none
Windows SBS 2011 ES vertrauenswürdiges Zertifikat kann nicht importiert werden RRS feed

  • Frage

  • Wie haben heute für einen Kunden einen SBS 2011 Essentials installiert. Alle schritte liefen soweit fehlerfrei ab.
    Nun sind wir an den Punkt angelangt in dem ein Vertrauenswürdiges Zertifikat importiert werden soll. Wir haben in diesem fall ein Thawte – SSL123 ausstellen lassen (remote.domain.de).
    Nun versuchen wir dieses zu Importieren scheitert aber mit der Meldung: "Es können nur vertrauenswürdige SSL-Zertifikate importiert werden. Rufen Sie ein vertrauenswürdiges SSL-Zertifikat ab, und importieren Sie dann das vertrauenswürdige Zertifikat"

    Wie vertrauenswürdig soll es den noch sein wen wir einen .cer Schlüssel direkt vom Anbieter haben. Zusätzlich haben wir auch bei der Ausstellung extra als OS-Plattform "Windows System" angegeben.

    Ist das Thawte – SSL123 überhaubt das richtige dafür?
    Muss eventuell noch was konfiguriert werden oder gibt es auch einen anderen weg dieses zu importieren
    Dienstag, 9. August 2011 21:12

Alle Antworten

  • Welche Zertifikatstypen gehen den überhaupt bei einen SBS 2011 ES Server? Wer hat mit was für ein Zertifikat aus Erfahrung erfolg gehabt?
    Mittwoch, 10. August 2011 20:41
  • Wurden die beiden neuen 2048 bit Thawte Zwischenzertifikate auf dem Server VOR der Ausführung des Zertifikatsassistenten importiert?

    Falls nicht muss das nachgeholt werden und einen neue Anforderung an Thawte gesendet werden deren Antwort dann eingespielt werden muss.

     


    SBS Tipps unter: www.SBSfaq.de

    Oliver Sommer
    Senior Consultant | MVP Windows Small Business Server
    TrinityComputer.de | Fon +49 (5231) 458986-00 | Fax +49 (5231) 458986-11

    Sonntag, 14. August 2011 11:08
    Moderator
  • Wir habeb ein sehr ähnliches Problem bei unserem Kunden mit dem SBS2011. Das Zertifikat läßt sich bei dem Kunden ebenfalls nicht installieren, die Fehlermeldung(en) ist identisch dem von STeaB. Ausgestellt ist das Zertifikat für "*.domain-erweiterung.de" - ich denke (vermute) daß dies ein "Wildcard-Zertifikat" ist. Beantragt vom Domain-Provider über deren Rechenzentrum, so die Aussage. Ausgestellt ist das Zertifikat von "RapidSSL CA", gültig vom 04.11.12 bis 07.11.2014. Als Text steht darin:

    Dieses Zertifikat ist für folgende Zwecke beabsichtigt.

    - Garantiert die Identität eines Remotecomputers
    - Garantiert dem Remotecomputer Ihre Identität

    Zudem haben wir noch eine ZIP-Datei mit weiteren Zertifikatsdateien ".csr", ".key", ".secure" und ".pem" erhalten.

    Was habe ich getan:

    Ich habe den SBS2011 installiert ohne Fehlermeldungen. Nach durchführen des Wizards bzw. dem durchklicken der SBS2011 Konsole landeten wir bei dem Punkt Konnektivität - Zertifikate, vorher keine Fehlermeldungen - und hier stehen wir nun seit dem 4.11.

    Der Internetdomänendame lautet ".remote.domain-erweiterung.de", die interne Domäne "domain.local", Server "W2011SBS.domain.local". In der SBS Konsole steht beim Webserverzertifikat "Selbst ausgegeben". Sobald ich den Punkt anklicke "Vertrauenswürdiges Zertifikat hinzufügen" startet ja der Wizzard -> Vorbereitung -> weiter -> Punkt "Ich möchte ein Zertifikat verwenden, das bereits auf dem Server installiert ist." aktiviert, weiter -> Ein installiertes Zertifikat auswählen ... dann steht bereits das Zertifikat an oberster Stelle "ausgegeben für "*.domain-erweiterung.de", ausgegeben von "RapidSSL CA", Ablaufdatum "07.11.2014", Typ "Vertrauenswürdig", klicke dieses Zertifikat an, weiter -> Es erscheint eine Fehlermeldung "Importieren Sie das vertrauenswürdige Zertifikat in Remotewebzugriff", Fehlerdetails "Das importierte Zertifikat entspricht nicht Ihrer Website. Vergewissern Sie sich, dass Sie die richtige Zertifikatdatei ausgewählt haben, und wiederholen Sie dann den Vorgang. Wenn Sie nicht über eine andere Zertifikatdatei verfügen, wenden Sie sich an den Zertifikatdienstanbieter." und als zweite Fehlermeldung "Der Server kann das vertrauenswürdige Zertifikat nicht installieren. Wenden Sie sich an den Zertifikatdienstanbieter, um Unterstützung zu erhalten."

    Dies habe ich dann ebenfalls getan und mich wieder an den Domain-Provider gewendet, dieser meinte "mehr geht nicht als alle Zertifikatsdateien zu versenden, beim SBS2003 hätte dies immer gereicht.".

    Im Ereignislog werden folgende Warnungen/Fehler  angezeigt:

    1) HTTPEvent Warnung Ereignis-ID 15300 "Die SSL-Zertifikateinstellungen wurden gelöscht für den folgenden Anschluss: 0.0.0.0:443 . "

    2) Schannel Fehler Ereignis-OD 36869 "Das Zertifikat der Referenz Server für SSL hat keine angehängte Eigenschaft für Privatschlüsselinformationen. Dies kommt häufig vor, wenn ein Zertifikat nicht ordnungsgemäß gesichert wird und anschließend wiederhergestellt wird. Diese Nachricht wird auch bei einem Fehler bei der Zertifikatregistrierung angezeigt."

