SSL Zertifikat für IIS Proxy

[Fraenky 10]

Guten Morgen in die Runde.

 

Ich habe ein Problem mit einem SSL Zertifikat.

 

Umgebung: Exch. 2013, davor ein Proxy-Server.

Habe bei einer Zertifizierungsstelle ein neues Zertifikat anhand des alten angefordert.

Jatzt habe ich Probleme, das neue Zertifikat in den IIS des Proxy zu bekommen.

Fehlermeldung "Das Zertifikat enthält keinen gültigen Schlüssel"

 

Freue mich über jeden hilfreichen Tipp

Fränky

[NorbertFe 2.164]

Wo hast du den csr erstellt? Bei Windows/Exchange braucht ein neues Zertifikat auch einen neuen request/private afaik. Abgesehen davon wird ein Zertifikat im Exchange nicht im iis konfiguriert, sondern per Ecp oder Ems.

 

bye

norbert.

[Nobbyaushb 1.508]

Er muss das Cert ja auch auf den Proxy installieren.

 

Könntest du z.B am Exchange mit private Key exportieren 

[Fraenky 10]

Hallo und erst mal vielen Dank für die Antworten.

 

@Nobby kanns Du mir das etwas näher erklären?

 

Danke

[Fraenky 10]

Hallo ich noch mal.

 

Ich habe von der Zertifizierungstelle den Code für eine .cer Datei, und kann eine .pem Datei runterladen.

Wie kann ich daraus eine .pfx Datei erstellen. Versuche mit openssl sind bislang gescheitert.

 

Würde mich sehr über weitere Hilfe freuen.

Gruß Fränky

 

[NorbertFe 2.164]

Wo liegt der private key?

[Fraenky 10]

Hallo Norbert,

 

ich habe gerade ein bisschen chaos in den Gedanken. vielleicht bin ich auch auf dem Holzweg.

Folgende Konstellation.

Ein Server 2012 -> WebProxy für den Exchange Server

Ein Server 2012 -> Exchange 2013

Ein Server 2012 -> DC

 

Die 3 Server stehen extern in einer DMZ. Auf den Exchange wird von Außen über OWA zugegriffen. Natürlich abgesichert von Firewalls. Diese geben das https an den WebProxy weiter. Es gibt ein Wildcard Zertifikat, ausgestellt von einer externen Zertifizierungsstelle. Das ist nun abgelaufen. Auf Baseis des alten Zertifikates wurde ein neues gekauft. Das habe ich in den Zert-Speicher auf allen 3 Servern importiert. Funktioniert aber leider noch nicht.

 

[NorbertFe 2.164]

Ja wie gesagt, man muss das Zertifikat eben auch an die Dienste des exchange binden.

[Fraenky 10]

Über die Exchange Verwaltungskonsole hizufügen?

[NorbertFe 2.164]

Ja und den Diensten zuweisen. Man könnte ja auch einfach mal die Anleitung benutzen. ;)

[Fraenky 10]

Wenn ich es versuche, über die Exch.Verwaltungskonsole zu imporiteren, bekomme ich eine Fehlermeldung, dass ein Zertifikat mit dem Fingerabdruck bereits vorhanden ist. Ich sehe es aber nicht unter den Zertifikaten

[DocData 85]

Das Wildcard-Zertifikat muss nur auf dem

Server installiert werden, auf den der HTTPS Verkehr weitergeleitet wird. Das wird vermutlich dieser ominöse Proxy sein. Dieser terminiert die SSL/ TLS Session des zugreifenden Clients.

 

Denk daran: Zertifikat alleine reicht nicht. Der Server braucht auch den Private Key.

[Fraenky 10]

Hallo DocData,

 

vielen Dank für Deine Hilfe. Der private Key müsste doch auf dem Server noch vorhanden sein? Das Zertifikat wurde anhand des alten Zertifaktes erneuert.

[NorbertFe 2.164]

wie du siehst geht das mit dem renew des selben keys aber nicht zumindest nicht mit Exchange. Also neuen csr und damit neuen key.

[Fraenky 10]

>> Also neuen csr und damit neuen key <<

 

Und dann ein neues Zeritfikat?