Jump to content

Server2003 ISA 2004 Zertifikate - Verständnisproblem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Welt,

 

ich habe ein generelles Verständnisproblem. Im Anhang habe ich ein JPG Bild das meine Infrastrukur zeigt. Leider weiss ich nicht wie das sofort im Beitrag angezeit werden kann.

 

Es geht um folgendes.

1.) Es git eine SBS Server 2003 mit ISA und Exchange

2.) Der Server hat drei Netzwerkkarten

192.168.0.100 zum Router 192.168.0.1

192.168.16.100 für das Intarnet bzw. Entwicklungsbereich WEBENTW

192.168.20.100 für den öffentlichen Webclient

 

Meine Test zeigen So weit so gut. Die Clients funktionieren und eine Webveröffentlcihungsregel zum WEBENTW würde auch gehen - was isch aber nicht will.

 

Mein eigentliches Problem ist die Arbeit mit Zertifikaten.

Wenn ich von einem Remoteclient auf das Outllok Web Access zugreifen möchte bekomme ich zwar noch das Zertifikat angezeigt, allerdings mit dem Hinweis, das der Servername auf dem Zertifikat falsch ist. Gebe ich dann trotzdem JA ein,kommt eine Seite, das sich nicht zugreifen kann.

Dies veranlasste mich eine Zertifizierungsstelle auf dem SBS einzurichten, damit hier eine Vertrauenstellung zwischen dem SBS und dem ISA (gleicher Rechner) hergestellt werden kann.

Nachdem ich nun alles so lese muss ich sagen, dass ich am Schluss nur noch BAHNHOF verstehe.

 

Wo muss ich welche Zertifikat installiern. Wie hole ich mir ein Zertifikat von meiner Certstelle für den OAW Server. Wenn ich mit dem IE einen zugriff auff den Server/Cert mache bekomme ich auch die Möglichkeit ein Cert anzufordern - aber nur als Clientzertifikat .

Auf dem SBS wird bei den Informationen bei Verzeichnissicherhiet publishing.rechnername.local angezeigt.

Wer kann mir Schritt für Schritt erläutern,wie ich mit den Zertifikaten umgehen muss ? und wie ISA und SBS zusammenabreiten. Ich habe auch den Bereich bei MS Digitale Zertifikate für ISA 2004 gelesen. Scheiter aber immer bei der Einrichtung der Zertifikaten.

 

VIELEN DANK an alle

Link zu diesem Kommentar

Also zwischem dem ISA und dem SBS kannst du keine Vertrauensstellung einrichten.

 

Wie mir scheint, und das ist nicht böse gemeint, sondern das bringst du ja selber zum Ausdruck, hast du vonISA keine Ahnung. Macht nix, ich habe auch von vielem keine Ahnung ;) ....

.... aber dann solltest du dich etwas schlau machen. ISA ist kein einfaches Produkt, und da geht es um Sicherheit. Es gibt inzwischen schon einige deutschsprachige Bücher auf dem Markt, und dieverse Step-by-Step-Anleitungen findest du beim Kollegen Dieter Rauscher http://www.msisafaq,de

 

 

grizzly999

Link zu diesem Kommentar

Ich kann das Problem eingrenzen. So wie es aussieht habe ich beim anlegen der Zertifizierungsstelle einen Fehler gemacht. Der WebClient erhält die falsche url um das zertifikat zu verifizieren. Jetz bin ich am schauen, wie ich das bereinigen kann. Der ISA ist nicht so mein problem.

 

Bedeutet:

nehmen wir mal an ich gehe über einen dnydns drauf. Dann würde das bedeutet, ich mach im ISA eine Webveröffenlichung die besagt:

 

wenn (Zielsatz)https://zertifikat.meinewunsch.dyndns.bla

dann gehe auf

meinsbs.domain.local/Certsrv ..

das geht auch soweit. Beim Client wird ein Zertifikat angezeigt.nun stimmen aber meine inhalte im Certifikat nicht. Denn im Zertifikat steht als URL die URL meiner localen Domäne.

