validas 10 Geschrieben 11. Mai 2012 Melden Teilen Geschrieben 11. Mai 2012 Hi, ich habe einen aktiven SBS 2K8 mit Exchange,... am laufen. Der Server und seine Dienste werden von intern und via VPN von extern angesprochen. Leider ist nun mein autodiscover-Zertifikat ausgelaufen (was einiges an Problemen aufwirft) und lässt sich nicht verlängern. Was ich bisher herausfinden konnte liegt das daran, dass der damals ausgestellte User nicht mehr im System vorhanden ist. Damit dieses Problem nicht auch bei den zwei anderen wichtigen Zertifikaten "servername.domain" und "remote.domain" passiert will ich nun ein neues einzelnes Zertifikat mit den drei Namen als Alias durch den Standard Domänenadministrator-Account erstellen. Mein Problem dabei ist, dass ich mit dem Windows-Zertifikatsspeicher nicht wirklich klar komme. Ich habe noch keine genaue Vorstellung davon, wie ich Zertifikate auf dem SBS einrichten kann... Zu dem Thema gibt es nicht wirklich viele Anleitungen und ich habe noch keine gefunden, die mir erklären kann, was ich womit eigentlich tue und ob das sinnvoll bzw. gewinnbringend ist. Im Microsoft Schmöker "Small Business Server 2008" wird dieses Thema viel zu kurz angerissen und z.B. die Anleitung auf TechNet: Erstellen von Zertifikaten funktioniert bei mir nicht, weil einige der auszufüllenden Felder bei mir gar nicht angezeigt werden!? Ich scheitere dabei außerdem an folgendem Fehler: "Um die Zertifikatregistrierung abzuschließen, muss die Website der Zertifizierungsstelle für die Verwendung der HTTPS-Authentifizierung konfiguriert sein.", was vermutlich ebenfalls ein Sideeffect des abgelaufenen autodiscover ist. Hierfür gibt es bereits einen alten Beitrag hier im Forum: "2K8 - Fehler: HTTPS-Authentifizierung bei Zertificatanforderung". Dort erklärt der Beitragssteller, dass er die Webseite zum Zertifikaterstellen zu den "Trusted Sites" hinzugefügt, die HTTPS-Serverprüfung abgeschaltet, sowie serverseitig SSL deaktiviert und ActiveX-Elemente aktiviert hat, die als "nicht sicher für Skripting" markiert sind. Das habe ich soweit auch mal kurz alles probiert und das behebt tatsächlich die Fehlermeldung bzw. das Blocken des ActiveX-Elements. Insofern ist dieses Problem "nur noch" aus sicherheitstechnischer Sicht nicht lösbar, wobei mir klar ist, dass der antwortende Expert Member im Beitrag recht hat und es wenig sinnvoll ist auf Sicherheit zu verzichten, während man Sicherheit schaffen möchte. Die Frage ist also, wie kann ich überhaupt sinnvoll ein Zertifikat erstellen, welche Zertifikate brauche ich für den SBS überhaupt und was muss ich dabei beachten, damit ich das nicht auf unsichere Art und Weise durchführe. Habt ihr Ideen/ Anleitungen wie ich dieses Problem lösen kann? Viele Grüße Niko Zitieren Link zu diesem Kommentar
Ramme 11 Geschrieben 15. Mai 2012 Melden Teilen Geschrieben 15. Mai 2012 Schon in der Small Business-Konsole den Punkt vertrauenswürdiges Zertigikat hinzufügen durchgegangen? Gruß Ramme Zitieren Link zu diesem Kommentar
validas 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 Thx for help. In der SBS Konsole kann ich via "vertrauenswürdiges Zertifikat erstellen" aber leider auch nur einen Zertifikatsrequest erstellen und nicht direkt ein Zertifikat "bauen". Ich möchte aber ja ein spezielles Zertifikat mit mehreren Aliases, damit ich das Zertifikat für mehrere Dienste einsetzen kann. Kann ich das später noch editieren/hinzufügen? Habe jetzt testhalber mal einen Request erstellt. Wie sollte es damit denn dann weitergehen? Ich hab eine selbst erstellte CA, die im SBS importiert ist. Verstehe ich das richtig, dass ich via PowerShell (certutil?) dat Ding nun von der eigenen CA unterschreiben lassen muss bzw. daraus dann das Zertifikat generiert wird? Werde in die Richtung mal weiter probieren. Zitieren Link zu diesem Kommentar
