Hilfe bei RAS-EAP-Anmeldung ?

[BlueDog 10]

Hallo,

 

folgende Voraussetzungen: 2k3 RAS Server, DFÜ Client (XP), Stammdomäne D1 und Unterdomäne D2

In D1 gibt es eine Unternehmens-Stammzertifizierungsstelle (CA) und eine Unternehmens-untergeordnete-Zertifizierungssstelle (SubCAD1).

In D2 gibt es eine Unternehmens-untergeordnete-Zetrifizierungsstelle (SubCAD2).

Beide SubCA sind von der CA zertifiziert, befinden sich also auf der gleichen Stufe.

 

Nun das Problem:

Der Client soll sich per DFÜ mit dem RAS Server verbinden. Als Authentifizierung soll EAP mit User-Zertifikaten benutzt werden. Der Server hat ein Zertifikat von SubCAD2, der Client von SubCAD1. Die Verbindung scheitert mit Fehler 0x8009030, der Benutzer kann sich nicht authentifizieren, weil Zertifikat und Zertifizierungskette zwar gültig, aber eines der Zertifizierungszertifikate wurde vom Richtlinienanbieter nicht für vertrauenswürdig gehalten. (Beide Zerti der SubCA und das der CA sind im NTAuth Speicher der Domäne vorhanden)

 

Warum ich nicht für Server und Client bei SubCAD2 das Zerti bestellt habe ? Ging nicht, obwohl ich bei den Templates gleiche Einstellungen habe. Über das Snap-In wird nur SubCAD1 angeboten, warum weiß ich nicht.

 

RAS-Server und Client sind Mitglieder der Domäne D2.

 

Ich bin schon eine Weile am Basteln und für jeden Rat dankbar der mich der Lösung einen Schritt weiterbringt.

[Dr Kiffer 10]

Hi BlueDog

 

sehe ich das richtig das auf den Clients im Ordner vertrauenswürdige Stammzertifizierungstellen deine StammCA drinne ist oder fehlt diese dort!

Falls diese fehlt das Root zertifikat hinzufügen und weiter schauen!

 

Gruß

 

Dr.Kiffer

[holgi_man 10]

Hallo erstmal

 

ich glaube nicht das es an der Vertrauenswürdigkeit liegt, sondern das sowohl der SRV als auch der Client ein CA haben muß von der gleichen Zertifizierungsstelle.

 

mit den freundlichsten

 

holgi :)

[BlueDog 10]

Hallo,

 

@ Dr. Kiffer: Das Zertifikat der StammCA befindet sich im Ordner für vertrauenswürdige StammCAs. Das war auch meine erste Idee.

 

@ Holgi: Reicht nicht ein Zertifikat mit der gleichen StammCA als Root der Zertifizierungskette ? Aus irgendwelchen (mir unerklärlichen) Gründen mag die SubCAD2 mir kein Benutzerzertifikat für den Client ausstellen und die SubCAD1 nicht für den Server. (Wobei ich nur an der SubCAD2 ändern kann, da "mir die andere CA nicht gehört")

[BlueDog 10]

Danke euch beiden. Vielen, vielen Dank. :D

 

Ich war noch einmal in meiner SubCAD2 und habe nochmal versucht diese zu überzeugen mir ein Benutzerzertifikat auszustellen. Die Zertifikatsvorlage nochmals installiert, und es ging schon.

 

Dann konnte ich mir ein Benutzerzertifikat ausstellen und Verbindungstechnisch loslegen. Nochmals vielen Dank für eure schnelle Hilfe.

 

CU

[holgi_man 10]

Hallo BlueDog

 

"@ Holgi: Reicht nicht ein Zertifikat mit der gleichen StammCA als Root der Zertifizierungskette ? Aus "

 

und deine Schlußfolgerung reicht oder reicht nicht?

 

mfg

 

holgi :)

[BlueDog 10]

Reicht nicht ! (merkwürdig eigentlich) Es funktioniert nur wenn Server und Client das Zertifikat von SubCAD2 erhalten.

 

Gruß :) :) :)

[holgi_man 10]

Hallo BlueDog

 

Merkwürdig, eigentlich nicht wenn du in deiner Wohnung rein willst kannst du ja auch nicht den Schlüssel deines Nachbarn nehmen obwohl es der gleiche Vermieter ist ... oder

 

CU

 

holgi :)