Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

TMG Serverzertifikat

Frage
0

Anmelden

Hallo Zusammen!

Ich konfiguriere den TMG für die Arbeitsgruppenbereitstellung. Im Manual für die TMG-Bereitstellung zur Installation des TMG steht: "In einer Arbeitsgruppenbereitstellung müssen Sie auf dem Forefront TMG-Computer ein Serverauthentifizierungszertifikat installieren, um die Kommunikation zwischen dem Konfigurationsspeicherserver und den Forefront TMG-Servern zu aktivieren."

Ist das unbedingt nötig?

Ich habe das Zertifikat nach Anleitung (http://technet.microsoft.com/de-de/library/ee658141.aspx) erstellt. Jedoch kann ich das Zertifikat nicht genau nach Anleitung erstellen, da es einige Optionen, die in der Anleitung genannt werden, auf der Webseite der Zertifizierungsstelle nicht vorhanden sind (speziell der Punkt Zertifikat in lokalem Zertifikatspeicher aufbewahren oder Speicher des lokalen Computers verwenden ).

Kann mir da jemand weiterhelfen wie ich das Zertifikat erstelle?

Grüße

Daniel M.

Montag, 4. Oktober 2010 21:04

Alle Antworten

0

Anmelden

moin daniel,

schau dir mal meinen blogeintrag hier an:

http://blog.forefront-tmg.de/?p=144

vlt. hilft der dir?

alternativ könntest du das zertifikat von einem internen server beantragen, ex- und importieren.
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Montag, 4. Oktober 2010 21:16
0

Anmelden

Hi, schau mal: http://www.it-training-grote.de/download/ISA-EE-Workgroup.pdf Gilt zwar fuer ISA 2006 Workgroup ist aber zumindest was die Zertifikat angeht fast identisch mit TMG
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 5. Oktober 2010 04:12
0

Anmelden

Hi,

zur Ergaenzung: Ja, ein Zertifikat brauchst Du zwingend, da TMG im Arbeitsgruppenmodus zur AUthentifizierung Zertifikate verwendet statt die Windows integrierte Authentifizierung.
Seit Windows 2008 kannst Du ueber die Webkonsole nicht mehr Zertifikate im lokalen Zertifikatspeicher auswaehlen. Am besten machst Du das ueber die MMC - SnapIn Zertifikat mit einem Custom Zertifikat Request.
http://www.it-training-grote.de/download/certrequest2k8.pdf
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 5. Oktober 2010 07:50
0

Anmelden

Hi!

So, also irgendwie klappt das nicht. In den mitgeteilten Anleitungen wird immer das Snap-In "Zertifikatvorlagen" verwendet. Das Snap-In "Zertifikatvorlagen" ist beim mir zwar vorhanden, aber der Inhlat ist leer. Beim Hinzufügen des Snap-Ins kommt die Meldung "Informationen zu den Zertifikatvorlagen können von einem Domänencontroller gelesen werden. Ein Domänencontroller darf sich nicht im Netzwerk befinden.".

Nun ich habe ja auch kein Domänencontroller. Es ist ja eine Arbeitsgruppenkonfiguration.

Erstelle ich mein Serverauthentifizierungszertifikat über die Weboberfläche der Zertifizierungsstelle, kann ich den Schlüssel zwar als exportierbar markieren, aber das Zertifikat landet immer im Speicher des Benutzers. Wenn ich es dann vom Zertifizierungsstellen-Snap-In aus exportiere und im TMG importiere, bekomme ich die Meldung: "Ungültigen Anbietertyp angegeben". Das Zertifikat soll ja auch im lokalen Computerspeicher landen. Aber wie mache ich das?

Dienstag, 5. Oktober 2010 13:14
0

Anmelden

Hi,

das SnapIn Zertifikatvorlagen brauchst Du ja nicht. Hast Du eine CA in Deiner DMZ installiert? Hast Du eine CA auf Windows Server 2008 Standard oder Enterprise installiert? Diese CA in der DMZ kannst Du verwenden. Wenn Du die CA Verwaltung startest hast Du den Punkt Zertifikatvorlagen. Dort sollten einige Standard Zertifikatvorlagen auftauchen auf deren Basis Du von den TMG Servern mit dem lokalen Zertifikat Snap In Zertifikate anfordern kannst.

