SSL-Zertifikat abgelaufen bei OCSPowershell (Lync 2010)

[kaysus 11]

Guten Morgen,

 

ich habe ein Problem auf die Lync-Verwaltungsshell (OCSpowershell) mit einem Rechner zuzugreifen. Die Rechner sind Domänenmitglieder der selben Domäne. Ich nehme an, es ist ein Fehler auf dem Client, da ich mit anderen Rechnern eine https-verbindung zur ConnectionUri der Lync-Verwaltungsshell herstellen kann.

Eine normale Powershell-Verbindung via SSL zum Lyncserver ist auch möglich, doch bei dem Befehl:

 

New-PSSession -ConnectionUri http://<Lyncserver>/ocsPowerShell -Credential Get-Credential

 

erhalte ich die Fehlermeldung:

 

New-PSSession : [<Lyncserver>] Connecting to remote server <Lyncserver> failed with the
following error message : Das Serverzertifikat auf dem Zielcomputer (<Lyncserver>:443) enthält die
folgenden Fehler:
Es konnte nicht überprüft werden, ob das SSL-Zertifikat gesperrt ist. Der zum Überprüfen der Sperren verwendete Server
ist möglicherweise nicht erreichbar.
Das SSL-Zertifikat ist abgelaufen. For more information, see the about_Remote_Troubleshooting Help topic.
At line:1 char:12
+ $Session = New-PSSession -ConnectionUri https://<Lyncserver>. ...
+            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
   gTransportException
    + FullyQualifiedErrorId : 12175,PSSessionOpenFailed

 

 

Ich habe das genutzte Zertifikat auf dem IIS exportiert und es auf dem Client mit certutil -verify überprüft:

 

Ausgabe:

 

    C=DE
Zertifikatseriennummer: 3608e9a5000000000bec

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 40 Days, 20 Hours, 36 Minutes, 24 Second
s

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 40 Days, 20 Hours, 36 Minutes, 24 Seconds


CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: xxx
  NotBefore: 29.03.2016 10:59
  NotAfter: 29.03.2018 10:59
  Subject: xxx
  Serial: 3608e9a5000000000xxx
  SubjectAltName: DNS-Name=sip.xxx.de, DNS-Name=lyncdiscoverinternal.xxx.de, DNS-Name=lyncdiscover.xxx.de, DNS-Name=dailin.xxx.de, DNS-Name=
meet.xxx.de, DNS-Name=sipadmin.xxx.de, DNS-Name=sipextern.xxx.de,
 DNS-Name=de01com03.xxx.de, DNS-Name=xxx, DNS-Name=dial
in.xxx.de
  Template: WebServer
  c7 3c 8a e1 c5 b6 3a bd 7e aa 95 e0 d7 65 e8 83 62 5b 17 08
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL d1:
    Issuer: CN=xxx, DC=xxx, DC=de
    60 49 b4 e1 e5 b2 d0 ad 84 7e 0d 1d e3 47 0c f2 0d xxx
  Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
  Issuer: CN=xxx
  NotBefore: 19.10.2012 12:12
  NotAfter: 19.10.2022 12:22
  Subject: xxx
  Serial: 613f2930000000000xxx
  Template: SubCA
  b5 86 3f 80 25 f0 43 d3 52 18 f2 a7 7c 5b e6 39 cf xx
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    CRL 10:
    Issuer: xxx
    bd 75 22 fc 53 0f e7 c4 70 7f 25 bc 5e 9d 51 03 4xx

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: xxx
  NotBefore: 07.02.2007 13:38
  NotAfter: 07.02.2027 13:47
  Subject: xxx
  Serial: 55905209c1a78bb546bc4af80c9xx
  a3 5a 13 2c 77 6d 26 e8 4e e6 73 15 78 1d d0 76 5b xx
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
  51 43 ec 99 da 36 1c a1 53 b3 2e 0f 31 d8 4d d2 14 68 xx
Full chain:
  10 47 c5 90 90 73 95 48 22 aa c9 20 e1 6d 88 77 67xx
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien:
    1.3.6.1.5.5.7.3.1 Serverauthentifizierung
Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse
n.
CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

 

Ich komme nicht dahinter, warum nur dieser eine Client keine Verbindung aufbauen kann.

 

Kann jemand helfen?

 

Vielen Dank.

bearbeitet 5. April 2016 von kaysus

[kaysus 11]

Hallo,

 

ich habe es lösen können und möchte Euch daran teilhaben lassen. Ich denke, in diese Fall kann man leicht tappen.

 

Es lag am IIS auf dem Lyncserver. Hier gab es eine Bindung für http und https. Diese waren an "*" gebunden. Also an alle IP-Adressen des Hosts. Das sollte eigentlich ausreichen. Tut es aber nicht.

 

Auf dem Clientserver und auch dem Host ist IPv6 aktiviert. Und bei IPv6 gilt das "*" in den Bindungen am IIS nicht. Ich habe nun das gültige Zertifikat expliziet an die IPv6 Adresse des Hosts gebunden und habe nun keine Probleme mit dem Zertifikat.