Remove From My Forums

Edge Zertifikat Status "Invalid"

Allgemeine Diskussion
0

Anmelden
Hallo zusammen,

wir haben ein Problem mit unserem 3rd party SAN Zertifikat auf dem Edge Server 2010 SP2.
Und zwar wird das Zertifikat nach dem Import als Status "Invalid" angezeigt und der RootCAType ist "Unknown".

Das gleiche Zertifikat funktioniert jedoch auf unserem CAS/HUB Server 2010 SP2 einwandfrei.

Wo ist das Problem?

Bin dankbar für jeden Hinweis.

Gruß
Flo
- Typ geändert Alex Pitulice Dienstag, 7. Mai 2013 07:02 Warten auf Feedback
Dienstag, 30. April 2013 14:25

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Evt. fehlt die passende RootCA im Zertifikatsspeicher des Computers?

Gruß

Jörg

Dienstag, 30. April 2013 14:29

Antworten

|

Zitieren
0

Anmelden
Leider nicht, das ist vorhanden. (wenn ich das richtig einschätze)
Aber danke für den Hinweis Jörg!

Damit ich mich nicht vertue,
kannst du mir sagen, wie genau ich das prüfe?
- Bearbeitet Flo.Rena Dienstag, 30. April 2013 15:01
Dienstag, 30. April 2013 14:33

Antworten

|

Zitieren
0

Anmelden

Naja im SAN Zertifikat steht doch von wem das Zertifikat ausgestellt ist.

Dienstag, 30. April 2013 15:03

Antworten

|

Zitieren
0

Anmelden

Ja und das finde ich auch unter:
Trusted Root Certification Authorities
Third-Party Root Certification Authorities

Ist das soweit richtig?

Dienstag, 30. April 2013 15:18

Antworten

|

Zitieren
0

Anmelden

Anders gefragt, hat das denn jemals funktioniert? Hast du den Private Key für das Zertifikat?

Gruß

Jörg

Dienstag, 30. April 2013 16:02

Antworten

|

Zitieren
0

Anmelden

Ja ich habe den Private Key
und das Zertifikat funktioniert problemlos auf unserem CAS/HUB Server.

Dienstag, 30. April 2013 16:05

Antworten

|

Zitieren
0

Anmelden

Hi Flo.Rena,

ich vermute, dass die CRL-Prüfung nicht läuft und den Proxy richtig setzen musst:
http://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx
http://sslzilla.de/flatpress/?x=entry:entry130212-101909

Viele Grüße
Christian

Dienstag, 30. April 2013 16:50

Antworten

|

Zitieren

Moderator
0

Anmelden

ich meinte eher ob das Zertifikat jemals auf dem Edge funktioniert hat? Das Pfx vom CAS/Hub dann ordentlich auf dem Edge installiert?

Dienstag, 30. April 2013 17:00

Antworten

|

Zitieren
0

Anmelden
Hallo zusammen,

entschuldigt bitte, dass ich mich erst jetzt wieder melde.
Hatte die Vorgabe mich zunächst mit einem anderen Problem zu beschäftigen.

@Christian: Es gibt zwar einen Proxy, doch dieser ist nur für die Clients,
die Server kommunizieren ohne Proxy nach draußen.

@Jörg: Nein, das Zertifikat lief auf dem Edge Server noch nie.

Danke für alle Antworten!

Gruß, Flo
- Bearbeitet Flo.Rena Donnerstag, 2. Mai 2013 15:48
Donnerstag, 2. Mai 2013 15:20

Antworten

|

Zitieren
0

Anmelden

Hi Flo,

öffne mal das Zertifikate Snap in:

Start -> ausführen -> mmc

dort Datei -> Snapin hinzufügen, Zertifkate, lokaler Computer auswählen.

Nun solltest Du bei "eigene Zertifikate" das Zertifikat sehen, Doppelclick drauf.

Wenn das Zertifikat sich öffnet, click auf den Reiter Zertifizierungspfad.

Siehst Du dort die gesamte Kette bis zum Root Zertifikat ?

Grüße, Christoph

Donnerstag, 2. Mai 2013 16:44

Antworten

|

Zitieren
0

Anmelden

Hallo Christoph,

danke für deine Hilfe.

Ja, ich sehe die gesamte Kette zum Root Zertifikat.

Gruß

Freitag, 3. Mai 2013 08:18

Antworten

|

Zitieren
0

Anmelden

Hat das Zerifikat dort auch den "gelben" Schlüssel? Weil so langsam gehen einem die Ideen aus. Kannst du mal einen Schreenshot aus der Zertifikats MMC und aus der Exchange EMC posten.

Gruß

Jörg

Freitag, 3. Mai 2013 08:46

Antworten

|

Zitieren
0

Anmelden

Hi Jörg,

ja der "gelbe Schlüssel" ist da: You have a private key that corresponds to this certificate.
Screenshots darf ich leider, auf Anweisung vom Vorgesetzten, nicht posten.

Gruß

Freitag, 3. Mai 2013 13:08

Antworten

|

Zitieren
0

Anmelden
Oki, dann kann es nur noch daran liegen das es im verkehrten Store liegt, es muss im Store des Computer Accounts sein und meistens muss man den Server neu booten damit er das erkennt. Ansonsten weiß ich auch nicht mehr...

Ansonsten sicher das du zu der CRL und evt. OCSP URL kommst?
- Bearbeitet Jörg von der Ohe Freitag, 3. Mai 2013 14:55
Freitag, 3. Mai 2013 14:46

Antworten

|

Zitieren
0

Anmelden

Hallo Jörg.

Die Zertifikate liegen im Computer Account und neugestartet habe ich des Öffteren.
Die CRL konnte ich über die URL im Zerfikat herunterladen und öffnen...

Vielleicht hast du (oder gerne auch wer anders) ja doch noch einen Ratschlag für mich?

Bis hierhin schonmal vielen Dank!

Gruß

Freitag, 10. Mai 2013 14:42

Antworten

|

Zitieren
0

Anmelden

Hi Flo.Rena

öffne nochmal den Zertifikatsspeicher und dort Dein Zertifikat (siehe oben)

Geh zum Zertifizierungspfad. Doppelclicke das oberste Zertifikat (Root Zertifikat).

Navigiere nun zum Reiter "Details" und click auf "Eigenschaften bearbeiten"

Überprüfe ob dort bei Zertifikatzwecke

"Alle Zwecke für dieses Zertifikat aktivieren" angehakt ist. Falls nicht, mal anhaken und testen.

Falls das nicht hilft:

Schau Dir den Zertifizierungspfad an, überprüfe ob alle Zwischenzertifikate der Kette im Speicher Zwischenzertifizierungsstellen aufgelistet sind. Falls nicht, besorge die Zwischenzertifikate und importiere sie in den Speicher "Zwischenzertifizierungsstellen". Stelle sicher, dass keine Root oder Intermediate-CA Zertifikate im "Personal" Store liegen.

Grüße, Christoph

Freitag, 10. Mai 2013 14:59

Antworten

|

Zitieren