Wenn das alles nicht klappt, kannst Du mit Selfssl aus dem IIS 6 Reskit ein neues Zertifikat erstellen, was auf den FQDN Deines Konfigurationsspeicherservers ausgestellt ist. Gueltigkeit mindestens 2 Jahre. Das Zertifikat dann als PFX exportieren und auf die TMG Knoten in den lokalen Zertifikatspeicher importieren. Das Zertifikat dann zusaetzlich noch auf beiden Knoten in den lokalen Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungstellen importieren, um einen CA Chain Trust zu erreichen.

Danach sollte die Installation problemlos funzen.
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 5. Oktober 2010 13:30
0

Anmelden

Ich habe die Zertifikatsdienste auf einem Windows Server 2008 Standard Edition installiert. Da hab ich im Snap-In der Zertifikatsdienste keine Vorlagen.

Das IIS6 Reskit kenne ich nicht.

Aber ich habe aus dem Snap-In vom ISS 7 ein SSL-Zertifikat für den Webserver erfolgreich erstellen können. Hilft mir das vielleicht weiter?

Mittwoch, 6. Oktober 2010 16:52
0

Anmelden

Ok also das mit dem IIS6 Reskit und SelfSSL bzw. über IIS7 Snap geht das auch, kann ich ein Zertifakt erstellen, das landet dann im lokalen Speicher. Wenn ich das Importiere scheint er was zu machen, aber nach ein paar Sekunden kommt: Fehler: 0x80092003 "Beim Lesen oder Schreiben einer Datei ist ein Fehler aufgetreten." im TMG.

Was läuft da nu wieder schief?

Mittwoch, 6. Oktober 2010 17:16
1

Anmelden

Hi,

keine Vorlagen? Nicht wie hier?
http://www.isaserver.org/img/upl/g2geapcertauthpart1/Image1866.gif
Hast Du eine Unternehmens CA oder Standalone CA installiert?
IIS6 Reskit:
http://support.microsoft.com/kb/840671
Das Zertifikat vom ISS kannst Du auch nutzen, wenn Du es als .PFX exportieren kannst. Einfacher ist es aber in der MMC Certificate am TMG eins anzufordern
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 6. Oktober 2010 17:40
1

Anmelden

Hi,

komischer Fehler. Wie bist Du vorgegangen? Ich gehe immer so vor:
Zertifikat als PFX exportieren
PFX Cert auf den TMG ins Dateisystem kopieren
Leere MMC oeffnen - SnapIn Certifcate hinzufuegen - lokaler Computer - Zertifikate - eigene Zertifikate - REchtsklick und PFX Datei importieren
Dann noch das PFX in den lokalen Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen importieren. Alternativ geht auch:
http://technet.microsoft.com/en-us/library/ee658148.aspx
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 6. Oktober 2010 17:44
0

Anmelden

Ich glaube ich habe jetzt erst gerafft wie das ganze funktioniert. Ich nutze nur einen Server auf dem die Zertifikatsdienste (Standalone CA) und der TMG laufen. Ich habe nur einen Server. Im Moment ist es auch nur ein Testsystem. Die Zertifikate braucht man also nur, wenn man mehrere TMG-Rechner in einem Array hat und diese dann mit dem Server, auf dem die Konfiguration liegt, zu kommunizieren. Bei einem Rechner ist das ja nicht nötig. Deshalb wird das sicher auch nicht gehen, was wir versuchen :-).

Ich habe jahrelang den ISA 2004 auf Server 2003 genutzt und steige nun um, und habe mir das Bereitstellungshandbuch durchgelesen, da doch einige Sachen neu/anders sind, und dieser Punkt mit den Zertifikaten kannte ich nicht.

Mittwoch, 6. Oktober 2010 21:24
0

Anmelden

Hi,

da liegt der Hase im Pfeffer. Das Zertifikat brauchst Du nur zur Kommunikation zwischen mehr als einem Forefront TMG Server im Arbeitsgruppenmodus!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Donnerstag, 7. Oktober 2010 03:45
0

Anmelden

Trotzdem Danke für die Infos!

Donnerstag, 7. Oktober 2010 07:59