Hallo liebe Profis,
ich habe hier ein Problem mit dem Zertifikat für die Veröffentlichung von RDWebApps über
Forefront TMG 2010.
Szenario:
- Windows 2008 R2 Domäne
- Windows 2012 Server (Domänenmitglied) konfiguriert als Terminalserver mit
konfigurierten RDWebApps. Hausintern problemlos aufrufbar über einen Webbrowser
mittels https://Terminalserver.domainname.de/rdweb
- Forefront TM 2010 (Domänenmitglied) mit einem Weblistener welcher auf eine
DynDNS-Adresse hört (firmenname.dyndns.info)
Nun möchten wir gerne die RDWebApps unseren externen Mitarbeitern zur Verfügung stellen.
Sie sollen über den Aufruf https://firmenname.dyndns.info/rdweb
mit den WebApps arbeiten können.
Ich habe auf dem Terminalserver aus dem IIS heraus ein selbstsigniertes Webhosting-Zertifikat erstellt und dieses unter "Vertrauenswürdige Stammzertifizierungsstellen" gespeichert.
Gleichzeitig habe ich dieses Zertifikat samt privatem Schlüssel exportiert und auf dem Forefront TMG
2010 ebenfalls in "Vertrauenswürdige Stammzertifizierungsstellen" gespeichert.
Bei der Konfiguration des Weblisteners wird mir dieses Zertifikat als gültig
angezeigt und ich habe es ausgewählt. SSL-Verbindungen wurden an Port 443
aktiviert.
In der Konfiguration des Weblisteners drehe ich mich nun allerdings im Kreis.
Unter der Registerkarte "Verbindungen" steht: "Um SSL mit dem
Weblistener verwenden zu können, müssen SSL Serverzertifikate auf der
Registerkarte "Zertifikate" angegeben werden".
Unter der Registerkarte "Zertifakte" habe ich wie bereits erwähnt das
selbst erstellte und als gültig angezeigte Zertifikat ausgewählt. Dort steht
nun aber ganz unten "Dieser Weblistener ist nicht für die Verwendung von
SSL konfiguriert. Um SSL verwenden zu können, verwenden Sie die entsprechende
Option auf der Registerkarte "Verbindungen".
Nunja ... wie gesagt ... hier drehe ich mich im Kreis.
Wenn man
diese beiden Fehlermeldungen ignoriert und bei der Veröffentlichungsregel den
Test startet erhält man folgende Fehlermeldung:
"Die vom Microsoft Forefront TMG-Firewalldienst ermittelte Dauer: 0,002 Sekunden
https://firmenname.dyndns.info:443/ wird getestet.
Kategorie: Fehler beim Zielserverzertifikat
Fehlerdetails: 0x80090325 - Die Zertifikatkette wurde von einer nicht
vertrauenswürdigen Zertifizierungsstelle ausgestellt."
Wie ich bereits geschrieben habe, habe ich das Zertifikat auf dem
Terminalserver und auf dem Forefront TMG in "Vertrauenswürdige
Stammzertifizierungsstellen" gespeichert. Daher verstehe ich diese Meldung
nicht.
Wenn man von extern den Hyperlink "https://firmenname.dyndns.info/rdweb"
aufruft wird man über einen Zertifikatsfehler gewarnt. Ignoriert man diesen meldet
sich aber tatsächlich der Terminalserver mit seinem Loginfenster für die
WebApps. Der Login wird sogar auf Richtigkeit geprüft. Loggt man sich
erfolgreich ein erhält man dann aber im Browser diese Fehlermeldung:
"Die Seite kann nicht angezeigt werden.
Technische Informationen (für Supportpersonal)
•Fehlercode: 500 Interner Serverfehler. Die Zertifikatkette wurde von einer
nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt. (-2146893019)"
Hat irgendwer eine Idee wo hier der Hund begraben liegt? Vielleicht sehe ich ja
auch nur den Wald vor lauter Bäumen nicht...
Besten Dank im Voraus und viele Grüße
Joachim
