Remove From My Forums

SBS2011 erneuertes Zertifikat bereitstellen

Frage
0

Anmelden
Hallo Weggefährten,

wie kann ich beim SBS2011 ein geändertes oder neues selbst signiertes vertrauenswürdiges Zerifikat verteilen?

Hintergrund: Ich habe von einer DynDNS Adresse auf eine feste IP umgestellt. Darum habe ich am SBS die Assistenten Internetadresse einrichten und Vertrauenswürdiges Zertifikat hinzufügen neu durchlaufen lassen, um den alten Eintrag im Zertifikat hostX.dyndns.org in remote.domainX.de abzuändern. Das ist auch alles gut gelaufen - also die Assistenten liefen sauber durch. Aber auf dem SBS unter C:\Users\Public\Downloads\Certificate Distribution Package befindet sich immernoch die alte Datei. Wenn ich dieses Zertifikat auf mobile Endgeräte verteile, kommt natürlich eine Fehlermeldung (Fehlercode: 80072F06).

Der Netzwerkprobleme beheben Assistent unter Konnektivität konnte mir auch nicht helfen. Jetzt stehe ich auf dem Schlauch. ... oder auf der Leitung?

Frohe Ostern an alle!
- Bearbeitet h.hilpert Freitag, 6. April 2012 09:20
Donnerstag, 5. April 2012 20:07

Antworten

|

Zitieren

Antworten

0

Anmelden
wie kann ich beim SBS2011 ein geändertes oder neues selbst signiertes vertrauenswürdiges Zerifikat verteilen?

Hintergrund: Ich habe von einer DynDNS Adresse auf eine feste IP umgestellt. Darum habe ich am SBS die Assistenten Internetadresse einrichten und Vertrauenswürdiges Zertifikat hinzufügen neu durchlaufen lassen, um den alten Eintrag im Zertifikat hostX.dyndns.org in remote.domainX.de abzuändern. Das ist auch alles gut gelaufen - also die Assistenten liefen sauber durch. Aber auf dem SBS unter C:\Users\Public\Downloads\Certificate Distribution Package befindet sich immernoch die alte Datei. Wenn ich dieses Zertifikat auf mobile Endgeräte verteile, kommt natürlich eine Fehlermeldung (Fehlercode: 80072F06).

Der Netzwerkprobleme beheben Assistent unter Konnektivität konnte mir auch nicht helfen. Jetzt stehe ich auf dem Schlauch. ... oder auf der Leitung?

Allgemein ist zu sagen:

Fehlercode: 80072F06 bedeutet "ERROR_INTERNET_SEC_CERT_CN_INVALID" - d.h. dass der Common-Name (CN) auf dem ausgewerteten Zertifikat nicht mit dem erwarteten Wert übereinstimmt.

Des Weiteren ist zu sagen:

Unter:

C:\Users\Public\Downloads\Certificate Distribution Package

liegt nicht das jeweilige Leaf-Zertifikat, sondern das der ausstellende Root-CA, welches durch das Ausführen des Package auf dem jeweiligen Endgerät als vertrauenswürdig eingestuft und so sämtliche von dieser Root-CA (hier: SBS 2011 Root CA) ausgestellten Zertifikate ebenso als vertrauenswürdig einstuft.

Deswegen muss auch bei einer Änderung des Leaf-Zertifikats z.B. für RemoteWebAccess (RWA - früher RWW) NICHT das Package erneut verteilt werden (wie z.B. noch unter SBS 2003, der keine eigene Root-CA, sondern nur ein selfsign-leaf-certificate augestellt hat).

