12
IIS https binding mag nicht
Hi@All,
ich hab hier grad 1 Server(W2k12R2) vor mir den ich überreden will SSL zu möchten. =)
Zertifikat wurde mir erstellt, importiert.
Wenn ich allerdings nun das https binding einstellen will bekomme ich die Fehlermeldung "A specified logon session does not exist.".
Ok, Ok, Cancel, Close (Dialog für das Binding)
Wenn ich nun den BindingDialog wieder öffne, steht das https binding trotzdem so drinnen als ob er es einfach übernommen hatte trotz Fehler und Cancel.
Nach Tante Google: https://forums.iis.net/t/1149042.aspx
Tenor: Import des Zertifikates mit dem correcten Benutzer. Nur wer ist das? Ist das nicht der Domain Admin?
Des Weiteren wird von einem Reimport geschrieben, nur importiert kann nur ein pfx. Ich bekomme das Zertifikat allerdings aus dem Store nicht als pfx exportiert, das ist ausgegraut. Für den Export ist aktuell nur B64 und DER aktiviert.
Hat einer einen Tipp?
VG
ich hab hier grad 1 Server(W2k12R2) vor mir den ich überreden will SSL zu möchten. =)
Zertifikat wurde mir erstellt, importiert.
Wenn ich allerdings nun das https binding einstellen will bekomme ich die Fehlermeldung "A specified logon session does not exist.".
Ok, Ok, Cancel, Close (Dialog für das Binding)
Wenn ich nun den BindingDialog wieder öffne, steht das https binding trotzdem so drinnen als ob er es einfach übernommen hatte trotz Fehler und Cancel.
Nach Tante Google: https://forums.iis.net/t/1149042.aspx
Tenor: Import des Zertifikates mit dem correcten Benutzer. Nur wer ist das? Ist das nicht der Domain Admin?
Des Weiteren wird von einem Reimport geschrieben, nur importiert kann nur ein pfx. Ich bekomme das Zertifikat allerdings aus dem Store nicht als pfx exportiert, das ist ausgegraut. Für den Export ist aktuell nur B64 und DER aktiviert.
Hat einer einen Tipp?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325679
Url: https://administrator.de/contentid/325679
Printed on: April 25, 2024 at 06:04 o'clock
12 Comments
Latest comment
Moin,
Gruß,
Dani
Zertifikat wurde mir erstellt, importiert.
in den Zertifkatsspeicher des lokalen Computers?Ok, Ok, Cancel, Close (Dialog für das Binding)
Screenshots bitte. Ich bekomme das Zertifikat allerdings aus dem Store nicht als pfx exportiert, das ist ausgegraut. Für den Export ist aktuell nur B64 und DER aktiviert.
Ein Export via PFX ist nur möglich, wenn der privaten Schlüssel exportierbar ist. Dies wird in der Zertifikatsvorlage, aus der du das Zertifikat erstellt hast, konfiguriert.Gruß,
Dani
Hi Dani,
Jupp der Zertifikatespeicher des Computers. Auch an der richtigen Stelle unter "Personal Certificates".
Screenshots sind hier leider nicht möglich. Wir mit unserem Krüppel IE9 + Vista will der Bilderupload nicht. Egal ob Bildhoster oder Admin Forum Funktion.
Der Dialog um den es geht ist der "Side Bindings-->Add Site Binding".
Da ich das Zertifikat nicht erstellt habe, mangels Berechtigung, sondern ein Kollege und der auch grad an der Stelle angekommen ist das er kein pfx erstellen kann, wie nun weiter?
Er müsste doch als Domainadmin doch die Berechtigung dafür haben oder nicht?
VG
Jupp der Zertifikatespeicher des Computers. Auch an der richtigen Stelle unter "Personal Certificates".
Screenshots sind hier leider nicht möglich. Wir mit unserem Krüppel IE9 + Vista will der Bilderupload nicht. Egal ob Bildhoster oder Admin Forum Funktion.
Der Dialog um den es geht ist der "Side Bindings-->Add Site Binding".
Da ich das Zertifikat nicht erstellt habe, mangels Berechtigung, sondern ein Kollege und der auch grad an der Stelle angekommen ist das er kein pfx erstellen kann, wie nun weiter?
Er müsste doch als Domainadmin doch die Berechtigung dafür haben oder nicht?
VG
Hi,
das Zertifikat muss inkl. privatem Schlüssel in den Speicher des Computers importiert werden.