validas 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 Also mit certreq -submit funktioniert das schonmal nicht: "Die Anforderung enthält keine Zertifikatsvorlageninformationen. 0x80094801 (-2146875391) Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatsvorlage, noch das Anforderungsattribut "CertificateTemplate". Weitere Ideen? Werde es wohl doch via Weboberfläche machen müssen, dort kann ich ja aus dem Zertifikatsvorlagenspeicher etwas auswählen. Zitieren Link zu diesem Kommentar
Ramme 11 Geschrieben 16. Mai 2012 Melden Teilen Geschrieben 16. Mai 2012 Im SBS lässt sich nur ein einfaches Zertifikat mit einer Adresse erstellen. Wenn du mehrere Adressen über ein Zertifikat absichern willst, brauchst du ein Wildcardzertifikat, welches nur kostenpflichtig zu bekommen ist. Gruß Ramme Zitieren Link zu diesem Kommentar
validas 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 Hm, klar ein Wildcardzertifikat würde es natürlich auch tun, dann müsste ich nicht erst irgendwie drei Aliases einbauen. Andererseits würde dann alles dieser Domäne am SBS auflaufen und das soll gar nicht so sein. BTW: Warum kann ich mir sowas denn auf dem SBS nicht einfach selbst bauen? In meinem Fall liegt dort nur eine lokale Domäne "xy.local". Dafür müsste ich mir doch auch selbst ein Wildcardzertifikat erstellen können. Aber gut, zur Not erstelle ich halt doch drei einzelne Zertifikate sbs.xy.local, remote.xy.local und autodiscover.xy.local und arbeite mit denen weiter. Bleibt die Frage, wie ich diese Zertifikate erstellen soll/kann. Mit der SBS Konsole funktioniert das mit der eigenen CA so nicht. Bleibt also nur, die Sicherheitseinstellungen im Browser zu minimieren und doch dort das Zertifikat zu bauen. Evtl. kann man das dann sogar noch editieren... Mal sehen. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 16. Mai 2012 Melden Teilen Geschrieben 16. Mai 2012 Erstellt der SBS Wizard nicht von Haus aus SAN Zertifikate oder war das der Exchange Wizard? Zitieren Link zu diesem Kommentar
validas 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 Hm, kann ich nicht sagen... Mit der ursprünglichen Installation hatte ich nichts zu tun. Die drei angesprochenen Zertifikate wurden bei der Installation aber natürlich mit erstellt. Habe nur wie gesagt das Problem, dass die abgelaufen sind und sich nicht erneuern lassen - vermutlich weil es den Administratorbenutzer, der die Dinger ursprünglich erstellt hat, auf dem SBS nicht mehr gibt. Wollte die Dinger deshalb sauber neu erstellen. Evtl. ist das aber auch gar nicht nötig und ich kann die doch irgendwie erneuern/verlängern...? Zitieren Link zu diesem Kommentar
Ramme 11 Geschrieben 16. Mai 2012 Melden Teilen Geschrieben 16. Mai 2012 Der SBS erstellt von Haus aus ein Zertifikat, welches auf die Domain ausgestellt wird, die bei der Konfiguration angegeben wurde. Über das Beheben von Netzwerkproblemen kann man dieses Zertifikat wieder herstellen, sofern der SBS erkennt, dass mit dem Zertifikat etwas nicht stimmt. Gruß JBC Zitieren Link zu diesem Kommentar
validas 10 Geschrieben 16. Mai 2012 Autor Melden Teilen Geschrieben 16. Mai 2012 Richtig, das hatte ich auch schon probiert, aber das funktioniert nicht. Zwar erkennt der SBS das fehlerhafte Zertifikat, kann es aber nicht reparieren. Ich erinnere mich nicht mehr genau an die Fehlermeldung, aber es lies nach etwas googlen darauf schließen, dass es am nicht mehr vorhandenen User liegt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.