Vielleicht weiss jemand rat ?

Link zu diesem Kommentar

Hmm, was ist jetzt das eigentliche Problem. Dass der Client dieungülige URL anmeckert? Für die Funktion wäre das egal, wenn man die Nachfrage bestätigt, ob man dem zertifikat dennoch vertrauen will.

 

Wenn man das Zertifikat auf den öffentlichen Namen haben will, dann muss man am besten mit irgend einem einem IIS eine Zertifikatsanforderung (für irgendeine sichere Website auf diesem IIS generieren), den externen namen in der Anforderung eintragen und diesen Request dann bei der Zertifizierungstelle einkippen, und das Zertifikat ausstellen. Das Zertifikat dann exportieren und beim IIS wieder importieren.

Jetzt kann man das Zertifikat auf dem ISA importieren.

 

 

grizly999

Link zu diesem Kommentar

Zuerst einmal DANKE das sich überhaupt jemand mit mir beschäftigt.

 

Mein Grundproblem ist, dass ich vom Client aus auf die OWA zugreifen möchte. Das ging soweit, das beim Aufruf über den IE (https) von ausserhalb das Zertifikat angezeigt wurde ich dies bestätig habe und dann kam., dass ich keinen Zugriff habe. Nachdem ich manchen Artikel gelesen habe, kam ich zu der Erkenntnis es müsste ein Zertifizierungsproblem zwischen dem SBS(OWA) und ISA sein. Also habe ich die Zertifizierungsstelle auf dem SBS eingerichtet. Dort habe ich leider nicht aufgepasst, so dass ich für die verifizeirung der zertifikate nicht den DNS name aus meine DYNDNS angegeben habe. Jetzt versuchen die Zertifikate über meinen internen namen - aaaa.bbbbb.local die Zertifikate zu verifizieren was natürlich ausserhalb schiefgeht. So ist mein Anliegen derzeit ein sauberes Zertifikat nach draussen abzugeben. Das kriege ich aber irgendwie nicht hin. Wenn ich darf, sende ich dir gerne meine genauen LINK zu dann siehst du sicher was ich meine.

Mach ich das ganze innerhalb der Struktur also unter aaa.bbb.local und rufe von einem Client die OWA auf hab ich keine Probleme. Es geht jetzt darum ein sauberes Zertifikat zu produzieren.

 

Nehmen wir als an mein link wäre cert.WillIchHaben.dyndns.org

 

mein isa lenkt um auf SBSServer.Firma.local/Certsrv

 

meine Certifizeirung heisst BSN Certstelle muss ich beim Zugriff auf Stelleninformationen eine http Eintrag mit meiner dyndns Adresse machen ?

 

dann müsste mein Zertifikat folgendermassen aussehn ? bzw. welche Zertifikate muss ich auf dem IIS (SBS) ersetzen erneuern ......

 

Hier bleib ich hängen

 

VIELEN Danke

Bernhard

Link zu diesem Kommentar

Ich hab den SBS 2003 Server jetzt upgedatet. Insgesamt hat das 5 Stunden gedauert.

Vorher habe ich den ISA 2000 deinstalliert und auch meine Zertifikatsstelle wurde vorher deinstalliert. Danch die komplette Palette als updates installiert. Zum Schluss den ISA 2004 mit SP1 - der hat sogar noch was altes aus dem ISA2000 gefunden. Hab mich aber entschieden keine Werte zu übernehmen. Daraufhin hat er weitergemacht und dann mit einem Error beendet.- Im Unterverzeichnis vom ISA war noch ne DLL, die hab ich gelöscht. Dann das Update nochmals gestartet und dann lief alles gut. Die Installation hat mir alle Werte angezeigt! und ich musste (bis auf die DNS-Server IP-Adressen) nur noch bestätigen. Auch die korrekten Werte für die Zertifikate. Das hat mir gefallen.

 

Ich hoffe das jetzt alles funkt. Trotz allem DANKE an die die meine Frage gelesen haben und danke für die Antowrt.

 

mfg

bernhard

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...