locked
Forefront TMG nimmt falsches Zertifikat für L2TP RRS feed

  • Frage

  • Hallo,

     

    mein Forefront TMG hat eine Site2Site Koppplung mit einem Lancom Router auf Zertifikatsbasis. Hat bis heute funktioniert. Heute habe ich einen OWA veröffentlicht und dazu das entsprechende SSL Zertifikat in den Computer Store gelegt. Seit dem antwortet unser Forefront dem lancom permanent mit dem OWA Zertifikat, nicht jedoch mit dem für die VPN verbindung gedachtem Zertifikat. Beide sind von verschiedenen CAs, die CAs sind Trusted und in der VPN Verbindung ist die CA des VPN Zertifikats ausgewählt. Wo zum Teufel sag ich dem Teil dass er das andere Zertifikat nehmen soll??

    Ein etwas verzweifelter

    Robert

    Montag, 25. Juli 2011 14:26

Alle Antworten

  • moin robert,

    für das l2tp wird ein computerzertifikat verwendet - trägt dein neues zertifikat für owa vlt. den gleichen anzeigenamen wie das andere bereits vorhandene?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 25. Juli 2011 14:37
  • Nein, leider nicht! verschiedene Anzeigenamen. Verwirrend ist, dass ich im TMG bei der L2TP verbindung nur die CA auswählen kann, von der das computerzertifikat stammen soll. Aber selbst das wird nicht genommen :(
    Montag, 25. Juli 2011 14:43
  • d.h. die ca's sind von beiden zertifikaten schon identisch? oder hast du für owa ein anderes zertifikat von einem anderen hersteller verwendet?
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 25. Juli 2011 15:13
  • Nein, sind verschiedene CA's. OWA ist meine eigene enterprise CA und die L2TP die vom VPN Partner.
    Montag, 25. Juli 2011 15:31
  • Wie gesagt, das ganze lief bis genau heute, als ich OWA gepublished habe (LOL was n Wort) und ein entsprechendes Zertifikat für OWA installierte. OWA tut einwandfrei per https aber die VPN Verbindung leider nicht mehr.
    Montag, 25. Juli 2011 15:36
  • Hi,

    hast Du dem TMG im Listener der Exchange Webclient Veroeffentlichungsregel unter Netzwerke mal gesagt, das Zertifikat soll nicht fuer alle IP Adressen gebunden werden, sondern nur fuer die IP Adresse, welche fuer OWA verwendet wird?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 25. Juli 2011 15:43
  • Jup,

    trotzdem dachte ich die Weblistener betreffen nur Port 443 oder 80 bzw abgeändert...

    Montag, 25. Juli 2011 15:51
  • Hi,

    juup, wollte nur sicherstellen, dass es definitv auszuschliessen ist.

    kannst Du mal die Zertifikatverwendungszwecke der beiden Zertifikate posten. Das IPSEC Zertifikat hat nur IPSEC als Verwendung? Ich vermute mal, dass Deine OWA Zertifikat als EKU mehr als nur Serverauthentifizierung hat. Dadurch das Du im VPN kein Zertifikat auswaehlen kannst und der TMG/ISA nur in den lokalen Zertifikatspeicher der Maschine guckt, ob ein Trusted Root CA Zertifikat mit dem entsprechenden verwendungszweck vorliegt, nimmt er halt das OWA Zertifikat. Loesung waere, das OWA Zertifikat neu auszustellen und es nicht als Verwendungszweck fuer IPSEC gueltig zu machen. Das koenntest Du bei der Zertifikatbeantragung festlegen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 25. Juli 2011 16:26
  • Hallo !

    Das VPN Zertifikat hat die verwendungszwecke (bei "Erweiterte Schl+sselverwendung???)
    - IP-Sicherheits-IKS, dazwischenliegend
    - Serverauthentifizierung 

    OWA hat nur
    - Serverauthentifizierung

    ?? *ratlosbin* ??

    Montag, 25. Juli 2011 16:42