djmaker 95 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Hallo, bei einem Kunden läuft ein Zertifikat im IIS ab (kommerz. Zertifikat für Windows Mobile Geräte mit Zugriff auf Exchange 2k3). Ich habe im IIS auf der Standardwebsite - > Verzeichnisrechte eine Anfrage für die Zertifikatserneuerung erstellt und die Text-Datei beim Zertifikatsanbieter eingereicht. Dort wird bemängelt das der Punkt "Location" leer ist. Angeblich kann man beim Erstellen des Requests diesen Punkt mit angeben? Weiß jemand wo man das machen kann? Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 15. Februar 2010 Autor Melden Teilen Geschrieben 15. Februar 2010 Laut dem Zertifikatsanbieter muss man bei der Beantragung des neuen Zertifikats die Option "Zertifikat löschen" wählen. Diese ist jedoch im IIS deaktviert . . . . . Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. Februar 2010 Melden Teilen Geschrieben 15. Februar 2010 Hi, Du kannst so ein Zertifikat grundsätzlich auch über die Zertifikate MMC oder Webenrollment beantragen und in den Maschinenspeicher importieren. Dann läßt sich das aktuelle Zertifikat durch das neue Zertifikat ersetzen. Ist vielleicht einfach als die doch sehr limitierten IIS Dialoge. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 15. Februar 2010 Autor Melden Teilen Geschrieben 15. Februar 2010 Hallo olc, danke für die Antwort. Auf keinem der Server sind Zertifikatsdienste installiert. Ich habe es eben nach folgender Anleitung gelöst: https://search.thawte.de/support/ssl-digital-certificates/index?page=content&id=SO3881&actp=RSS&viewlocale=de_DE&showDraft=false Warum der IIS 6 bei einer Erneuerungsanfrage nicht standardmäßig alle bereits eingegebenen Daten einfließen läßt weiß wohl nur Bill Gates. :) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Februar 2010 Melden Teilen Geschrieben 16. Februar 2010 Hi Thomas, dann könntest Du versuchen, es mittels certreq.exe und einer entsprechenden *.inf Datei zu lösen: Appendix 3: Certreq.exe Syntax Wenn Du nur das Zertifikat erneuern und nicht den privaten Schlüssel neu erstellen möchtest, dann könntest Du die Option "UseExistingKeySet" nutzen. Die Syntax der *.inf Datei ist jedoch recht komplex. Wenn Du ein neues Keyset nutzen möchtest, kannst Du einfach ein neues Zertifikat beantragen - oder ist das preislich ein Unterschied? Viele Grüße olc Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 16. Februar 2010 Melden Teilen Geschrieben 16. Februar 2010 ...ich habe übrigens gerade noch einmal geschaut: Die City/locality wird doch auch beim IIS 6 Zertifikat Wizard abgefragt (ebenso wie beim IIS 7) - letzter Dialog. Oder habe ich das Problem falsch verstanden? Beschreibe doch noch einmal ganz konkret, wie Du vorgegangen bist. Schritt für Schritt. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 17. Februar 2010 Autor Melden Teilen Geschrieben 17. Februar 2010 Hallo olc, bei der Erstellung der Zertifikaterneuerungsanfrage wurde definitiv keine Location abgefragt (Standardwebsite). Ich habe das mehrmals gemacht (und zwischenzeitlich die Anfragen gelöscht). Ich habe das dann über den Workaround einer temporären Website auf dem gleichen Server lösen können (s. Link). Ich habe die Doku bekommen von der Kollegin welche das Originalzertifikat angefrat hat. Dort ist die Location hinterlegt. Schritt für Schritt: -im IIS-Manager mit Rechtsklick auf die Standardwebsite deren Eigenschaften aufgerufen -in der Registerkarte Verzeichnissicherheit \ Serverzertifikat die Erneuerungsanfrage für das hinterlegte Zertifikat gestartet -den Assistenten für die Zertifikatserneuerungsanfrage durchlaufen lassen (hier wurde keine Zertifikatsinhalte abgefragt) Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 18. Februar 2010 Melden Teilen Geschrieben 18. Februar 2010 Hallo zusammen, bei internen Zertifikatserneuerungen und eigener CA funktioniert das Verfahren normalerweise ganz gut und ohne Probleme. Bei einer Erneuerung eines 3rd-party Zertifikats ist mir auch schon aufgefallen, dass die dabei erzeugte CSR wesentlich länger ist, als eine komplett neuerzeugte CSR. Ich bin jetzt kein Kryptoexperte, aber ich schätze mal dass einige Zertifikatsanbieter mit diesen "erweiterten" Requests einfach nicht zurechtkommen. Ich für meinen Teil hab mir angewöhnt immer die Zertifikate komplett neu zu beantragen - das schont die Nerven ;) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Februar 2010 Melden Teilen Geschrieben 18. Februar 2010 Moin, genau - daher auch oben meine Frage, ob es teurer wäre, einen neuen Request zu starten. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 18. Februar 2010 Autor Melden Teilen Geschrieben 18. Februar 2010 Keine Ahnung wie die Preislage war (ich hatte mit den Zertifikatsanbieter selber nichts zu tun), ich war quasi nur "Sub" des Dienstleisters. Ich war mir nicht sicher was die Mobile-Clients machen wenn auf dem Setrver auf einmal ein komlett neues Zerti ist. PS: Da vom Kunden keine Klagen kommen scheint mein Weg funktioniert zu haben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.