.

    Warum kommt diese Fehlermeldung?!

    mfg

    Dominik

    Montag, 5. September 2011 14:30

Antworten

  • Hi Dominik,
     
    > Danke für die schnelle Antwort, aber das war nicht ganz meine
    > Frage...vielleicht hab ichs falsch formuliert..
    >
    > So wie du es beschrieben hast, hab ich es auch gemacht.
    >
    > Was ich will ist, dass nicht von überall auf remote.domain.de
    > zugegriffen werden kann, sondern nur von jenen Geräten, die das selbst
    > vom SBS erstellte Zertifikat haben.
     
    Auf remote.domain.de kann nur jener zugreifen, der die passende
    User/Passwort-Kombination kennt und dazu berechtig ist.
     
    Zusätzliche Sicherheit bzgl. Angriffen auf ein IIS erreichst Du z.B. durch
    eine voran geschaltete Applikation Firewall wie z.B. TMG 2010.
     
    Ein Client-Zertifikat ist nur eine weitere Authentifizierungsmethode,
    schützt aber den eigentlichen IIS nicht gegenüber DoS-Attacken oder anderen
    Angriffsvektoren.
     
     
    > Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich
    > 403 wenn ich das Clientzertifikat auf Erforderlich setze...
     
    Einfach nur ein Häkchen setzen und die Client-Zertifikate auszurollen
    reicht nicht. Woher sollte denn der IIS wissen, welche Clients zu was
    berechtigt sind?
     
    Folgender Artikel wäre für ein Standard-IIS dazu von nöten.
     
    Hinweis: Ob dieses jedoch auf einem SBS supportet ist, bezweifle ich.
     
    Merke: Sollange es keinen offiziellen Artikel seitens Microsoft gibt, wo es
    explizit für ein SBS beschrieben wird, wie es geht und wie es supportet
    ist, ist es nicht supportet!
     
    Configure Client Certificate Mapping Authentication (IIS 7)
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Dienstag, 6. September 2011 06:50
    Moderator
  • Hi Dominik,
     
    > ich will doch einfach nur wissen warum, wenn ich im IIS unter Remote die
    > SSL-Einstellung auf "Erforderlich" stelle und ich auf dem Client das
    > Zertifikat installiert habe ich den Fehler 403 bekomme!^^ Hin oder her
    > ob das jetzt sicher ist oder nicht...
     
    Darauf hab ich Dir am 06.09.2011 um 8:50:34
    in diesem thread schon folgendes geantwortet - s.u. inkl. aktualisierter
    Link zu "Configure Client Certificate Mapping Authentication (IIS 7)"
     
    Was hast Du daran nicht verstanden..?
     
    > Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich
    > 403 wenn ich das Clientzertifikat auf Erforderlich setze...
     
    Einfach nur ein Häkchen setzen und die Client-Zertifikate auszurollen
    reicht nicht. Woher sollte denn der IIS wissen, welche Clients zu was
    berechtigt sind?
     
    Folgender Artikel wäre für ein Standard-IIS dazu von nöten.
     
    Hinweis: Ob dieses jedoch auf einem SBS supportet ist, bezweifle ich.
     
    Merke: Sollange es keinen offiziellen Artikel seitens Microsoft gibt, wo es
    explizit für ein SBS beschrieben wird, wie es geht und wie es supportet
    ist, ist es nicht supportet!
     
    Configure Client Certificate Mapping Authentication (IIS 7)
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Mittwoch, 14. September 2011 14:02
    Moderator

Alle Antworten

  • Welcher SBS Server?

     

    Montag, 5. September 2011 14:48
  • Sorry, hab ich vergessen zu sagen.... SBS 2011...

    Montag, 5. September 2011 14:53
  • SBS Assistenten benutzt? Dann hast du bestimmt auch eine remote.deine-domain.de angelegt. Mach bitte deine Einträge im IIS rückgängig, so dass der Standard wieder da ist.

     

    Hast du den Port 443 auf deinen Server umgelenkt? Wenn nein, muss du das machen.

    Die richtige Einrichtung würde so aussehen.

     

    1. SBS per Assistenten einrichten

    2. remote.deinedomain.de als Subdomain bei deinem Provider anlegen

    3. Host A Eintrag deiner Subdomain auf deine Feste IP umstellen

     

    Über die Subdomain erreichst du dann den Remote Webarbeitsplatz. Wenn du keine öffentliche Zertifikate nutzen möchtest, musst du zu sehen, dass du die Zertifikate installierst. Die sind auf der Company Site zu finden.

     

    MFG

     

    Patrick

     

     

     

    Montag, 5. September 2011 16:15
  • Danke für die schnelle Antwort, aber das war nicht ganz meine Frage...vielleicht hab ichs falsch formuliert..

