none
mehrere CN's bei Zertifiaktsanforderung IIS6 RRS feed

  • Frage

  • Hi Leute,

    ich möchte einen Exchange 2003 OWA und ActiveSync mit Zertifikaten für iPhonezugriff vorbereiten. Das Zertifikat kommt von einer eigenen CA in der Domäne von einem W2008 R2.

    Die Anforderung über den IIS6.0 klappt soweit, der Server soll aber später von intern über den NETBIOS-Namen und von extern über den FQDN erreichbar sein, ohne eine Zertifikatswarnung abzuwerfen.

    Unter Exchange 2007 kann man das ja bei der Anforderung über den Parameter -DomainName owa.msxfaq.de,owa,pop3.msxfaq.de  machen. Wie mache ich das aber beim IIS6 in der GUI?


    Viele Grüße Dirk

    Montag, 26. November 2012 09:57

Alle Antworten

  • Moin,

    es ist mit den Bordmitteln des IIS nicht möglich, ein SAN-Zertifikat zu erzeugen.

    Du kannst das ganz manuell machen, oder über einen Custom Request in der MMC (ab Vista):
    http://www.it-training-grote.de/download/Custom-CSR-request-MMC.pdf

    Ich persönlich nutze auch gerne externe Tools, wie z.B. hier:
    https://www.digicert.com/easy-csr/exchange2007.htm
    https://pkiwidgets.quovadisglobal.com/pkiwidgets/generateCSR.aspx


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 26. November 2012 10:48
  • Danke Robert,

    ich hab mir mal auf dem Fußweg eine solche Anforderung gebaut und diese eingerecht sowie die .cer-Datei zurückerhalten. Beim Blick ins Zertifikat sieht das schon mal ganz gut aus.

    Nur - wie bekomme ich das jetzt in den IIS6 rein?


    Viele Grüße Dirk

    Montag, 26. November 2012 11:21
  • Moin,

    wenn das ein ausgestelltest Zertifikat mit private Key ist, kannst Du es einfach importieren.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 26. November 2012 11:36
  • OK,

    konnte es importieren, allerdings kann ich danach nicht auf den Owa zugreifen (wenn ich das Zertifikat direkt über den IIS erstellen lasse, dann funktioniert der Owa-Zugriff.

    Haste ne Idee, woran das liegen könnte? Beim Blick in das Zertifikat sehe ich ein gelbes Ausrufezeichen unter "Schlüsselverwendung". Dort ist konfiguriert: Digitale Signatur, Schlüsselverschlüsselung


    Viele Grüße Dirk

    Montag, 26. November 2012 11:50
  • Moin,

    Haste ne Idee, woran das liegen könnte? Beim Blick in das Zertifikat sehe ich ein gelbes Ausrufezeichen unter "Schlüsselverwendung". Dort ist konfiguriert: Digitale Signatur, Schlüsselverschlüsselung

    Das ist das Problem. Da muss "Server Authentifizierung" auftauchen. Entweder ist der CSR verkehrt oder Du hast in der PKI die falsche Vorlage benutzt. Die Vorlage in der Windows-PKI heißt "Webserver", das da oben sieht wie die Standard-Auswahl "Benutzer" aus.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 26. November 2012 13:06
  • Nee, ich habe mir mal eben das funktionierende (über IIS beantragte) Zertifikat angeschaut, das steht dasselbe drin.

    Bei beiden steht "Serverauthentifizierung" und Vorlage ist "Webserver".

    Der Unterschied ist lediglich, dass beim manuellen nur der FQDN als Antragsteller drin steht (CN=abc.domain.de) und beim IIS-eigenen taucht auch noch der Rest auf (OU= O= L= usw.).

    Und beim funktionierenden gibt es noch einen SMIME-Eintrag.
    Muss der Request von dem Server aus gemacht werden, bei dem nachher das Zertifikat installiert wird?


    Viele Grüße Dirk

    Montag, 26. November 2012 13:17
  • Es funktioniert übrigens auch nicht mit einer CSR von https://pkiwidgets.quovadisglobal.com/pkiwidgets/generateCSR.aspx

    Irgendetwas mag der IIS da nicht. Ich importiere das Zertifikat nach Zertifikate (lokaler Computer)->Zertifikate und hole es mit dem IIS dort ab, ist doch richtig so?


    Viele Grüße Dirk

    Montag, 26. November 2012 14:07
  • Moin,

    es ist bei so einem Thema schwierig, das über ein Forum nachzuvollziehen, wenn wir nicht wirklich alle Schritte genau klar beschrieben sind.

    Und beim funktionierenden gibt es noch einen SMIME-Eintrag.
    Muss der Request von dem Server aus gemacht werden, bei dem nachher das Zertifikat installiert wird?

    Das kommt darauf an. Du kannst den Reqeuest auf Server 1 machen, schließt ihn dort ab und exportierst das Zertifikat mit privaten Schlüssel. Danach kannst Du es auch auf anderen IIS einsetzen. Das wird z.B. bei CAS-Arrays gemacht, weil man ja dort mehrere Exchange-CAS-Server hat, aber nur ein Zertifikat identisch für alle haben will.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 26. November 2012 14:09
  • Also ich erstelle den Request auf einem 2008R2 und verbinde mich über MMC in die Zertifikatskonsole des Servers (2003 SBS), auf dem ich es nachher einsetzen will. Dann exportiere ich die Anfrage in eine txt-Datei, rufe dann vom SBS die Zertifikatsstelle auf dem 2008R2 über http auf und packe die Anforderung per Copy/Paste d rein und stelle die Vorlage auf Webserver um. Bekomme dann eine .cer-Datei zurück, die ich am SBS in die eigenen Zertifikate (Computerkonto) importiere. Im IIS auf dem SBS nehme ich dann "vorhandenes Zertifikat" und verweise auf das eben importierte.

    Ich bekomme nirgendwo ne Fehlermeldung - aber funktionieren tuts dann halt auch nicht. Aufruf der Owa-Seite endet in 400er.

    Siehst Du in dem Vorgehen irgendwo einen Fehler?


    Viele Grüße Dirk

    Montag, 26. November 2012 14:16
  • >Siehst Du in dem Vorgehen irgendwo einen Fehler?

    Nein, grundsätzlich nicht. Allerdings ist SBS 2003 bei mir auch schon lange her und ich kann mich nicht mehr erinnern, ob man das noch was in Exchange selbst einstellen muss.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 26. November 2012 14:45
  • Danke Dir mal soweit, vielleicht weiss jemand anderes noch was.

    Wie gesagt, durch reinen Tausch der Zertifikate gehst bzw. gehts nicht, insofern denke ich nicht, dass es noch etwas in Exchange umzustellen gibt.


    Viele Grüße Dirk

    Montag, 26. November 2012 14:47