Wenn Du Dir das Zertikat anzeigen lässt, dann siehst Du auf er ersten Seite unten, wo das Ablaufdatum steht, auch, ob der private Schlüssel vorhanden ist.
E.
das Zertifikat muss inkl. privatem Schlüssel in den Speicher des Computers importiert werden.
Wenn Du Dir das Zertikat anzeigen lässt, dann siehst Du auf er ersten Seite unten, wo das Ablaufdatum steht, auch, ob der private Schlüssel vorhanden ist.
E.
Gut dann haben wir das schonmal geklärt, schau ich am Mo nach.
Nochmal zur Fehlermeldung wie im Ausgangspost.
Auf der MS Seite standwas von den Falschen Benutzer benutzt.
Inwiefern ist es relevant die Aktion mit dem Domain Admin auszuführen?
VG
"A specified logon session does not exist. It may already have been terminated. (Exception from HRESULT: 0x80070520)" Nochmal zur Fehlermeldung wie im Ausgangspost.
Auf der MS Seite standwas von den Falschen Benutzer benutzt.
I'm experiencing the same error, i figured out that was logged on with the local Administrator account, when I got this message.
I figured out that when I installed the certificate I was logged on with a Domain Administrator account, which means that this account was the owner of the private key part of the certificate.Inwiefern ist es relevant die Aktion mit dem Domain Admin auszuführen?
VG
Inwiefern ist es relevant die Aktion mit dem Domain Admin auszuführen?
Überhaupt nicht.Der Benutzer muss bloß das Recht haben, den lokalen IIS zu konfigurieren. Er muss ferner ggf. das Recht haben, ein Zertifikat in den Speicher des Computers zu importieren. Meines Wissens darf beides nur ein lokaler Administrator. Das ein Mitglied der Domain Admins per Default auch auf jedem Domain Member lokaler Administrator ist, bedeutet nicht, dass dieser Benutzer auch Domain Admin sein muss.
Wenn der IIS auf einem DC läuft, dann sind es eben die BuiltIn Administratoren der der Domäne (und nicht die Domain Admins).
Danke dir für diese ausführliche Antwort.
Moin,
ich habe nun mein neues Zertifikat, sowohl in .cer als auch in .p7b Form bekommen. NATÜRLICH nicht als PFX ^^.
Auf dem ersten Server ist das Zertifikat bereits drauf. Das auch der auf dem der Request erstellt worden ist.
Der Haken für Exportierbaren Private Key wurde dabei gesetzt.
Ich kann aber weiterhin das Zertifikat nicht als pfx exportieren. Weiterhin ausgegraut.
Wenn ich es über OpenSSL versuche zu erzeugen habe ich folgende Schritte durchlaufen:
PEM File erzeugen
Ergebnis: PEM File wird erzeugt.
PFX erzeugen
Ergebnis: Error
unable to load private key
4604:error:0906D06C:PEM routines:PEM_read_bio:no start line:crypto\pem\pem_lib.c
:691:Expecting: ANY PRIVATE KEY
Ich bin grad dabei Tante Google zum Error zu befragen, aber vielleicht hat ja schon einer eine Lösung. =)
2te Frage:
Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Kann das in irgendeiner Form automatisch geschehen sein?
Wenn ich das p7b auf Server 2 unter der MMC in den Zertifikatestore hinzufüge wird das Zertifikat/e zwar dort hinzugefügt, aber landet nicht automatisch im IIS>Zertifikate. Da dort ja für den Import ein PFX benötigt wird.
Fragen über Fragen, aber der Tag ist ja noch lang.
VG
PS:
Das Binding auf dem ersten Server, bei dem das Zertifikat bereits unter IIS>Zertifikate vorhanden ist hat sauber funktioniert und die URL die via https aufgerufen werden soll liefert auch das korrekte Ergebnis.
ich habe nun mein neues Zertifikat, sowohl in .cer als auch in .p7b Form bekommen. NATÜRLICH nicht als PFX ^^.
Auf dem ersten Server ist das Zertifikat bereits drauf. Das auch der auf dem der Request erstellt worden ist.
Der Haken für Exportierbaren Private Key wurde dabei gesetzt.
Ich kann aber weiterhin das Zertifikat nicht als pfx exportieren. Weiterhin ausgegraut.
Wenn ich es über OpenSSL versuche zu erzeugen habe ich folgende Schritte durchlaufen:
PEM File erzeugen
openssl pkcs7 -print_certs -in <Pfad zum p7b>\cert.p7b -out <Pfad zum pem>\cert.pemErgebnis: PEM File wird erzeugt.
