1
Wie kann ich Clientzertifikate ohne 1-1 bzw. n-1 Mapping nutzen?
Hallo Allerseits,
ich bin langsam am verzweifeln, ich versuche heute den halben Tag über den IIS 7.0 ein Clientzertifikat einzubinden.
Zu Meiner Umgebung:
Windows Server 2008 Std.
über Hyper-V ein Windows Server 2008 Std. mit Micrsoft Exchange Server 2007.
OWA und Active Sync sind über SSL verschlüsselt, das Zertifikat habe ich von Comodo, ebenso das Clientzertifikat.
Ich bin nach dieser Installations-anleitung vorgegangen:
http://blogs.iis.net/rlucero/archive/2008/05/23/iis-7-walkthrough-one-t ...
habe alles schritt für schritt installiert. die Vorraussetzungen in der anleitung habe ich erfüllt, leider funktioniert das ganze nicht so wie es funktionieren sollte.
Wenn in den SSL-Einstellungen für OWA "Clientzertifikate aktzeptieren" eingestellt ist, kann ein Client ohne das Clientzertifikat auf OWA zugreiffen. Installiere ich das
Clientzertifikat auf dem Client, kommt dann eine Meldung über den IE: "Die Website, die sie ansehen möchten, erfodert eine indentifikation. Wählen Sie ein zertifikat aus."
Darin kann ich das Clientzertifikat sehen, bestätige ich diese Meldung, komme ich auf OWA.
Setzte ich in den SSL Einstellungen für OWA "Clientzertifikate anfordern", wird er Zugriff ohne Clientzertifikat mit der Meldung 403 verweigert. Habe ich dasClientzertifikat installiert, bekomme ich wieder diese Meldung mit der Auswahl eines Zertifikates. Bestätige ich diese kann ich auf OWA zugreiffen.
In einem Artikel: http://support.microsoft.com/kb/907274/en-us von einem MS Mitarbeiter habe ich folgendes rausgelesen:
"For a certificate to work properly, certain requirements must be met on both the server and the client. Each side has a list of root certification authorities that they trust. When the server prompts for a certificate, the request includes a list of the certification authorities that the server trusts. The client then compares this list to the list of certification authorities that the client trusts and creates a list of the ones that match. Then, the client compares that list to the client certificates it has and determines which, if any, certificates have been issued by certification authorities that both the client and the server trust. Depending on the client, you may see a list of certificates to choose from if there is more than one certification authority that both sides trust. The client then sends the public portion of the certificate to the server. At this point, the server generally checks to make sure that the certificate is valid and, if no mapping is performed, the communications between the client and the server can continue."
Mir geht es einfach darum, sobald ein Client über das Internet auf OWA zugreiffen will, sollte der IIS zuerst überprüfen ob der Client das passende Clientzertifikat hat.
Ist das Clientzertiikat zum Zertifikat auf dem IIS passend, so soll der Client auf OWA Zugriff bekommen, damit der Benutzer sich schließlich an OWA anmelden kann.
Mehr will ich auch eigentlich nicht. Leider finde ich niergendswo Informationen darüber, wie ichdas realisieren kann. Ich habe auch versucht das Clientzertifikat ohne privaten Schlüssel über die MMC in die Vertrauenwürdigen Zertifizierungsstellen aufzunehmen, leider ohne erfolg, gleiche Problematik wie o. genannt besteth immer.
Ist so eine Realisierung überhaupt ohne 1:1 bzw. n:1 Mapping möglich?
Ich sollte morgen zu dem Problem eine Lösung haben, ich hoffe es kann mir jemand auf dei Schnelle helfen.
Viele Grüße
Alex
ich bin langsam am verzweifeln, ich versuche heute den halben Tag über den IIS 7.0 ein Clientzertifikat einzubinden.
Zu Meiner Umgebung:
Windows Server 2008 Std.
über Hyper-V ein Windows Server 2008 Std. mit Micrsoft Exchange Server 2007.
OWA und Active Sync sind über SSL verschlüsselt, das Zertifikat habe ich von Comodo, ebenso das Clientzertifikat.
Ich bin nach dieser Installations-anleitung vorgegangen:
http://blogs.iis.net/rlucero/archive/2008/05/23/iis-7-walkthrough-one-t ...
habe alles schritt für schritt installiert. die Vorraussetzungen in der anleitung habe ich erfüllt, leider funktioniert das ganze nicht so wie es funktionieren sollte.
Wenn in den SSL-Einstellungen für OWA "Clientzertifikate aktzeptieren" eingestellt ist, kann ein Client ohne das Clientzertifikat auf OWA zugreiffen. Installiere ich das
Clientzertifikat auf dem Client, kommt dann eine Meldung über den IE: "Die Website, die sie ansehen möchten, erfodert eine indentifikation. Wählen Sie ein zertifikat aus."
Darin kann ich das Clientzertifikat sehen, bestätige ich diese Meldung, komme ich auf OWA.
Setzte ich in den SSL Einstellungen für OWA "Clientzertifikate anfordern", wird er Zugriff ohne Clientzertifikat mit der Meldung 403 verweigert. Habe ich dasClientzertifikat installiert, bekomme ich wieder diese Meldung mit der Auswahl eines Zertifikates. Bestätige ich diese kann ich auf OWA zugreiffen.
In einem Artikel: http://support.microsoft.com/kb/907274/en-us von einem MS Mitarbeiter habe ich folgendes rausgelesen:
"For a certificate to work properly, certain requirements must be met on both the server and the client. Each side has a list of root certification authorities that they trust. When the server prompts for a certificate, the request includes a list of the certification authorities that the server trusts. The client then compares this list to the list of certification authorities that the client trusts and creates a list of the ones that match. Then, the client compares that list to the client certificates it has and determines which, if any, certificates have been issued by certification authorities that both the client and the server trust. Depending on the client, you may see a list of certificates to choose from if there is more than one certification authority that both sides trust. The client then sends the public portion of the certificate to the server. At this point, the server generally checks to make sure that the certificate is valid and, if no mapping is performed, the communications between the client and the server can continue."
Mir geht es einfach darum, sobald ein Client über das Internet auf OWA zugreiffen will, sollte der IIS zuerst überprüfen ob der Client das passende Clientzertifikat hat.
Ist das Clientzertiikat zum Zertifikat auf dem IIS passend, so soll der Client auf OWA Zugriff bekommen, damit der Benutzer sich schließlich an OWA anmelden kann.
Mehr will ich auch eigentlich nicht. Leider finde ich niergendswo Informationen darüber, wie ichdas realisieren kann. Ich habe auch versucht das Clientzertifikat ohne privaten Schlüssel über die MMC in die Vertrauenwürdigen Zertifizierungsstellen aufzunehmen, leider ohne erfolg, gleiche Problematik wie o. genannt besteth immer.
Ist so eine Realisierung überhaupt ohne 1:1 bzw. n:1 Mapping möglich?
Ich sollte morgen zu dem Problem eine Lösung haben, ich hoffe es kann mir jemand auf dei Schnelle helfen.
Viele Grüße
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140747
Url: https://administrator.de/contentid/140747
Printed on: April 25, 2024 at 08:04 o'clock
1 Comment
Guten Morgen allerseits,
hat keiner eine idee?
hat keiner eine idee?
