locked
Neues SAN Zertifikat für ISA 2006 SP1 Server - keine Verbindungen mehr über Port 443 möglich RRS feed

  • Frage

  • Hallo zusammen,

    habe da bei einem Kunden ein komisches Phänomen was ich mir so nicht erklären kann:

    • Kunde verwendet ISA 2006 SP1 zur Veröffentlichung von AS, OWA, OA mit Exchange 2007 (ein gemeinsamer Weblistener)
    • Weiterhin werden über andere Weblistener und anderen Ports weitere Webdienste veröffentlicht
    • Das Zertifikat (Single Name) läuft die Tage aus, er hat sich ein neues Zertifikat geholt, das ist allerdings ein SAN Zertifikat, hat neben der normalen URL noch ein www.URL mit drin (obwohl nicht bestellt)
    • Bindet man das neue Zertifikat an den Exchange Weblistener, funktionieren keine Verbindungsanfragen mehr; selbst in der Protokollierung werden eingehende Anfragen für OWA etc nicht mehr protokolliert!
    • Bindet man das neue Zertifikat an einen der anderen Weblistener (welche Webserver über einen anderen Port aber via SSL veröffentlichen), funktioniert der Zugriff darauf problemlos (ergo, es kann nicht am Zertifikat liegen)
    • Firewall davor loggt auch korrekt, d.h. die Verbindungsversuche über Port 443 landen auf dem TMG (warum werden Sie nicht protokolliert wenn das neue Zertifikat eingebunden ist?) (ergo, es kann nicht an der Firewall liegen)
    • SAN Zertifikat hat den korrekten CN und an erster Stelle in der Liste steht auch der richtige Name

    Vielleicht hat jemand einen Tipp für mich oder hat das Phänomen schon mal gehabt? Ich bin für jeden Hinweis dankbar!

    Danke und Gruß
    P. Böhm

    Dienstag, 10. Juli 2012 10:23

Antworten

  • Wie sollte es anders sein, die Firewall hat doch eine Art Inspection gemacht und konnte mit den neuem Zertifikat nichts anfangen. Nach Deaktivierung der Funktion auf der Firewall funktionierte die Verbindung problemlos.
    Mittwoch, 11. Juli 2012 14:40

Alle Antworten

  • Hi,

    kenne das Phaenomen nicht und klingt sehr "komisch". Kann mir nicht vorstellen, dass das andere Zertifikat dazu fuehrt, dass der TMG nichts mehr loggt.
    Idee: Die Veroeffentlichungsregel exportieren, loeschen, Konfig speichern und neu erstellen mit dem neuen Zertifikat


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 10. Juli 2012 18:38
  • Moin,

    ich finde das auch mehr als komisch! Mit gleichbleibenden Rahmenbedingungen (Log-Filtereinstellungen und Clientzugriff) wird kein Zugriff mehr geloggt nachdem das andere Zertifikat eingebunden und die Konfig gespeichert wird.

    Grundsätzlich hab ich den Weblistener in Verdacht, da die anderen Weblistener mit anderen Ports mit dem neuen Zertifikat ja funktionieren. Ich werde die Regel bzw. den Weblistener mal neu erstellen und werde berichten :)

    Gruß
    Patrick

    Mittwoch, 11. Juli 2012 08:57
  • Wie sollte es anders sein, die Firewall hat doch eine Art Inspection gemacht und konnte mit den neuem Zertifikat nichts anfangen. Nach Deaktivierung der Funktion auf der Firewall funktionierte die Verbindung problemlos.
    Mittwoch, 11. Juli 2012 14:40
  • Hi,

    welche Funktion auf der Firewall hast Du deaktiviert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 11. Juli 2012 17:17
  • Hi,

    es handelte sich dabei um eine Arkoon Firewall und das FAST Modul "Standard TCP https service". Soll kein HTTPS Breaker sein sondern "nur"den HTTPS  Verbindungsaufbau-/abbau kontrollieren. Mehr weiß ich auch nicht da ich weder die Firewall kenne noch vor Ort war. Nach Deaktivierung des Moduls war ein problemloser Verbindungsaufbau möglich.

    Gruß

    Donnerstag, 12. Juli 2012 08:58
  • Hi,

    OK, ich dachte Du meinst den TMG! Danke fuer die Info


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 12. Juli 2012 09:34
  • Ach so, nee... der ISA war komplett unschuldig :)
    Donnerstag, 12. Juli 2012 10:47