Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

Zertifikat auf Forefront TMG-Server installieren

Frage
0

Anmelden
Hallo,

ich habe ein Geotrust SSL-Zertifikat auf meinem TMG-Server installiert, um von externen iPhones auf den internen Exchange2003-Server zuzugreifen.

Das Zertifikat ist ausgestellt auf den extern registrieren Domänen-Namen und wird als gültig angezeigt:

Wenn ich dieses Zertifikat im Listener auswähle, bekomme ich ein gelbes Ausrufezeichen:

Auf dem vorher verwendeten ISA2004-Server hat es genau so funktioniert.

Grüße Axel
- Bearbeitet AxelEvc Dienstag, 17. Januar 2012 15:57
Dienstag, 17. Januar 2012 15:55

Alle Antworten

0

Anmelden

huhu axel,

dann geh doch mal wie dort erwähnt auf die registerkarte "verbindungen" und schau ob ssl aktiviert ist!

;-)
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Dienstag, 17. Januar 2012 17:44
0

Anmelden

Hallo,

klar - deshalb bin ich ja da auch stecken geblieben:

...aber in habe in der Zwischenzeit eine Fehlermeldung in der Ereignisanzeige gefunden:

Protokollname: Application
Quelle:        Microsoft Forefront TMG Control
Datum:         17.01.2012 17:39:30
Ereignis-ID:   12260
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      IS.evc.local
Beschreibung:
Beim Zugriffsversuch auf das Zertifikat "GeoTrust DV SSL CA" ist ein schwerwiegender Fehler aufgetreten. Dies kann dadurch verursacht worden sein, dass entweder die Berechtigungen für den privaten Schlüsselspeicher nicht ausreichend sind, oder der Server nicht auf den privaten Zertifikatschlüssel zugreifen kann, da das Zertifikat und dessen privater Schlüssel nicht in demselben Speicher installiert sind.
Grüße Axel

Dienstag, 17. Januar 2012 17:48
0

Anmelden

dann kontrolliere mal im zertifikatsspeicher ob der private-key vorhanden ist. das zertifikat ist nicht zufällig ein cng? falls doch, die sind nicht supported:

http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Dienstag, 17. Januar 2012 17:52
0

Anmelden

Der Private Schlüssel ist vorhanden.

Ich habe mal irgendwo gelesen, das es zu Problemen kommen könnte, wenn man das Zertifikat auf einen Win2003-Server im IIS "erzeugt" hat, dh. die Anforderung ausgestellt und die Antwort eingefügt und dann das Ganze als PFX exportiert und auf einem Win2008R2 dann importiert hat.

Das Zertifikat hat ja auf dem ISA2004 auch funktioniert....
Grüße Axel

Dienstag, 17. Januar 2012 18:00
0

Anmelden

Hi,

am besten forderst Du das Geotrust Zertifikat nochmal neu am TMG Server an. Du kannst den Zertifikatrequest ueber die MMC - Zertifikate - Custom Request durchfuehren um die Request Datei zu generieren. Danach das alte Zertifikate aus dem Zertifikatspeicher des lokalen Computers loeschen. Nachdem Geotrust das Cert dann ausgestellt hat, das Zertifikat am TMG Server wieder mit PFX importieren und sicherstellen, dass alle Intermediate CA Zertifikate von Geotrust auch im Intermediate CA Store liegen.
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 17. Januar 2012 19:03
0

Anmelden
Hallo Marc,

ich habe das mehrmals versucht, aber es gibt da 100 Möglichkeiten:

Also: In der Zertifikate-Konsole:

Eigene Zertifikate-Alle Aufgaben-Erweiterte Vorgänge-Benutzerdefinierte Anforderung erstellen

Weiter

Benutzerdefinierte Anforderung-Den Vorgang ohne Registrierungsrichtlinie fortsetzen-Weiter

Vorlage:(Keine Vorlage) CNG-Schlüssel, Anforderungsformat: PKCS # 10-Weiter

Zertifikatsinformationen-Details-Eigenschaften-Allgemein-Anzeigename:"xxxx.evc.de",

--> Muß der Antragsteller ausgefüllt werden ?

--> Was muß unter Erweiterungen und Privater Schlüssel ausgewählt werden ?

Ich habe da so ziemlich alles sinnvolle ausprobiert. Der erzeugte CSR wird von Geotrust nicht akzeptiert.

