none
Публикация OWA. Проблема с сертификатом RRS feed

  • Вопрос

  • Доброе время суток!
    Проблема такова:
    Пытаюсь опубликовать  OWA для ex2007 через ISA 2006.

    В PS сделал запрос в CA, подтвердил, подцепил на IIS, POP, SMTP, IMAP
    Иду на сервер с ISA 2006, захожу по вебу  http://srv***/certsrv
    делаю сертификат на Web Server. Импортирую его в локальное хранилище на сервере.
    http://pic.ipicture.ru/uploads/090513/1iw2Lir7kT.jpg

    Запускаю свойства  Листнера, пытаюсь повесить сертификат.
    но получаю  ошибку:
    http://pic.ipicture.ru/uploads/090513/Q7ecc54v1f.jpg

    Куда смотреть  ?

    П.с. CA на Win 2008
    ISA на  win 2003

Ответы

  • Блин, ну certutil'ом ты его не запрашиваешь, это я оговорился. Certreq, конечно же. Мог бы и догадаться. :)


    Короче, так:

    1. Делаем запрос.

    1.1. Создаем файл описания запроса ("myrequset.inf") с таким содержанимем:

    [Version]
    Signature= "$Windows NT$"

    [NewRequest]
    Subject = CN=owa.mydomain.com
    KeySpec = 1
    KeyLength = 1024
    Exportable = TRUE
    MachineKeySet = TRUE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1"

    1.2. Генерируем запрос.

    certreq -new myrequest.inf myrequest.req

    2. Выполняем запрос.

    certreq -submit -attrib "CertificateTemplate:WebServer" myrequest.req myserver.crt

    3. Принимаем сертификат.

    certreq -accept myserver.crt

    Вот...


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    • Помечено в качестве ответа Bakanov Denis 14 сентября 2009 г. 13:58
    Отвечающий
  • я нашел другой  способ, упомянутый тут на форуме.


    Поэтому я сделал так - все на веб-сервере(Там же где и СА стоит) :
    1. Нажал "run", ввел mmc
    2. В открывшемся окне добавил оснастку Certifications (Local Computer)
    3. В ней нажал правой кнопкой мыши по названию "Personal", выбрать "All Task -Advanced Operations - Create Custom Request"
    4. Там: Далее -
    -шаблон "Web Server"
    -PKCS #10
    -Next
    -Details и жмем на Properties
    -General : friendly name: mail.contoso.msft
    -Subject : Subject name - Type ВЫбираем Common name: и пишем Value= mail.contoso.msft жмем ADD
    -Private Key : Crypt Server Provider - Оставляем только "Microsoft RSA...... "
    -Private Key : Key Options - Ставим галку "Makeprivate key exportable"
    5. Открываю браузер.
    6. Набираю http://"CA"/certsrv  - нажимаю "advanced certificate request" - Указываю "Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file."(я делал  запрос с  другой машины,но суть не изменилась)
    7. В поле "Saved Request: " вставляю содержимое сохраненного файла-запроса
    8. Выбираю шаблон сертификата - Web Server.
    9. Выдать - Загрузить сертификат - сохранить.
    10. Импортирую его теперь в "Certifications (Local Computer) - Personal"
    11. Экспортирую сертификат мастером, при этом выбираю "Export Private Key"
    12. Захожу на ISA сервер в оснастку "Certifications (Local Computer) - Persona" и импортирую этот сертификат.
    • Помечено в качестве ответа Bakanov Denis 13 мая 2009 г. 20:20

Все ответы

  • ЦС в Доверенные корневые центры сертификации добавлен?

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
  • конечно, если посмотреть первый скрин, то можно увидеть,что  цепочка сертификатов не имеет ошибок.
    Корневой сертификат СА лежит в "Trusted Root Certification Authorities"

    Все проблемы начались после поднятия ЦС на win2008 
  • Денис, а закрытый ключ ты как экспортировал/импортировал? Ты с УЦ на 2008-м из certsrv не мог закрытый ключ (в pxf) экспортировать. Используй "certutil", ну, или если ISA в составе домена, - консоль MMC "Certificates".
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Откуда экпортировал и куда импортировал ?
    Я просто  удалил CA на  одном и поднял на другом.

