MarcelIT 0 Geschrieben 9. Oktober 2013 Melden Teilen Geschrieben 9. Oktober 2013 "Houston, we have a problem."Mahlzeit ihr Gleichgesinnten, ich habe ein Problem.Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen.Ende Oktober läuft nun das SSL Zertifikat für die Domain aus - dieses will ich nun verlängern.Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel".Okay, erstmal zum Anfang.Vorgehensweise und Einstellungen es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen" Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10" "Eigenschaften" im Reiter "Allgemein" den gleichen Anzeigename wie das bestehende Zertifikat im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen im Reiter "Erweiterungen" habe ich "Datenverschlüsselung" und "Digitale Signatur" gewählt im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Austausch" [englisch "Exchange"] (nicht "Signatur") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exprtierbar machen" OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt CSR bei Thawte SSL123 eingereicht Zertifikat bekommen + eingespielt MS Forefront TMG > Toolbox > Weblistener > Zertifikat > … Fehler "Der private Schlüssel ist nicht installiert" mögliche Ursachen(?) Liegt der Fehler bei meiner Einstellungen unter "privater Schlüssel" > "Schlüsseltyp" > "Austausch" (nicht "Signatur")? Habe ich deswegen keinen privaten Schlüssel? Habe ich keinen "privaten Schlüssel" weil, dass alte Zertifikat ("privater Schlüssel" vorhanden) den gleichen Namen hat und deswegen kein neuer "privater Schlüssel" generiert wurde? (Bug?) Kann mir jemand helfen und sagen wo der Fehler ist bzw. wo ich den dazugehörigen "privaten Schlüssel" finde?Cheers Marcel Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 9. Oktober 2013 Melden Teilen Geschrieben 9. Oktober 2013 Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen. Dafür braucht man doch aber kein TMG, und gepusht wird da eigentlich auch nix. ;) Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel". Also warst du eigentlich nicht fast fertig? ;) es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft Wo ist das installiert? Auf dem TMG? Ganz ehrlich, viel einfacher wäre gewesen: 1. Zertifikatsrequest per Powershell auf dem Exchange erstellen (digicert bietet dir sogar nen schönen Wizard, der dir den Powershellbefehl zusammenbaut) 2. Zertifikatsrequest einreichen und warten. 3. Zertifikat welches man erhält auf dem Exchange installieren mittels der Exchange Managementkonsole (ausstehende Zertifikatsanforderung abschließen) 4. Zertifikat mit privatem Schlüssel exportieren 5. Zertifikat auf TMG importieren (privater Schlüssel als exportierbar markieren nicht anhaken). 6. Zertifikat im Weblistener konfigurieren 7. Fertig. Bye Norbert PS: Wird dir denn in deiner Zertifikats-MMC auch kein privater Schlüssel angezeigt? PS: Alternativ, wenn du 1 Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 9. Oktober 2013 Autor Melden Teilen Geschrieben 9. Oktober 2013 PS: Wird dir denn in deiner Zertifikats-MMC auch kein privater Schlüssel angezeigt? Wo sehe ich den? Es fehlt beim neuen Zertifikat das "Schlüssel-Symbol". (TMG-Server) Wo ist das installiert? Auf dem TMG? Ja auf dem TMG-Server. Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist. Hätte ich den CSR auf dem Exchange machen müssen? PS: Alternativ, wenn du Wh0t? :p Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 9. Oktober 2013 Melden Teilen Geschrieben 9. Oktober 2013 Wo sehe ich den? In der Zertifikats-MMC. Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist. Wie hast du das Zertifikat denn im TMG eingespielt? Hätte ich den CSR auf dem Exchange machen müssen? Nein, nur ist es da viel bequemer als auf dem TMG. :p Bye Norbert PS: Das zweite PS war der Satzanfang der durch das erste PS überflüssig wurde, welches du aber nicht beantwortet hast :p 1 Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 9. Oktober 2013 Autor Melden Teilen Geschrieben 9. Oktober 2013 (bearbeitet) Wie hast du das Zertifikat denn im TMG eingespielt? "MMC" > "Zertifikate" > "lokaler Computer" > "Eigene Zertifikate" > "Zertifikate" > "Rechtsklick" > "Alle Aufgaben" > "Importieren" In der Zertifikats-MMC. Wo genau? Screenshot? bearbeitet 9. Oktober 2013 von MarcelIT Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 9. Oktober 2013 Melden Teilen Geschrieben 9. Oktober 2013 "MMC" > "Zertifikate" > "lokaler Computer" > "Eigene Zertifikate" > "Zertifikate" > "Rechtsklick" > "Alle Aufgaben" > "Importieren" Da müßte ja eigentlich auch der Request noch rumgedümpelt sein, oder? Wo genau? Screenshot? Doppel-Klick aufs Zertifikat. Schau dir die Unterschiede zu deinem bisherigen an. Steht gleich auf der ersten Seite "Sie besitzen den privaten Schlüssel" Bye Norbert 