Grüße Axel
- Bearbeitet AxelEvc Mittwoch, 18. Januar 2012 09:36
Mittwoch, 18. Januar 2012 09:34
1

Anmelden
Hi,

ich habe "Dir" mal was gebaut:
http://www.it-training-grote.de/blog/?p=5009
Hoffe es hilft.

regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort vorgeschlagen Jens.Mander [j-j] Mittwoch, 18. Januar 2012 20:19
Mittwoch, 18. Januar 2012 19:11
0

Anmelden

Hallo Marc,

das ist schon sehr gut:

Es fehlt jetzt noch die Landeskennung C=DE, sonst meckert Geotrust.

Die erzeugte Antwort von Geotrust muss dann in welchem Speicher abgelegt werden ? In "eigene Zertifikate" ?

Grüße Axel

Mittwoch, 18. Januar 2012 19:44
0

Anmelden

genau - unter eigene zertifikate im lokalen computerzertifikatsspeicher!
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Mittwoch, 18. Januar 2012 20:18
0

Anmelden

Ok, habe ich gemacht, wird auch korrekt unter "MMC-Zertifikate" angezeigt, funktioniert aber im TMG nicht:

Grüße Axel

Mittwoch, 18. Januar 2012 20:30
0

Anmelden

diesmal scheint der private schlüssel zu fehlen?

;-)
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Mittwoch, 18. Januar 2012 20:31
0

Anmelden

Hi,

im Subject Name Country eintragen (Bild 6). Ein bissle selbst klicken muss man(n) :-)
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 18. Januar 2012 20:32
0

Anmelden

Ja, genau. Aber wie bekomme ich den da rein ?

Ich habe da die Zertifikatsanforderung bei Geotrust eingegeben. Daraus erzeugen die einen Antwortstring. Den habe ich dann in einer Textdatei gespeichert.

Diese Textdatei habe ich wiederum aus MMC-Zertifikate über "importieren" eingelesen.
Grüße Axel

Mittwoch, 18. Januar 2012 20:34
0

Anmelden

und beim export darauf achten, das der private schlüssel mit exportiert wird. dann das zertifikat mit key in den passenden zertifikatsspeicher.
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Mittwoch, 18. Januar 2012 20:49
0

Anmelden
Was heißt "darauf achten" ?

Wo kann ich das denn einstellen ?

Es ist auf jeden Fall nicht "Allow private key to be achived"...Das ergibt nämlich:

Grüße Axel
- Bearbeitet AxelEvc Mittwoch, 18. Januar 2012 20:56
Mittwoch, 18. Januar 2012 20:56
0

Anmelden

Hi,

nur ein Textstring kann nicht sein?! Da fehlt dann noch was.
Du musst ein Zertifikat nach X.509 Standard bekommen wo ein Private Key dabei ist (.P12, .PFX) oder ein. KEY und .CER File, welches Du dann erst konvertieren musst.
In der MMC muesstet Du jetzt auch nicht sehen, dass ein Privater Schluessel fuer das Geotrust Zertifikat existiert!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Donnerstag, 19. Januar 2012 05:16
0

Anmelden

Hi,

nachdem nix geholfen hat um mit der MMC ein Zertifikat mit Schlüssel zu erzeugen, habe ich es jetzt mit Gewalt gemacht.

Ich habe einfach IIS auf dem Forefront-Server installiert. Keine Angst - ich deinstalliere den später wieder. Der kann eine Anforderung erzeugen, dessen Antwort von Geotrust beim Import auch den privaten Schlüssel enthält. Dieses Zertifikat ist nun korrekt auf dem Computer installiert.

Jetzt ist die Situation wieder die gleiche wie zu Anfang:

In TMG-Zertifikat auswählen wird es als korrekt angezeigt:

Trotzdem bekomme ich wieder das gelbe Ausrufezeichen im Listener-Zertifikate: "Dieser Weblistener ist nicht für die Verwendung von SSL konfiguriert...". Ich bin also exakt wieder ganz oben in diesem Thread angekommen.
Grüße Axel

Freitag, 20. Januar 2012 08:48
0

Anmelden

Hi,

was sagt denn der Test Button in der Regel? Kannst Du eine Verbindung herstellen?
https://testexchangeconnectivity.com
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Freitag, 20. Januar 2012 10:56
0

Anmelden
Habe ich jetzt versucht:

Die Antwort ist:

Grüße Axel
- Bearbeitet AxelEvc Freitag, 20. Januar 2012 11:09
Freitag, 20. Januar 2012 11:09