Fragensteller
Forefront TMG nimmt falsches Zertifikat für L2TP

Frage
-
Hallo,
mein Forefront TMG hat eine Site2Site Koppplung mit einem Lancom Router auf Zertifikatsbasis. Hat bis heute funktioniert. Heute habe ich einen OWA veröffentlicht und dazu das entsprechende SSL Zertifikat in den Computer Store gelegt. Seit dem antwortet unser Forefront dem lancom permanent mit dem OWA Zertifikat, nicht jedoch mit dem für die VPN verbindung gedachtem Zertifikat. Beide sind von verschiedenen CAs, die CAs sind Trusted und in der VPN Verbindung ist die CA des VPN Zertifikats ausgewählt. Wo zum Teufel sag ich dem Teil dass er das andere Zertifikat nehmen soll??
Ein etwas verzweifelter
Robert
Montag, 25. Juli 2011 14:26
Alle Antworten
-
moin robert,
für das l2tp wird ein computerzertifikat verwendet - trägt dein neues zertifikat für owa vlt. den gleichen anzeigenamen wie das andere bereits vorhandene?
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|Montag, 25. Juli 2011 14:37 -
Hi,
hast Du dem TMG im Listener der Exchange Webclient Veroeffentlichungsregel unter Netzwerke mal gesagt, das Zertifikat soll nicht fuer alle IP Adressen gebunden werden, sondern nur fuer die IP Adresse, welche fuer OWA verwendet wird?
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.deMontag, 25. Juli 2011 15:43 -
Hi,
juup, wollte nur sicherstellen, dass es definitv auszuschliessen ist.
kannst Du mal die Zertifikatverwendungszwecke der beiden Zertifikate posten. Das IPSEC Zertifikat hat nur IPSEC als Verwendung? Ich vermute mal, dass Deine OWA Zertifikat als EKU mehr als nur Serverauthentifizierung hat. Dadurch das Du im VPN kein Zertifikat auswaehlen kannst und der TMG/ISA nur in den lokalen Zertifikatspeicher der Maschine guckt, ob ein Trusted Root CA Zertifikat mit dem entsprechenden verwendungszweck vorliegt, nimmt er halt das OWA Zertifikat. Loesung waere, das OWA Zertifikat neu auszustellen und es nicht als Verwendungszweck fuer IPSEC gueltig zu machen. Das koenntest Du bei der Zertifikatbeantragung festlegen
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.deMontag, 25. Juli 2011 16:26