Zertifikat für OWA/ISA

[HerrSchnabel 10]

Hallo Zusammen,

 

ich habe den Clientzugriff über OWA bereit zu stellen. Natürlich über SSL.

Nun versuche in unserem ISA ein Webserverzertikat einzubinden, jedoch ohne Erfolg. Vermutlich bin ich auf diesem Auge ****, aber ich meine nun alles versucht zu haben.

Die CA läuft auf einem Server 2008 Std, der ISA auf 2003 Std. Wenn ich versuche über die Webseite (certsrv) ein Zertifikat anzufordern, habe ich nicht die Möglichkeit den Schlüssel als exportierbar zu markieren (altes Problem). Um mich damit nicht weiter rumärgern zu müssen, habe kurzerhand temporär den IIS auf dem ISA installiert, um hierüber das Zertfikat anzufordern. Wie ich es auch mache, sofort oder später einreichen - nichts will funktionieren.

Wenn ich es sofort einreiche, geht die Anforderung bei der CA ein, ich kann es genehmigen, aber das bestätigte Zertifikat kommt nicht zum ISA/IIS zurück. Die Anforderung per Datei scheint der 2008 nicht vertragen zu wollen. Wenn ich die Datei importieren will, kann er sie nicht verarbeiten, weil ihm die Templateinformationen fehlen.

Die einzige Lösung die ich noch sehe, wäre der Request per Website. Dort hätte ich die Möglichkeit, den Container für das Zertikat anzugeben, jedoch habe ich keine Ahnung, wie man diesen angibt. Weis jemand von euch die Namenskonvention hierfür? Oder kommt dieser Versuch auch nicht in Frage?

 

Ich wäre euch sehr verbunden, wenn ihr helfen könntet.

Danke

[NorbertFe 2.104]

Du mußt das Zertifikat ja nichtvom ISA aus anfordern. Da ich vermute, dass du es für einen Weblistener benötigst, geh einfach an irgendeinen IIS leg dort eine neue Website an (Zertifikat o.ä.) fordere dort das Zertifikat an (externer Name für den ISA) und exportiere es dann mit dem privaten Schlüssel. Der muß nicht als exportierbar wieder importiert werden.

 

Bye

Norbert

[HerrSchnabel 10]

Danke für die rasche Antwort.

Ich denke nicht, dass ich einen Listener hierfür benötige. Da das System noch nicht produktiv ist, habe ich zwischen ISA und CA gerade alles offen. Somit sollte auch die Kommunikation passen. Ein Blocking des Dienstes habe ich Protokoll nicht erkennen können.

Die Idee mit dem anderen IIS ist nicht schlecht, aber damit habe ich das nächste Problem. Wie ich bereits anprach, ist der nächste Server ein 2008er - völliges Neuland für mich, an dessen IIS ich den Dialog für die Zertifikate vermisse.

Lass mich raten: Anforderung per Powershell? :-(

[NorbertFe 2.104]

Du brauchst sehr wohl einen Weblistener am ISA. ;) Eventuell beantragst du erstmal ein Zertifikat wie oben beschrieben, dann sehen wir weiter.

 

Bye

Norbert

 

PS: Alles geht in dem Fall ohne Powershell, sondern klassisch klicki-bunti ;)

[HerrSchnabel 10]

Hallo NorbertFE,

 

Danke für deine Unterstützung, aber mittlerweile habe ich doch lösen können.

Mein Problem war, dass ich krampfhaft versucht habe das Zertifikat direkt in den Zertifikatsspeicher zu importieren. Dabei ging mir natürlich immer der Private-Key flöten.

Ich habe nun den Import über den IIS durchgeführt und siehe da - alles schön.

[NorbertFe 2.104]

Und, brauchst du jetzt einen Weblistener für OWA am ISA?

 

Bye

Norbert

[HerrSchnabel 10]

Ja, aber das haut schon hin.

Nachdem der ISA das Zertifikat nun akzeptiert, sollten alle weiteren Tasks kein Hindernis mehr darstellen.

[NorbertFe 2.104]

Na dann viel Erfolg.

 

Bye

Norbert