PFX erzeugen
openssl pkcs12 -export -out <Pfad zum pfx>\cert.pfx -in <Pfad zum PEM>\cert.pemErgebnis: Error
unable to load private key
4604:error:0906D06C:PEM routines:PEM_read_bio:no start line:crypto\pem\pem_lib.c
:691:Expecting: ANY PRIVATE KEY
Ich bin grad dabei Tante Google zum Error zu befragen, aber vielleicht hat ja schon einer eine Lösung. =)
2te Frage:
Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Kann das in irgendeiner Form automatisch geschehen sein?
Wenn ich das p7b auf Server 2 unter der MMC in den Zertifikatestore hinzufüge wird das Zertifikat/e zwar dort hinzugefügt, aber landet nicht automatisch im IIS>Zertifikate. Da dort ja für den Import ein PFX benötigt wird.
Fragen über Fragen, aber der Tag ist ja noch lang.
VG
PS:
Das Binding auf dem ersten Server, bei dem das Zertifikat bereits unter IIS>Zertifikate vorhanden ist hat sauber funktioniert und die URL die via https aufgerufen werden soll liefert auch das korrekte Ergebnis.
ich habe nun mein neues Zertifikat, sowohl in .cer als auch in .p7b Form bekommen. NATÜRLICH nicht als PFX ^^.
Auf dem ersten Server ist das Zertifikat bereits drauf. Das auch der auf dem der Request erstellt worden ist.
Der Haken für Exportierbaren Private Key wurde dabei gesetzt.
Ich kann aber weiterhin das Zertifikat nicht als pfx exportieren. Weiterhin ausgegraut.
Warum, zum Geier, dieses ganze Geraffel?!Auf dem ersten Server ist das Zertifikat bereits drauf. Das auch der auf dem der Request erstellt worden ist.
Der Haken für Exportierbaren Private Key wurde dabei gesetzt.
Ich kann aber weiterhin das Zertifikat nicht als pfx exportieren. Weiterhin ausgegraut.
Interessant ist doch nur, dass Du das Zertifikat incl. privatem Schlüssel erhalten hast. Sowas überprüft man, bevor man das Zertifikat überhaupt erst importiert. Und wenn es inkl. privatem Schlüssel vorliegt, und man es in den Speicher des Computers geladen hat, und es ein Zertifkat für SSL ist (Clientauthentifizierung, Serverauthentifizierung), dann funktioniert das mit dem IIS auch.
2te Frage:
Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Den Request hast Du doch über die IIS MMC ausgelöst, oder? Dann erfolgt das innerhalb dieses Vorgangs.Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Das Binding auf dem ersten Server, bei dem das Zertifikat bereits unter IIS>Zertifikate vorhanden ist hat sauber funktioniert und die URL die via https aufgerufen werden soll liefert auch das korrekte Ergebnis.
Jetzt hast Du plötzlich 2 Server. Kann es sein, dass das Deine eigentliche Frage ist?Du hast zwei (oder mehr Server). Du hast auf einem ein Zertifikat angefordert und es funktioniert mit einer Website.
Nun willst Du das selbe Zertifikat auch noch auf einem zweiten Server verwenden, welcher die gleiche Site hostet. Und dabei hast Du Probleme. Ist das die Frage?
Zitat von @emeriks:
Warum, zum Geier, dieses ganze Geraffel?!
Interessant ist doch nur, dass Du das Zertifikat incl. privatem Schlüssel erhalten hast. Sowas überprüft man, bevor man das Zertifikat überhaupt erst importiert. Und wenn es inkl. privatem Schlüssel vorliegt, und man es in den Speicher des Computers geladen hat, und es ein Zertifkat für SSL ist (Clientauthentifizierung, Serverauthentifizierung), dann funktioniert das mit dem IIS auch.
Warum, zum Geier, dieses ganze Geraffel?!
Interessant ist doch nur, dass Du das Zertifikat incl. privatem Schlüssel erhalten hast. Sowas überprüft man, bevor man das Zertifikat überhaupt erst importiert. Und wenn es inkl. privatem Schlüssel vorliegt, und man es in den Speicher des Computers geladen hat, und es ein Zertifkat für SSL ist (Clientauthentifizierung, Serverauthentifizierung), dann funktioniert das mit dem IIS auch.