    Что ты вообще  хочешь сказать ?
  • Я хочу сказать, что ты импортировал на ISA сертификат без связанного с ним закрытого ключа! Если ты запрашивал сертификат через web-узел CA на Windows Server 2008, то ты не мог получить его с закрытым ключом (такова особенность в 2008-м). В общем, делай так, как я тебе советую, - перезапроси сертификат с закрытым ключом certutil'ой (в pfx-контейнер) или из MMC (если ISA в составе домена; ну, не забудь ей еще разрешить весь трафик на хост УЦ).
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Динь, про MMC я те соврал, тебе ведь ISA нужно сертификат на основе шаблона WebServer, так что путь у тя один - certutil, ну или с CAS'а (с IIS) можешь его экспортировать/импортировать на ISA, если у тя FQDN идентичны.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • как запросить сертификат certutil`ом , чет найти не могу  никак.
    Из IIS закрытый  ключ не  экспортируется.
  • Блин, ну certutil'ом ты его не запрашиваешь, это я оговорился. Certreq, конечно же. Мог бы и догадаться. :)


    Короче, так:

    1. Делаем запрос.

    1.1. Создаем файл описания запроса ("myrequset.inf") с таким содержанимем:

    [Version]
    Signature= "$Windows NT$"

    [NewRequest]
    Subject = CN=owa.mydomain.com
    KeySpec = 1
    KeyLength = 1024
    Exportable = TRUE
    MachineKeySet = TRUE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1"

    1.2. Генерируем запрос.

    certreq -new myrequest.inf myrequest.req

    2. Выполняем запрос.

    certreq -submit -attrib "CertificateTemplate:WebServer" myrequest.req myserver.crt

    3. Принимаем сертификат.

    certreq -accept myserver.crt

    Вот...


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    • Помечено в качестве ответа Bakanov Denis 14 сентября 2009 г. 13:58
    Отвечающий
  • Да, Динь, кстати, по поводу экспорта сертификата с закрытым ключом из IIS. Посмотри в консоли "Certificates" на машине, что крутит IIS, в хранилише Enrollment Request компьютера - оттуда как раз можно и экспортировать закрытый ключ. :)
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • я нашел другой  способ, упомянутый тут на форуме.


    Поэтому я сделал так - все на веб-сервере(Там же где и СА стоит) :
    1. Нажал "run", ввел mmc
    2. В открывшемся окне добавил оснастку Certifications (Local Computer)
    3. В ней нажал правой кнопкой мыши по названию "Personal", выбрать "All Task -Advanced Operations - Create Custom Request"
    4. Там: Далее -
    -шаблон "Web Server"
    -PKCS #10
    -Next
    -Details и жмем на Properties
    -General : friendly name: mail.contoso.msft
    -Subject : Subject name - Type ВЫбираем Common name: и пишем Value= mail.contoso.msft жмем ADD
    -Private Key : Crypt Server Provider - Оставляем только "Microsoft RSA...... "
    -Private Key : Key Options - Ставим галку "Makeprivate key exportable"
    5. Открываю браузер.
    6. Набираю http://"CA"/certsrv  - нажимаю "advanced certificate request" - Указываю "Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file."(я делал  запрос с  другой машины,но суть не изменилась)
    7. В поле "Saved Request: " вставляю содержимое сохраненного файла-запроса
    8. Выбираю шаблон сертификата - Web Server.
    9. Выдать - Загрузить сертификат - сохранить.
    10. Импортирую его теперь в "Certifications (Local Computer) - Personal"
    11. Экспортирую сертификат мастером, при этом выбираю "Export Private Key"
    12. Захожу на ISA сервер в оснастку "Certifications (Local Computer) - Persona" и импортирую этот сертификат.
    • Помечено в качестве ответа Bakanov Denis 13 мая 2009 г. 20:20