bits 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Hallo, Ich habe nun, weil mein anderes Zertifikat abgelaufen ist, das Zertifikat des Exchange 2007 SP1 OWA erneuert. Dazu habe ich in der Shell vom Exchage (PowerShell), eine zertifikatsanfrage gemacht. Diese danach auch in Godaddy eingegeben. Gut. Ich kann mich nun auf dem ISA Server Authentifizieren (Zertifikat wird als gültig erkannt), jedoch danach kommt die Meldung 500 Error. Man kann ja die OWA Veröffentlichungsregel testen. Gesagt getan: Die URL https://meinedomain.org:443/Microsoft-Server-ActiveSync wird getestet. Kategorie: Fehler beim veröffentlichten Serverzertifikat Fehlerdetails: 0x80090349 - Das Zertifikat ist für den angeforderten Zweck nicht zugelassen. Aktion: Gehe zu http://go.microsoft.com/fwlink/?LinkId=115965 Hmm, in google finde ich nichts. In der PowerShell auf dem EX habe ich den befehl enable-exchange.... -service pop, IIS, smtp aktiviert, danach das zertifikat mit der powershell exportiert und nochmals neu auf dem isa server installiert mit private key. Dauernd kommt diese Meldung.. Bin ein bisschen ratlos..... :confused: Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Die Fehlermeldung klingt relativ eindeutig: Das Zertifikat ist für den angeforderten Zweck nicht zugelassen. Das heisst dass das Zertifikat nicht den richtigen X.509 Nutzungstyp hat. Wie du das geschafft hast kann ich mir auf die schnelle allerdings auch nicht vorstellen ;) Guter Weg um das zu verifizieren: openssl s_client -connect 1.2.3.4:443 (PEM Zertifikat in ein File schreiben) Dann openssl x509 -in file.txt -text Und dort solltest du dann sowas im Output sehen: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 20. Juli 2009 Autor Melden Teilen Geschrieben 20. Juli 2009 C:\Programme\gnuwin32\bin>openssl x509 -in file.txt -textError opening Certificate file.txt 1020:error:02001002:system library:fopen:No such file or directory:./crypto/bio/ bss_file.c:356:fopen('file.txt','rb') 1020:error:20074002:BIO routines:FILE_CTRL:system lib:./crypto/bio/bss_file.c:35 8: unable to load certificate C:\Programme\gnuwin32\bin>openssl s_client -connect ip-des-exchange:443 Loading 'screen' into random state - done CONNECTED(00000090) depth=2 /C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Autho rity verify error:num=20:unable to get local issuer certificate verify return:0 --- Certificate chain 0 s:/O=mydomain.org/OU=Domain Control Validated/CN=mydomain.org i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.go daddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=079 69287 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.go daddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=079 69287 i:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authorit y 2 s:/C=US/O=The Go Daddy Group, Inc./OU=Go Daddy Class 2 Certification Authorit y i:/L=ValiCert Validation Network/O=ValiCert, Inc./OU=ValiCert Class 2 Policy Validation Authority/CN=http://www.valicert.com//emailAddress=info@valicert.com --- Server certificate -----BEGIN CERTIFICATE----- MIIGbjCCBVagAwIBAgIHA/qiTZsiBDANBgkqhkiG9w0BAQUFADCByjELMAkGA1UE BhMCVVMxEDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAY BgNVBAoTEUdvRGFkZHkuY29tLCBJbmMuMTMwMQYDVQQLEypodHRwOi8vY2VydGlm aWNhdGVzLmdvZGFkZHkuY29tL3JlcG9zaXRvcnkxMDAuBgNVBAMTJ0dvIERhZGR5 IFNlY3VyZSBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTERMA8GA1UEBRMIMDc5Njky ODcwHhcNMDkwNzIwMTYyMzE2WhcNMTIwOTAzMTkwNzEzWjBbMRowGAYDVQQKExFz ZXZlbnRlZW5iaXRzLm9yZzEhMB8GA1UECxMYRG9tYWluIENvbnRyb2wgVmFsaWRh dGVkMRowGAYDVQQDExFzZXZlbnRlZW5iaXRzLm9yZzCCAiIwDQYJKoZIhvcNAQEB BQADggIPADCCAgoCggIBAKM8lYxRpureJ/j74Cg9shYSipO1wVrjWE0bvSqDXK/F a5fPqh0ojn506Vj89a9HJjLv2PMUnnPehZkx2tz3EFzEtwL+eVaw85FM6osFNP+Q Xt9wa44DhbkqlQekaarc9v2dszYYy/JJx2ejE6pPdY3pE3px00H2ORXCXso360sAzcjcki0KKsr5yoDeQkrwZlr6gNyLwEccdosLMcwV FUakHpWyCuWpmVvSlLnkGb00 -----END CERTIFICATE----- subject=/O=mydomain.org/OU=Domain Control Validated/CN=mydomain.org issuer=/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates. godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=0 7969287 --- No client certificate CA names sent --- SSL handshake has read 4337 bytes and written 706 bytes --- New, TLSv1/SSLv3, Cipher is AES128-SHA Server public key is 4096 bit Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: 440500000A4B2DBE8015464E3BBC50EB9FF17B4E599EBBE01166BD20CD45F197 Session-ID-ctx: Master-Key: 5C0951EA59A66D38A3FAED1DB80C298715FE99151053A97A72E7F4C5AEA03F9E AE859A43F7BD010586725CBAD8ABB9DE Key-Arg : None Start Time: 1248116554 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) --- PS: Ich habe diese Tests aus einem Client im Netzwerk gemacht.. openssl x509 -in file.txt -text HTTP/1.1 400 Bad Request Content-Type: text/html; charset=us-ascii Server: Microsoft-HTTPAPI/2.0 Date: Mon, 20 Jul 2009 19:12:48 GMT Connection: close Content-Length: 311 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/str ict.dtd"> <HTML><HEAD><TITLE>Bad Request</TITLE> <META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD> <BODY><h2>Bad Request</h2> <hr><p>HTTP Error 400. The request is badly formed.</p> </BODY></HTML> read:errno=0 C:\Programme\gnuwin32\bin> Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Ja, sieht aber so aus als ob du beim c&p was falsch gemacht hast, das Base64 Zeug hier ist nämlich kaputt. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 20. Juli 2009 Autor Melden Teilen Geschrieben 20. Juli 2009 Hmm.. Versteh nicht ganz was Du meinst.. Aber das heisst, am besten nochmals von vorne anfangen? Nun ist es eben 1 Jahr her. Danach hatte ich keine Installation mehr mit ISA 2006 in Bezug auf Ex 07.. :-/ **** gefragt -> c&p ? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 20. Juli 2009 Melden Teilen Geschrieben 20. Juli 2009 Hmm.. Versteh nicht ganz was Du meinst.. Aber das heisst, am besten nochmals von vorne anfangen? C&P = Copy & Paste Ne, ich meine nur das du etwas bei der Bedienung von OpenSSL falsch gemacht hast, vermutlich das Zertifikat nicht richtig rauskopiert, und deswegen kein gescheites Ergebnis erhältst. Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 21. Juli 2009 Autor Melden Teilen Geschrieben 21. Juli 2009 Hi Lukas :) Habe das Zertifikat revoked und neu erstellt mit Private Key.. Nun läufts einwandfrei! Danke für Deine Hilfe! :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.