locked
TMG CAS uns SAN Zertifikate Problem RRS feed

  • Allgemeine Diskussion

  • Moin,

    in einer Umgebung habe ich einen TMG zur Veröffentlichung von OWA, ActiveSync usw.

    Der TMG ist kein Domänenmitglied.

    Intern stehen die Exchange 2010 Server (CAS usw.)

    Zunächst hatten wir intern nur Zertifikate mit dem CN: webmail.domäne.de ausgerollt.

    Der TMG verwendet das selbe Zertifkat um externe Verbindungn entgegenzunehmen.

    Von extern kein Problem. Aber intern sind Probleme aufgetreten, wegen autodiscover usw.

    Somit wurden nun SAN-Zertifikate erstellt, die mehrere CN enthalten.

    Also neben webmail.domäne.de noch autodiscover.domäne.de, usw.

    Intern haben wir keine Probleme mehr.

    Aber nun stört sich der TMG. Bei der Verbindung zu den CAS-Servern.

    Beim Testen der Veröffentlichungsregel sagt der TMG:

    Kategorie: Fehler beim Zielserverzertifikat

    Fehlerdetails: 0x80090322 - Der Zielprinzipalname ist falsch.

     

    Woran liegt das? Das neue SAN-Zertifikat, welches auf dem CAS verwendet wird enthält weiterhin als CN webmail.domäne.de. Darauf zeigt auch der TMG, bzw. in der TMG Regel habe ich als Ziel die IP-Adresse des CAS-Servers eingetragen.

    Über Ideen, Lösungen, Tips bin ich sehr dankbar.

    --

    Gruß

     -BenG-

    • Typ geändert Andrei Talmaciu Donnerstag, 3. März 2011 15:36 inaktiver Thread
    Donnerstag, 3. Februar 2011 09:33

Alle Antworten

  • Hi,

    welche TMG Version hast Du? Schon eine mit SP1 und allen Updates? Mit TMG SP1 wurde in der deutschen Version das Problem geloest, dass TMG bei SAN immer nur den ersten Namen im Zertifikat ausliest.
    Zertifikatprinzipalname ist falsch tritt auf, wenn der CN im Zertifikat nicht dem Namen des Exchange CAS Servers in der Exchange Webclient Veroeffentlichungsregel auf dem TMG entspricht.
    Loesungen:
    1) TMG aktuell patchen
    2) in das SAN Zertifikat schauen und dort den ersten Namen notieren und diesen dann in der Veroeffentlichungsregel verwenden (Je nachdem welcher CN da als erstes steht, musst Du noch die HOSTS Datei auf dem TMG bearbeiten, dass der Hostname auf die IP des CAS zeigt)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 09:49
  • Hi,

    danke für die schnelle Antwort.

    Den TMG haben wir jetzt zur sicherheit noch mal geupdatet.

    Das Problem ist aber unversändert.

    Nun habe ich das SAN Zertifikat auch auf den TMG installiert.

    Wenn man jetzt von extern kommt, sagt der Browser dass Zertifikat stimmt nicht mit dem Namen überein.

    Die URL ist aber identisch mit den CN des Zertifikats.

    Wenn ich aber per mmc mir das Zertifikat im Computerzertifikatsspeicher anschaue, dann fällt mir folgendes auf:

    ausgestellt für = webmail.domäne.de --> soweit OK

    Aber: Anzeigename = Microsoft Exchange --> kann dies die Ursache des Problems sein?

    Wenn ich in den Zertifizierungspad reinschaue, dann wird mir das Zertifikat am ende der Kette auch mit der Bezeichnung "Microsoft Exchange" und nicht webmail.domäne.de angezeigt.

    --

    Gruß

     -slaYer977-

     

    Donnerstag, 3. Februar 2011 16:29
  • Oder kann es sein, dass es nicht richtig ist, wenn der Name "webmail.domäne.de" nur als CN aufgeführt wird, sondern muss dieser ggf. explizit in der Liste der "Alternativer Antragstellername" aufgeführt werden?

     

    --

    -slaYer977-

    Donnerstag, 3. Februar 2011 16:33
  • Hi,

    nein, der Anzeigename ist nicht der CN = Common Name. Der CN steht im Zertifikat im Feld "Subject", die SAN im Feld "Subject Alternate Name"
    Du musst zwei Sachen sicherstellen:
    1) in der Exchange Web Client Veroeffentlichungsregel gibst Du an, auf welchem oeffentlichen Namen der TMG lauscht. Dieser Name muss im CN des Zertifikats enthalten sein
    2) In der Exchange Web Client Veroeffentlichungsregel gibst Du ja den Ziel CAS Server ein. Der Name der dort angebenen ist (in der Regel der FQDN des internen CAS) muss auch im CN des Zertifikats enthalten sein.
    Wenn Du das beruecksichtigst, kommt es nicht mehr zu dem Certificate Principal Name Mismatch. Bitte pruef mal, welcher CN im Subject Alternate Name als erstes steht und stell sicher, dass dieser mit dem FQDN des CAS Servers in der TMG Regel uebereinstimmt. Funktioniert es dann?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 16:41
  • Hallo,

    hm merkwürdig, der CN des Zertifikats lautat webmail.domäne.de

    Die Alternativen Namen lauten autodiscover.domäne.de, ecp.domäne.de usw.

    Wenn ich nun von extern mit webmail.domäne.de owa aufrufe, dann kommt die fehlermeldung vom browser, dass der Name falsch ist.

    Wenn ich in meinem notebook die host datei anpasse und z.B. autodiscover.domäne.de auf die selbe ip adresse wie webmail.uksh.de zeigen lasse, dann kommt zwar keine owa seite, aber der browser spuckt auch keine fehlermeldung heraus, dass das zertifikat falsch sei.

    Nehme ich autoodiscover.domäne.de (mit doppel o) dann kommt wieder die fehlermeldung vom browser, was ja auch richtig ist.

    --

    Gruß

    -slaYer977-

    Donnerstag, 3. Februar 2011 16:58
  • Hi,

    bei meinen Kunden trage ich den CN immer auch als SAN ein. Kannst Du ja mal eben checken!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 17:01
  • Moin,

    genau, dass ist der Punkt.

    webmail.domäne.de ist nur als CN aber NICHT als SAN aufgeführt.

    Morgen wird das Zertifikat neu erstellt.

    Ich hoffe dies ist die Lösung.

    Was meinst Du?

     

    --

    Gruß

    -slaYer977-

    Donnerstag, 3. Februar 2011 17:03
  • Hi,

    klingt fuer mich so, als sei Autodiscover.domaene.de der erste CN im SAN? Kannst Du das mal checken


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 17:20
  • Hi,

    ich denke nein :-)
    Trag mal anstatt des internen FDQN des CAS Autodiscover.domaene.de in die TMG OWA Veroeffentlichungsregel ein und erstelle in der HOSTS Datei auf dem TMG einen Eintrag Interne IP des CAS = autodiscover.domaene.de. Ich wette das es dann geht :-)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. Februar 2011 17:24
  • servus slayer,

    schau dir zu dem thema san-zertifikate (und das erstellen derselben) auch mal folgenden artikel auf marxundmeinz-blog an:

    http://blog.forefront-tmg.de/?p=250

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 4. Februar 2011 19:33
  • Hi slaYer977,

    konntest Du Dein Problem loesen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 8. Februar 2011 10:37