Zertifikat für Weböffentlichung

[JackOP 10]

Hallo zusammen!

 

Hab ein kleines Problemchen mit einem SBS premium.

Und zwar wolte ich Outlook Mobile Access nun direckt ans Inet hängen. Bisher haben die mobilen Endgeräte vor dem syncen eine VPN-Verbindung aufgebaut, was aber nur mäßig fungtionierte. Nun habe ich den Router am Inet aufgemacht, https freigegeben und OMA am ISA entsprechend konfiguriert. Dummerweise schlägt die Synchronierung jetzt fehl, weil der DNS-Name nicht mehr mit dem im Zertifikat übereinstimmt. Über einen Webbrowser funktioniert es einwandfrei - Zertifikat und Stammzertifikat werden anerkannt.

Eine CA existiert. Allerdings stammt die noch aus Zeiten, als es noch keinen öffentlichen Namen für unseren Anschluss gab - also auch nur für die lokale Domäne gültig.

Oder gehts auch ohne den Wechsel des Zertifikats und ich muss nur das entsprechende Schräubchen am ISA drehen??? mir ist so, als dass es da eine Einstellung gab.

Hat eine Lösung???

 

Grüße

JackOP

[grizzly999 11]

Nein, das Zertifikat muss auf den Namen der veröffetnlichten Site lauten.

Du kannst eines ausstellen und im ISA im Weblistener an diese Site binden.

Wenn du es am SBS an den IIS binden solltest, dann gibt es ein paar Probleme, die diverse Umstellungen zur Folge haben, daher das besser nicht machen.

 

grizzly999

[JackOP 10]

Danke! Dachte schon das Thema wäre zu uninteressant.

 

Also muss ich mir an meiner CA ein eigenes Zertifikat bauen.?

Also ein Zert. ausstellen ist klar - am ISA einbinden auch. Nur die Öffentliche Domain meiner CA unter zu jubeln leuchtet mir noch nicht ganz ein.

Hast Du da ein Tip für mich?

[grizzly999 11]

Du musst einen CertRequest generieren, je nach dem, welche Art der CA und wo, mit dem Webbrowser, einem Client und der MMC oder in einem IIS. Dabei muss bei der Eingabe des Namens in der Anforderung (über den Assistenten im IIS ist das das Eingabefeld namens CN) der Name der Site eingetragen werden, über den die Site von außen angesprochen wird.

 

grizzly999

[JackOP 10]

Es handelt sich um eine Unternehmenszertifizierungstelle.

Leider hab ich mich noch nicht so tiefgründig mit Zertifikaten beschäftigt. Wo kann ich nun das Zertifikat an den öffentlichen Namen binden? Wenn ich das über den IE mache habe ich nur die Möglichkeit meine Benutzerinformationen einzugeben. Ist das mit meiner CA überhaupt möglich?

[grizzly999 11]

Ja klar ist das möglich, aber du brauchst ein Computerzertifikat (nebst privatem Schlüssel) auf dem ISA, kein Benutzerzertifikat. Das solltest du sogar vom ISA selber aus beantragen könnnen, es sollte aber in den Systemrichtlinien die strikte RPC-Einhaltung deaktiviert werden.

 

grizzly999

[JackOP 10]

Also wie schon gesagt, so fit bin ich nun auch noch nicht, was das Thema angeht.

Was die Anforderung über den ISA angeht, habe ich nur Infos zu Enterprice Edition gefunden. Die Standard Edition wird da nicht erwähnt.

Das Computerzertifikat (Webserver, oder?) ist auch klar. Dennoch weis ich immernoch nicht, wo ich den DNS-Namen eintragen soll.

[grizzly999 11]

Wie machst du den Request, MMC, Browser, IIS?

 

grizzly999

[JackOP 10]

Hab alles schon durch.

Im IIS bekomme ich keine Möglichkeit zur Eingabe. Nur die frage, ob ich direkt einsenden will oder später.

Die mmc gibt mir in der Auswahl nur den Typ DC vor.

Im IE ist es halt standartmäßig "Ein Zertifikat anfordern"-> "erweitert" ->"Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen" -> Dialog "Erweiterte Zertifikatanforderung" und hier kann ich nur meine Benutzerinfos angeben.

[Ja_mei 10]

Dieser Weblog hat mir weitergeholfen bei dem Thema. Für den Zugriff von Internet über ISA2004 oder 2006 auf den Exchange ist der erste Teil maßgeblich.

 

Blogcast RSA und OWA von Christian Hemker

Teil 1: Absicherung von OWA mit SSL über ISA2004 und SecurID

hemker.blog.de - Windows Server Netzwerke - Blogcast Teil 1: Absicherung von OWA mit SSL und SecurID

Teil 2: Absicherung von OWA mit SSL über ISA2004 und SecurID

hemker.blog.de - Windows Server Netzwerke - Teil 2 des SecurID Blogcasts

[JackOP 10]

Danke!

So Weit bin ich nun auch schon. Aber wie schon oben zu lesen, scheint meine CA nicht vernünftig zu laufen. Mir fehlen, jetzt auch dank des Webcasts bestätigt, ein paar dialoge.

[Deejablo 10]

Welche Dialoge sollen das sein?

 

Der SBS sieht bei der Zertifikatsanforderung per Browser etwas anders aus wie ein "normale Exchange".

 

Zumindest aber per IIS sollte das ganze problemlos klappen wie es im Blog beschrieben wurde.

[JackOP 10]

Erstmal Dank an alle die mir helfen wollten!

 

Hab mein Problem dann selbst gelöst. Lag daran, dass für die entsprechende Site schon ein Zertifikat vorhanden war, was ich aber nicht ändern wollte. Deshalb habe ich mir eine neue Site gebaut und für diese dann das entsprechende Zertifikat angefordert, welches ich dann dem ISA unterschieben konnte.

 

cu