    So wie du es beschrieben hast, hab ich es auch gemacht.

    Was ich will ist, dass nicht von überall auf remote.domain.de zugegriffen werden kann, sondern nur von jenen Geräten, die das selbst vom SBS erstellte Zertifikat haben.

    Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich 403 wenn ich das Clientzertifikat auf Erforderlich setze...

     

    mfg

    Dominik

    Dienstag, 6. September 2011 05:22
  • Hi Dominik,
     
    > Danke für die schnelle Antwort, aber das war nicht ganz meine
    > Frage...vielleicht hab ichs falsch formuliert..
    >
    > So wie du es beschrieben hast, hab ich es auch gemacht.
    >
    > Was ich will ist, dass nicht von überall auf remote.domain.de
    > zugegriffen werden kann, sondern nur von jenen Geräten, die das selbst
    > vom SBS erstellte Zertifikat haben.
     
    Auf remote.domain.de kann nur jener zugreifen, der die passende
    User/Passwort-Kombination kennt und dazu berechtig ist.
     
    Zusätzliche Sicherheit bzgl. Angriffen auf ein IIS erreichst Du z.B. durch
    eine voran geschaltete Applikation Firewall wie z.B. TMG 2010.
     
    Ein Client-Zertifikat ist nur eine weitere Authentifizierungsmethode,
    schützt aber den eigentlichen IIS nicht gegenüber DoS-Attacken oder anderen
    Angriffsvektoren.
     
     
    > Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich
    > 403 wenn ich das Clientzertifikat auf Erforderlich setze...
     
    Einfach nur ein Häkchen setzen und die Client-Zertifikate auszurollen
    reicht nicht. Woher sollte denn der IIS wissen, welche Clients zu was
    berechtigt sind?
     
    Folgender Artikel wäre für ein Standard-IIS dazu von nöten.
     
    Hinweis: Ob dieses jedoch auf einem SBS supportet ist, bezweifle ich.
     
    Merke: Sollange es keinen offiziellen Artikel seitens Microsoft gibt, wo es
    explizit für ein SBS beschrieben wird, wie es geht und wie es supportet
    ist, ist es nicht supportet!
     
    Configure Client Certificate Mapping Authentication (IIS 7)
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Dienstag, 6. September 2011 06:50
    Moderator
  • Moin,

    an deinem Vorhaben bin ich auch schon gescheitert. Siehe hier:

    http://social.technet.microsoft.com/Forums/de-DE/sbsde/thread/236295e6-c313-4c15-a4e9-48d32bbe630b

    Für mich war VPN da dann letztendlich die bessere Lösung.

    Gruß

    Uwe

     

     

     

     

    Dienstag, 6. September 2011 07:14
  • Hallo,

    1. ist dieses Thema schon bereits öfters hier im Forum beschrieben --> immer erstmal suchen

        Zusätzlich musst das erstellte Serverzertifikat in die vertrauenswürdigen Stammzertifikate des Clients übertragen

    2. ggfs. Gateway-Funktion benutzen (auch als weitere Sicherheit)

    3. Zur Info: Falls Du noch mit XP zugreifen willst, MUSST Du den neuesten RDP installiert haben, sonst funzt es nicht.

    Grüße

    OllyGermany

     

     

    Donnerstag, 8. September 2011 08:49
  • Hallo,

    danke für deine Antwort!

     

    Zu 1. ich habe gesucht...leider nirgens jemanden mit der selben Problematik gefunden :(

    Hab es natürlich sofort ausprobiert das Serverzertifikat in den richtigen Speicherort zu installieren, leider ohne Erfolg. :(

    Zu 3. Alle Clients sind Win7Pro x64.

     

    mfg

    Dominik

    Donnerstag, 8. September 2011 09:09
  • Hi,

     

    es funktioniert doch dein OWA Zugriff über remote.domain.de

     

    Du willst doch nur erreichen, dass nicht jeder die Site erreichen kann! Siehe dein Posting!

     

    "Danke für die schnelle Antwort, aber das war nicht ganz meine Frage...vielleicht hab ichs falsch formuliert..

    So wie du es beschrieben hast, hab ich es auch gemacht.

    Was ich will ist, dass nicht von überall auf remote.domain.de zugegriffen werden kann, sondern nur von jenen Geräten, die das selbst vom SBS erstellte Zertifikat haben.

    Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich 403 wenn ich das Clientzertifikat auf Erforderlich setze.."

     

    Was geht jetzt und was geht nicht?

