JackOP 10 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Hallo zusammen! Hab ein kleines Problemchen mit einem SBS premium. Und zwar wolte ich Outlook Mobile Access nun direckt ans Inet hängen. Bisher haben die mobilen Endgeräte vor dem syncen eine VPN-Verbindung aufgebaut, was aber nur mäßig fungtionierte. Nun habe ich den Router am Inet aufgemacht, https freigegeben und OMA am ISA entsprechend konfiguriert. Dummerweise schlägt die Synchronierung jetzt fehl, weil der DNS-Name nicht mehr mit dem im Zertifikat übereinstimmt. Über einen Webbrowser funktioniert es einwandfrei - Zertifikat und Stammzertifikat werden anerkannt. Eine CA existiert. Allerdings stammt die noch aus Zeiten, als es noch keinen öffentlichen Namen für unseren Anschluss gab - also auch nur für die lokale Domäne gültig. Oder gehts auch ohne den Wechsel des Zertifikats und ich muss nur das entsprechende Schräubchen am ISA drehen??? mir ist so, als dass es da eine Einstellung gab. Hat eine Lösung??? Grüße JackOP Zitieren
grizzly999 11 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Nein, das Zertifikat muss auf den Namen der veröffetnlichten Site lauten. Du kannst eines ausstellen und im ISA im Weblistener an diese Site binden. Wenn du es am SBS an den IIS binden solltest, dann gibt es ein paar Probleme, die diverse Umstellungen zur Folge haben, daher das besser nicht machen. grizzly999 Zitieren
JackOP 10 Geschrieben 16. Juli 2007 Autor Melden Geschrieben 16. Juli 2007 Danke! Dachte schon das Thema wäre zu uninteressant. Also muss ich mir an meiner CA ein eigenes Zertifikat bauen.? Also ein Zert. ausstellen ist klar - am ISA einbinden auch. Nur die Öffentliche Domain meiner CA unter zu jubeln leuchtet mir noch nicht ganz ein. Hast Du da ein Tip für mich? Zitieren
grizzly999 11 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Du musst einen CertRequest generieren, je nach dem, welche Art der CA und wo, mit dem Webbrowser, einem Client und der MMC oder in einem IIS. Dabei muss bei der Eingabe des Namens in der Anforderung (über den Assistenten im IIS ist das das Eingabefeld namens CN) der Name der Site eingetragen werden, über den die Site von außen angesprochen wird. grizzly999 Zitieren
JackOP 10 Geschrieben 16. Juli 2007 Autor Melden Geschrieben 16. Juli 2007 Es handelt sich um eine Unternehmenszertifizierungstelle. Leider hab ich mich noch nicht so tiefgründig mit Zertifikaten beschäftigt. Wo kann ich nun das Zertifikat an den öffentlichen Namen binden? Wenn ich das über den IE mache habe ich nur die Möglichkeit meine Benutzerinformationen einzugeben. Ist das mit meiner CA überhaupt möglich? Zitieren
grizzly999 11 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Ja klar ist das möglich, aber du brauchst ein Computerzertifikat (nebst privatem Schlüssel) auf dem ISA, kein Benutzerzertifikat. Das solltest du sogar vom ISA selber aus beantragen könnnen, es sollte aber in den Systemrichtlinien die strikte RPC-Einhaltung deaktiviert werden. grizzly999 Zitieren
JackOP 10 Geschrieben 16. Juli 2007 Autor Melden Geschrieben 16. Juli 2007 Also wie schon gesagt, so fit bin ich nun auch noch nicht, was das Thema angeht. Was die Anforderung über den ISA angeht, habe ich nur Infos zu Enterprice Edition gefunden. Die Standard Edition wird da nicht erwähnt. Das Computerzertifikat (Webserver, oder?) ist auch klar. Dennoch weis ich immernoch nicht, wo ich den DNS-Namen eintragen soll. Zitieren
grizzly999 11 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Wie machst du den Request, MMC, Browser, IIS? grizzly999 Zitieren
JackOP 10 Geschrieben 16. Juli 2007 Autor Melden Geschrieben 16. Juli 2007 Hab alles schon durch. Im IIS bekomme ich keine Möglichkeit zur Eingabe. Nur die frage, ob ich direkt einsenden will oder später. Die mmc gibt mir in der Auswahl nur den Typ DC vor. Im IE ist es halt standartmäßig "Ein Zertifikat anfordern"-> "erweitert" ->"Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen" -> Dialog "Erweiterte Zertifikatanforderung" und hier kann ich nur meine Benutzerinfos angeben. Zitieren
Ja_mei 10 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Dieser Weblog hat mir weitergeholfen bei dem Thema. Für den Zugriff von Internet über ISA2004 oder 2006 auf den Exchange ist der erste Teil maßgeblich. Blogcast RSA und OWA von Christian Hemker Teil 1: Absicherung von OWA mit SSL über ISA2004 und SecurID hemker.blog.de - Windows Server Netzwerke - Blogcast Teil 1: Absicherung von OWA mit SSL und SecurID Teil 2: Absicherung von OWA mit SSL über ISA2004 und SecurID hemker.blog.de - Windows Server Netzwerke - Teil 2 des SecurID Blogcasts Zitieren
JackOP 10 Geschrieben 16. Juli 2007 Autor Melden Geschrieben 16. Juli 2007 Danke! So Weit bin ich nun auch schon. Aber wie schon oben zu lesen, scheint meine CA nicht vernünftig zu laufen. Mir fehlen, jetzt auch dank des Webcasts bestätigt, ein paar dialoge. Zitieren
Deejablo 10 Geschrieben 16. Juli 2007 Melden Geschrieben 16. Juli 2007 Welche Dialoge sollen das sein? Der SBS sieht bei der Zertifikatsanforderung per Browser etwas anders aus wie ein "normale Exchange". Zumindest aber per IIS sollte das ganze problemlos klappen wie es im Blog beschrieben wurde. Zitieren
JackOP 10 Geschrieben 17. Juli 2007 Autor Melden Geschrieben 17. Juli 2007 Erstmal Dank an alle die mir helfen wollten! Hab mein Problem dann selbst gelöst. Lag daran, dass für die entsprechende Site schon ein Zertifikat vorhanden war, was ich aber nicht ändern wollte. Deshalb habe ich mir eine neue Site gebaut und für diese dann das entsprechende Zertifikat angefordert, welches ich dann dem ISA unterschieben konnte. cu Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.