    3) HTTPEvent Warnung Ereignis-ID 15300 "Die SSL-Zertifikateinstellungen wurden gelöscht für den folgenden Anschluss: 127.0.0.1:443 . "

    4) Schannel Fehler Ereignis-OD 36869 "Das Zertifikat der Referenz Server für SSL hat keine angehängte Eigenschaft für Privatschlüsselinformationen. Dies kommt häufig vor, wenn ein Zertifikat nicht ordnungsgemäß gesichert wird und anschließend wiederhergestellt wird. Diese Nachricht wird auch bei einem Fehler bei der Zertifikatregistrierung angezeigt."

    5) HTTPEvent Ereignis-ID 15301 "Die SSL-Zertifikateinstellungen wurden von einem Administratorprozess erstellt für den folgenden Anschluss: 0.0.0.0:443 "

    6) HTTPEvent Ereignis-ID 15301 "Die SSL-Zertifikateinstellungen wurden von einem Administratorprozess erstellt für den folgenden Anschluss: 127.0.0.1:443 "

    Hat jemand eine Ahnung? Ich wäre echt sehr dankbar über einen Hinweis was wir noch tun können.

    Grüße

    Tobias Busch

    Dienstag, 20. November 2012 11:35
  • Vermutlich werden Wild-Card Zertifikate (weil für SBS 2011 Essentials nicht notwendig) nicht vom genannten Wizzard unterstützt (dies wäre über ein Support-Call bei Microsoft zu klären).

    Evtl. hilft folgender Workaround:

    Installing a Wildcard Certificate Using SBS [..] Console
    http://blog.chrisara.com.au/2010/04/installing-wildcard-certificate-using.html

    Ohne Gewähr

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Samstag, 24. November 2012 10:27
    Moderator
  • Hallo

    auch ich möchte ein SSL Zertifikat auf einem SBSe 2011 installieren. Mein Problem liegt allerdings etwas anders. Ich möchte mir bei PSW Group ein Testzertifikat erstellen. Hierzu führe ich den Assistenten zum "Einrichten von Remotewebzugriff" mit "Domänennamen einrichten" im Dashboard aus.

    Ich komme bis zu dem Punkt, an dem der Anforderungsschlüssel erstellt wird. Diesen kopiere ich in das entsprechende Feld zur Zertifikatsanforderung bei PSW und bekomme die Meldung dass in dem Anforderungsschlüssel die Daten zur Adresse usw. fehlen. Es wird lediglich die Domain "remote.tld.de" das Land "de" und die Schlüssellänge "2048" aufgeführt. Was kann ich da tun? Wo genau muss/kann ich die fehlenden Daten im Server / im Schlüssel ergänzen?

    Vielen Dank für die Hilfe

    Carsten

    Mittwoch, 5. Dezember 2012 09:48
  • Dann musst Du die Zertifikatsanfrage manuell erstellen (vgl. hierzu den aktuell erstellen Request und ergänze Sie durch die Anforderungen des jeweiligen PKI-Betreibers) und das dann so erstellte Zertifikat der PSW Group manuell im Zertifikatsspeicher des Lokalen Computers unter Eigene Zertifikate importieren, so dass Du dann den SBSe 2011 Wizards für schon installierte Zertifikate auf dem Server ausführen kannst.

    Oder du suchst Dir einen SBSe 2011 kompatiblen Zertifikats-Anbieter.. ;)

    Alles weitere hierzu u.a. hier:

    How to Install Your Existing Certificate into SBS Essentials
    http://blogs.technet.com/b/sbs/archive/2011/08/04/how-to-install-your-existing-certificate-into-sbs-essentials.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 5. Dezember 2012 12:41
    Moderator
  • Oder du suchst Dir einen SBSe 2011 kompatiblen Zertifikats-Anbieter.. ;)

    Vielen Dank... Hast du zufällig einen parat...? :)
    Mittwoch, 5. Dezember 2012 14:13
  • Aus den FAQs:

    [..]
    Who are the domain registrars that are used to set up customer domain names in the Internet Address Management Wizard?

    The Internet Address Management Wizard includes eNom Central, GoDaddy, and Register.com. The registrar list is dynamically maintained at Microsoft and additional registrar partners can be added for other regions.
    [..]
    Source: http://download.microsoft.com/download/4/5/C/45CD1DC6-9204-44DD-999B-24B50A9144B6/SBS_2011_STD_Tech_Frequently_Asked_Questions.pdf

    und:

    [..]
    eNom Central
    eNom Central provides economical domain registration and website packages that help small businesses find the right domain name and choose the best products to build websites.


    Godaddy.Com
    GoDaddy.com offers domain name and Dynamic DNS services to Windows Small Business Server 2008 as well as a number of services included Trusted Certificates.


    Rconnection
    Register.com offers domain name and Dynamic DNS services to Windows Small Business Server 2008 as well as a number of services included Trusted Certificates.

    “Integrated into the Windows SBS 2008 Internet Address Management Wizard, Register.com enables you to find, purchase and use existing domain names to enable remote access and Internet e-mail for Windows Small Business Server. Other services are available as well, including SSL trusted certificates, and WHOIS domain obfuscation”.
    [..]
    Source: http://www.microsoft.com/es-es/sbs/software-solutions.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Mittwoch, 19. Dezember 2012 12:20
    Moderator