     

    Donnerstag, 8. September 2011 09:46
  • Also..

    sobald ich remote.domain.com ansurfen, werde ich ja automatisch weitergeleitet auf remote.domain.com/remote

    und im IIS möchte ich jetzt einstellen, dass ich nur auf die /remote komme, wenn am Client das Zertifikat installiert ist. Das kann ich ja machen im IIS unter Server --> Sites --> Default Web Site --> Remote --> SSL-Einstellungen

    Beim /owa (im IIS Server --> Sites --> Default Web Site --> owa) habe ich keine einstellungen verändert, damit jeder Benutzer von zB zuhause aus seine Mails checken kann.

    Sobald ich bei Remote die SSL-Einstellung auf "Erforderlich" setze, dann bekomm ich 403.

    /owa funktioniert einwandfrei, da ich keine Einstellungen veränder haben.

    Ich hoffe ich hab es so halbwegs verständlich formuliert, was mein Ziel ist...

     

    mfg

    Dominik

    Donnerstag, 8. September 2011 09:55
  • Ok dein Ziel ist klar. Jetzt stellt sich mir die Frage warum das ganze. Willst du erreichen, dass nur ein bestimmter Personenkreis auf die Seite gelangt oder dass von jedem PC der Welt eine Verbindung aufgebaut werden kann.

     

    1. Personenkreis: Du kannst ja bestimmen, welcher USER welche Dienste nutzen darf.

    2. PC Welt weit: Bei selbsterstellen Zertifikaten braucht man auf jeden Fall das Zertifikat der CA. Wie komme ich daran. Eigentlich nur dann, wenn er es von dir Erhält oder es sich über die Interne Webseite herunterlädt und installiert.

    Solltet ihr die interne Seite nicht nutzen, dann kannst du doch definieren, dass man diese nicht erreicht!

    Ich kann dir leider nix zum IIS sagen, aber vielleicht kann man das Problem etwas anders angehen.


    • Bearbeitet PatrickMs Donnerstag, 8. September 2011 10:48
    Donnerstag, 8. September 2011 10:46
  • Also dass Ziel ist, dass alle Mitarbeiter weltweit E-Mails checken können, aber nur jene Mitarbeiter die ein NB haben nur von ihren NBs aus auch auf Remote zugreifen dürfen.

    Personenkreis habe ich schon dementsprechend konfiguriert.

    Nur darf jeder Mitarbeiter der ein NB hat auch von anderen Geräte aus auf Remote zugreifen. Und das möchte ich eingrenzen, sodass diese Mitarbeiter nur von ihren NBs aus auf Remote zugreifen können und somit auf freigegebene Netzlaufwerke.

    Zertifikat der CA ist auf jedem NB installiert.

    Donnerstag, 8. September 2011 11:23
  • Mhhh Dafür gibt es kein Regelwerk. Stimmt.
    Donnerstag, 8. September 2011 11:50
  • Naja doch...wenn ich es schaffen würde, dass das Clientzertifikat richtig installiert wird und ich dann einfach im IIS bei Remote die SLL-Einstellung auf "Erforderlich" setze...somit wären dann nur jene berechtigt die das Zertifikat installiert haben! Nur leider krieg ich da den Fehler 403 und weiß nicht warum!
    Donnerstag, 8. September 2011 12:22
  • Man hinterlegt das Zertifikat unter diesem Punkt wenn man es installiert! Vertrauensvolle stammzertifizierungsstelle! Ich denke das hast du gemacht!
    Donnerstag, 8. September 2011 13:00
  • Jep, habe ich gemacht!
    Donnerstag, 8. September 2011 13:03
  • Hi Dominik,
     
    > Jep, habe ich gemacht!
     
    liesst Du eigentlich meine Antwort vom 06.09.2011 um 8:50:34..?
     
    Nochmal. Ein Client-Zertifikat ist ausschließlich eine weiter
    Authentifizierungsmöglichkeit, jedoch nur bedingt eine weitere
    Sicherheitsmaßnahme (da z.B. Client-Zertifikate auch kopiert werden
    können).
     
    Den besten Schutz erreichst Du durch zusätzliche Sicherheitsmaßnahmen wie:
     
    + Applikation-Firewall
    + 2-Faktor Authentifizeriung
    + Begrenzen der Zugriffsberechtigungen auf "Remote" (entweder durch
    SBS-Wizzard oder z.B. durch Anpassen der "IIS-Web.config")
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Dienstag, 13. September 2011 07:28
    Moderator
  • Man hinterlegt das Zertifikat unter diesem Punkt wenn man es installiert! Vertrauensvolle stammzertifizierungsstelle! Ich denke das hast du gemacht!