Die Lösng Deines beobachteten Fehlverhaltens ist höchstwahrscheinlich in einer anderen Richtung zu suchen und wir bräuchten nun die exakte Fehlerbeschreibung von Dir (ohne Vermutungen, nur die nackten Fakten mit den zugehörigen Hintergrunddaten - wie bei was unter welchem Kontext welche exakten Fehlermeldungen wo auftreten)

S.a.:

What Are CA Certificates?
http://technet.microsoft.com/en-us/library/cc778623(v=ws.10).aspx

Understanding Digital Certificates
http://technet.microsoft.com/en-us/library/bb123848(v=exchg.65).aspx

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Sonntag, 8. April 2012 09:06
- Als Antwort markiert h.hilpert Montag, 9. April 2012 19:39
Sonntag, 8. April 2012 09:06

Antworten

|

Zitieren

Moderator

Alle Antworten

0

Anmelden
wie kann ich beim SBS2011 ein geändertes oder neues selbst signiertes vertrauenswürdiges Zerifikat verteilen?

Hintergrund: Ich habe von einer DynDNS Adresse auf eine feste IP umgestellt. Darum habe ich am SBS die Assistenten Internetadresse einrichten und Vertrauenswürdiges Zertifikat hinzufügen neu durchlaufen lassen, um den alten Eintrag im Zertifikat hostX.dyndns.org in remote.domainX.de abzuändern. Das ist auch alles gut gelaufen - also die Assistenten liefen sauber durch. Aber auf dem SBS unter C:\Users\Public\Downloads\Certificate Distribution Package befindet sich immernoch die alte Datei. Wenn ich dieses Zertifikat auf mobile Endgeräte verteile, kommt natürlich eine Fehlermeldung (Fehlercode: 80072F06).

Der Netzwerkprobleme beheben Assistent unter Konnektivität konnte mir auch nicht helfen. Jetzt stehe ich auf dem Schlauch. ... oder auf der Leitung?

Allgemein ist zu sagen:

Fehlercode: 80072F06 bedeutet "ERROR_INTERNET_SEC_CERT_CN_INVALID" - d.h. dass der Common-Name (CN) auf dem ausgewerteten Zertifikat nicht mit dem erwarteten Wert übereinstimmt.

Des Weiteren ist zu sagen:

Unter:

C:\Users\Public\Downloads\Certificate Distribution Package

liegt nicht das jeweilige Leaf-Zertifikat, sondern das der ausstellende Root-CA, welches durch das Ausführen des Package auf dem jeweiligen Endgerät als vertrauenswürdig eingestuft und so sämtliche von dieser Root-CA (hier: SBS 2011 Root CA) ausgestellten Zertifikate ebenso als vertrauenswürdig einstuft.

Deswegen muss auch bei einer Änderung des Leaf-Zertifikats z.B. für RemoteWebAccess (RWA - früher RWW) NICHT das Package erneut verteilt werden (wie z.B. noch unter SBS 2003, der keine eigene Root-CA, sondern nur ein selfsign-leaf-certificate augestellt hat).

Die Lösng Deines beobachteten Fehlverhaltens ist höchstwahrscheinlich in einer anderen Richtung zu suchen und wir bräuchten nun die exakte Fehlerbeschreibung von Dir (ohne Vermutungen, nur die nackten Fakten mit den zugehörigen Hintergrunddaten - wie bei was unter welchem Kontext welche exakten Fehlermeldungen wo auftreten)

S.a.:

What Are CA Certificates?
http://technet.microsoft.com/en-us/library/cc778623(v=ws.10).aspx

Understanding Digital Certificates
http://technet.microsoft.com/en-us/library/bb123848(v=exchg.65).aspx

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Sonntag, 8. April 2012 09:06
- Als Antwort markiert h.hilpert Montag, 9. April 2012 19:39
Sonntag, 8. April 2012 09:06

Antworten

|

Zitieren

Moderator
0

Anmelden
Hallo Tobias,

das also am Endgerät kein Zertifikat neu eingespielt werden muss, hat mich dazu gebracht die Einstellungen am Gerät zu überprüfen und da stand noch die alte Adresse des Servers drin. Peinlicher Vorfall. Trotzdem Dir vielen Dank!

Grüße, HH
- Bearbeitet h.hilpert Montag, 9. April 2012 19:42
Montag, 9. April 2012 19:42

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

SBS2011 erneuertes Zertifikat bereitstellen

Frage

Antworten

Alle Antworten