locked
Webserver mit eigenem, nicht veränderbarem Zertifikat mit Forefront TMG veröffentlichen RRS feed

  • Frage

  • Hallo zusammen,

    Wir müssen einen Webserver via Forefront TMG über das Internet zugänglich machen. Dies wäre alles kein Problem, wenn wir auf diesem Server eines unserer Zertifikate installieren könnten. Dies ist allerdings nicht möglich. Es kann nur das bereits installierte, selbst signierte Zertifikat dieses Webservers verwendet werden.

    Grundsätzlich muss der Zugriff nicht stark geschützt werden, die Applikation ist unkritisch. Seht ihr daher einen Weg, wie wir den Webserver trotzdem veröffentlichen können? Momentan erhalten wir natürlich folgende Fehlermeldung, wenn die Applikation von aussen aufgerufen wird.

    "Error Code: 500 Internal Server Error. The certificate chain was issued by an
    authority that is not trusted. (-2146893019)"

    Vielen Dank für eure Hilfe!

    beste Grüsse, Matthias


    • Bearbeitet axeon Mittwoch, 25. Juli 2012 15:18
    Mittwoch, 25. Juli 2012 15:18

Antworten

  • Hi,

    du musst das Zertifikat vom Webserver in den Speicher der vertrauenswürdigen Zertifizierungsstellen des Computers importieren, damit der TMG dem Zertifikat vertraut.

    Wie das geht findest du hier:

    http://blogs.technet.com/b/sbs/archive/2007/04/10/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista.aspx

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort vorgeschlagen Alex Pitulice Dienstag, 31. Juli 2012 08:08
    • Als Antwort markiert Alex Pitulice Mittwoch, 1. August 2012 08:35
    Mittwoch, 25. Juli 2012 17:18
  • Hi,

    nur ein Root CA Zertifikat kann nicht installiert sein. Der Webserver benoetigt ein entsprechendes SSL Zertifikat (Typ Webserver, Computer) etc. um das SSL Binding entsprechend einzurichten.
    Wie Christian schon sagte, kannst Du mal den CN/SAN des Zertifikats ermitteln. Am TMG Server kannst Du dann fuer den CN in der HOSTS Datei auf den Namen mit der IP des Webservers setzen oder mit Split DNS arbeiten: Dann sollte die 500 Meldung weg sein.
    BTW: Was spricht dagegen, auf dem Webserver ein neues Self Signed Zert mit den entsprechenden Namen zu erstellen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Dienstag, 31. Juli 2012 08:08
    • Als Antwort markiert Alex Pitulice Mittwoch, 1. August 2012 08:35
    Donnerstag, 26. Juli 2012 05:27

Alle Antworten

  • Hi,

    du musst das Zertifikat vom Webserver in den Speicher der vertrauenswürdigen Zertifizierungsstellen des Computers importieren, damit der TMG dem Zertifikat vertraut.

    Wie das geht findest du hier:

    http://blogs.technet.com/b/sbs/archive/2007/04/10/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista.aspx

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort vorgeschlagen Alex Pitulice Dienstag, 31. Juli 2012 08:08
    • Als Antwort markiert Alex Pitulice Mittwoch, 1. August 2012 08:35
    Mittwoch, 25. Juli 2012 17:18
  • Hi Christian,

    Vielen Dank. Das hat geklappt - allerdings mag TMG nun die URL nicht:

    Error Code: 500 Internal Server Error. The target principal name is incorrect. (-2146893022)

    Dummerweise ist auf diesem Webserver kein Serverzertifikat mit einem CN installiert, sondern offenbar nur ein Root-Cert... Wie ich das interpretiere, kann TMG dann gar nicht prüfen, ob das Zertifikat auf dem Webserver auch mit der entsprechenden URL übereinstimmt - richtig? Was würdest Du vorschlagen? Eigentlich würde es ja reichen, wenn ich im Internet Explorer die bekannte Warnung erhalte, dass das Zertifikat nicht vertrauswürdig ist und ich dann das Risiko akzeptiere und fortfahre. Allerdings weiss ich nicht, ob man dies via TMG so erreicht?

    Vielen Dank im Voraus und beste Grüsse

    Matthias

    Mittwoch, 25. Juli 2012 19:40
  • Hi,

    bei einer Webveröffentlichung geht das nicht, da ja quasi der TMG der Client ist. Auf was ist denn das Zertifikat ausgestellt?

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Mittwoch, 25. Juli 2012 21:21
  • Hi,

    nur ein Root CA Zertifikat kann nicht installiert sein. Der Webserver benoetigt ein entsprechendes SSL Zertifikat (Typ Webserver, Computer) etc. um das SSL Binding entsprechend einzurichten.
    Wie Christian schon sagte, kannst Du mal den CN/SAN des Zertifikats ermitteln. Am TMG Server kannst Du dann fuer den CN in der HOSTS Datei auf den Namen mit der IP des Webservers setzen oder mit Split DNS arbeiten: Dann sollte die 500 Meldung weg sein.
    BTW: Was spricht dagegen, auf dem Webserver ein neues Self Signed Zert mit den entsprechenden Namen zu erstellen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort vorgeschlagen Alex Pitulice Dienstag, 31. Juli 2012 08:08
    • Als Antwort markiert Alex Pitulice Mittwoch, 1. August 2012 08:35
    Donnerstag, 26. Juli 2012 05:27
  • Dienstag, 31. Juli 2012 08:06