1 Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 9. Oktober 2013 Autor Melden Teilen Geschrieben 9. Oktober 2013 (bearbeitet) Da müßte ja eigentlich auch der Request noch rumgedümpelt sein, oder? Ja, der Request ist unter "Zertifikatregistrierungsanfroderungen" inkl. "privaten Schlüssel". Doppel-Klick aufs Zertifikat. Schau dir die Unterschiede zu deinem bisherigen an. Steht gleich auf der ersten Seite "Sie besitzen den privaten Schlüssel" Beim "alten" Zertifikat ist der "private Schlüssel" da, beim "Neuen" nicht. Warum nur? Gruß Marcel bearbeitet 9. Oktober 2013 von MarcelIT Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 9. Oktober 2013 Melden Teilen Geschrieben 9. Oktober 2013 Kann ich dir nicht sagen. ;) Frag doch mal beim Support der Ausstellungsstelle nach. Ist das direkt über Thawte oder über einen Reseller wie psw? Falls letzteres, klingel die kurz an, das funktioniert bei denen problemlos. Bye Norbert 1 Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 9. Oktober 2013 Autor Melden Teilen Geschrieben 9. Oktober 2013 (bearbeitet) Kann ich dir nicht sagen. ;) Frag doch mal beim Support der Ausstellungsstelle nach. Ist das direkt über Thawte oder über einen Reseller wie psw? Falls letzteres, klingel die kurz an, das funktioniert bei denen problemlos. Bye Norbert Na dann, rufe ich mal bei PSW an. :p bearbeitet 9. Oktober 2013 von MarcelIT Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 10. Oktober 2013 Autor Melden Teilen Geschrieben 10. Oktober 2013 (bearbeitet) Guten Morgen, ich find es strange, aber mit dem neuen, neuen (kostenloser Zertifikatsaustausch durch PSW) Zertifikat geht es jetzt - der private Schlüssel ist vorhanden. :cool: Mit welchen Optionen ich die neue, neue CSR (Certificate Signing Request) erstellt habe, möchte ich euch der Vollständigkeit halber nicht vorenthalten. "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen" Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10" "Eigenschaften" im Reiter "Allgemein" den FQDN als Anzeigename im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen im Reiter "Erweiterungen" habe ich bei "Schlüsselverwendung" "Datenverschlüsselung" und "Digitale Signatur" gewählt sowie bei "Erweiterte Schlüsselverwaltung" "Serverauthentifizierung" und "Clientauthentifizierung" im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Signatur" (nicht wie vorher "Austausch/Exchange") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exportierbar machen" OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt in der MMC unter "Zertifikatregistrierungsanfroderungen" die neu erstelle Anforderung inkl. privaten Schlüssel auf den Desktop, als Backup, exportiert CSR bei Thawte SSL123 eingereicht Zertifikat bekommen + eingespielt MS Forefront TMG > Toolbox > Weblistener > Zertifikat > … @NorbertFe Vielen Dank für deine Unterstützung! :jau: UPDATE: Jetzt steht im TMG beim Weblistener wo ich das Zertifikat auswählen will, falscher Schlüsseltyp. -.- Wäre bei "Schlüsseltyp" doch "Austausch" richtig? Gruß Marcel bearbeitet 10. Oktober 2013 von MarcelIT Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 10. Oktober 2013 Melden Teilen Geschrieben 10. Oktober 2013 Was war jetzt an meinem powershellbefehl so umständlich, dass du dir den krampf mit der Konsole antust? 1 Zitieren Link zu diesem Kommentar
MarcelIT 0 Geschrieben 10. Oktober 2013 Autor Melden Teilen Geschrieben 10. Oktober 2013 Was war jetzt an meinem powershellbefehl so umständlich, dass du dir den krampf mit der Konsole antust? Ok, dann mache ich es so - wie lautet der PS-Befehl damit ich den Wizard starten kann? 1. Zertifikatsrequest per Powershell auf dem Exchange erstellen (digicert bietet dir sogar nen schönen Wizard, der dir den Powershellbefehl zusammenbaut) 2. Zertifikatsrequest einreichen und warten. 3. Zertifikat welches man erhält auf dem Exchange installieren mittels der Exchange Managementkonsole (ausstehende Zertifikatsanforderung abschließen) 4. Zertifikat mit privatem Schlüssel exportieren 5. Zertifikat auf TMG importieren (privater Schlüssel als exportierbar markieren nicht anhaken). 6. Zertifikat im Weblistener konfigurieren 7. Fertig. Hi, hat wie oben beschrieben über die Powershell mit ... New-ExchangeCertificate -GenerateRequest -SubjectName "cn=xxx.xxx.xxx, c=XX, o=XXXXXXXXXXX, l=XXXXXX, s=XXXXXX, ou=XXXXXXXXXXXX" -IncludeAcceptedDomains -privatekeyexportable $true ... super funktioniert. Danke!! Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 10. Oktober 2013 Melden Teilen Geschrieben 10. Oktober 2013 Ok, dann mache ich es so - wie lautet der PS-Befehl damit ich den Wizard starten kann? Welchen? Den hier? https://www.digicert.com/easy-csr/exchange2010.htm Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.