    Patrick,

    Dominik will "Client Zertifikate" verwenden, DU erzählst ihm aber die ganze Zeit was von dem Serverzertifikat!
    Du weißt was ein Clientzert ìst und was man damit machen kann?


    SBS Tipps unter: www.SBSfaq.de

    Oliver Sommer
    Senior Consultant | MVP Windows Small Business Server
    TrinityComputer.de | Fon +49 (5231) 458986-00 | Fax +49 (5231) 458986-11
    Mittwoch, 14. September 2011 09:25
    Moderator
  • Hi Oliver,

     

    ich denke, dass ich es weiß. Es ist doch so, dass beim SBS Server wenn er über den Assistenten eingerichtet wird, die Zertifikate selbst erstellt. Es gibt das Zertifikat der CA und das von remote.domain.de / Man sollte natürlich offiziele Zertifikate nutzen. Weiterer Schritt in der SBS Console

    Wenn ich aber die beiden Zertifikate und exportiere und diese am Client hinterlege, dann erreiche ich remote.domain.de ohne Fehler. Das gleich gilt für Remote Webplace.

    Liege ich da falsch?

     

     

     

     

    Mittwoch, 14. September 2011 09:38
  • Hi Patrick,
     
    >> Dominik will "Client Zertifikate" verwenden, DU erzählst ihm aber die
    >> ganze Zeit was von dem Serverzertifikat! Du weißt was ein Clientzert
    >> ìst und was man damit machen kann?
    [..]
    > ich denke, dass ich es weiß. Es ist doch so, dass beim SBS Server wenn er
    > über den Assistenten eingerichtet wird, die Zertifikate selbst erstellt.
    > Es gibt das Zertifikat der CA und das von remote.domain.de / Man sollte
    > natürlich offiziele Zertifikate nutzen. Weiterer Schritt in der SBS
    > Console
    >
    > Wenn ich aber die beiden Zertifikate und exportiere und diese am Client
    > hinterlege, dann erreiche ich remote.domain.de ohne Fehler. Das gleich
    > gilt für Remote Webplace.
    >
    > Liege ich da falsch?
     
    Failed.
     
    Configure Client Certificate Mapping Authentication (IIS 7)
     
    Es liegt zwar auch hier eine Abhängikeit zwischen den ausgestellten Client
    Zertifikate und der austellende Issuing- und/oder Root CA vor, aber das hat
    hier nichts mit Deiner Aussage (Web Server Zertifikat <-> Root CA) zu tun.
     
    @Patrick und Dominik:
     
    Nochmal: Bitte meinen Eintrag in diesem Thread vom 06.09.2011 um 8:50:34
    und 13.09.2011 um 09:28:27 lesen und verstehen..
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Mittwoch, 14. September 2011 11:01
    Moderator
  • Hallo Zusammen,

    ich will doch einfach nur wissen warum, wenn ich im IIS unter Remote die SSL-Einstellung auf "Erforderlich" stelle und ich auf dem Client das Zertifikat installiert habe ich den Fehler 403 bekomme!^^ Hin oder her ob das jetzt sicher ist oder nicht...

     

    mfg
    Dominik

    Mittwoch, 14. September 2011 12:04
  • Hi Dominik,
     
    > ich will doch einfach nur wissen warum, wenn ich im IIS unter Remote die
    > SSL-Einstellung auf "Erforderlich" stelle und ich auf dem Client das
    > Zertifikat installiert habe ich den Fehler 403 bekomme!^^ Hin oder her
    > ob das jetzt sicher ist oder nicht...
     
    Darauf hab ich Dir am 06.09.2011 um 8:50:34
    in diesem thread schon folgendes geantwortet - s.u. inkl. aktualisierter
    Link zu "Configure Client Certificate Mapping Authentication (IIS 7)"
     
    Was hast Du daran nicht verstanden..?
     
    > Darum habe ich an die SSL-Einstellung im IIS gedacht...jedoch bekomm ich
    > 403 wenn ich das Clientzertifikat auf Erforderlich setze...
     
    Einfach nur ein Häkchen setzen und die Client-Zertifikate auszurollen
    reicht nicht. Woher sollte denn der IIS wissen, welche Clients zu was
    berechtigt sind?
     
    Folgender Artikel wäre für ein Standard-IIS dazu von nöten.
     
    Hinweis: Ob dieses jedoch auf einem SBS supportet ist, bezweifle ich.
     
    Merke: Sollange es keinen offiziellen Artikel seitens Microsoft gibt, wo es
    explizit für ein SBS beschrieben wird, wie es geht und wie es supportet
    ist, ist es nicht supportet!
     
    Configure Client Certificate Mapping Authentication (IIS 7)
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Mittwoch, 14. September 2011 14:02
    Moderator