Immer draufhauen. =) Aber kein Problem, manchmal schein ich das zu brauchen.
2te Frage:
Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Den Request hast Du doch über die IIS MMC ausgelöst, oder? Dann erfolgt das innerhalb dieses Vorgangs.Durch welchen Mechanismus wird das Zertifikat auf dem Server auf dem der Request ausgelöst wurde bereits unter IIS>Zertifikate hinzugefügt?
Der Request für das Zertifikat wurde NICHT über die MMC des IIS ausgelöst sondern als Create Custom Request in der "normalen" MMC>Zertifikate.
Das Binding auf dem ersten Server, bei dem das Zertifikat bereits unter IIS>Zertifikate vorhanden ist hat sauber funktioniert und die URL die via https aufgerufen werden soll liefert auch das korrekte Ergebnis.
Jetzt hast Du plötzlich 2 Server. Kann es sein, dass das Deine eigentliche Frage ist?Du hast zwei (oder mehr Server). Du hast auf einem ein Zertifikat angefordert und es funktioniert mit einer Website.
Nun willst Du das selbe Zertifikat auch noch auf einem zweiten Server verwenden, welcher die gleiche Site hostet. Und dabei hast Du Probleme. Ist das die Frage?
Hmm =), gut das ist am Anfang nicht ersichtlich gewesen, da war ich mit dem Kopf weiter als die Finger das tippen sollten. Ja ich habe versucht ein PFX zu erzeugen um es am Ende auf Server 2 und 3 in den IIS Zertifikatestore zu impotieren.
Im Request sind 3 Server als SAN angegeben. Jetzt war mein Gedanke, wenn die Server miteinander via SSL reden sollen müssten doch alle Beteiligten das Zertifikat kennen? Oder reicht es aus das Zertifikat auf dem Server hinzuzufügen auf dem der Request ausgelöst worden ist?
Wenn ich falsch liege bitte korrigieren.
Um noch zu erklären warum 3 Server.
Server 1 : Primärer
Server 2 : Sekundärer (Lastverteilung und Ausfall Server)
Server 3 : Gehört mit zum Paket
Alle 3 sollen via SSL kommunizieren.
Als Vorgehensweise wurde es mir so erläutert, fordere das Zertifikat an und importiere es auf allen Beteiligten Servern in der Umgebung und stelle sicher das diese auch als SAN eingetragen worden sind.
Immer draufhauen. =) Aber kein Problem, manchmal schein ich das zu brauchen.
Das ist ja auch konstruktiv gedacht. 
Der Request für das Zertifikat wurde NICHT über die MMC des IIS ausgelöst sondern als Create Custom Request in der "normalen" MMC>Zertifikate.
OK.Hmm =), gut das ist am Anfang nicht ersichtlich gewesen, da war ich mit dem Kopf weiter als die Finger das tippen sollten. Ja ich habe versucht ein PFX zu erzeugen um es am Ende auf Server 2 und 3 in den IIS Zertifikatestore zu impotieren.
Im Request sind 3 Server als SAN angegeben. Jetzt war mein Gedanke, wenn die Server miteinander via SSL reden sollen müssten doch alle Beteiligten das Zertifikat kennen? Oder reicht es aus das Zertifikat auf dem Server hinzuzufügen auf dem der Request ausgelöst worden ist?
Du kannst auch jedem Server sein eigenes Zertifikat geben. Also per MMC einen Request erstellen.Im Request sind 3 Server als SAN angegeben. Jetzt war mein Gedanke, wenn die Server miteinander via SSL reden sollen müssten doch alle Beteiligten das Zertifikat kennen? Oder reicht es aus das Zertifikat auf dem Server hinzuzufügen auf dem der Request ausgelöst worden ist?
Ich bin jetzt kein IIS-Spezi und weiß nicht genau, ob es Konstellationen gibt (z.B. NLB-Cluster?), bei welchen alle Server das selbe Zertifikat haben müssen.
Wenn am 1. Server, wo das Zertifikat ursprünglich angefordert wurde, der private Schlüssel vorliegt (das sollte so sein, sonst würde die Site da ja nicht funktionieren), und der Schlüssel exportierbar ist, dann kann Du da auch mit der MMC das Zertifikat incl. privatem Schlüssel exportieren. Aber bedenke: Es kann auch schon in der CA eingestellt sein, dass beim Erstellen des Zertifikats der private Schlüssel im Zertifikat als nicht exportierbar gekennzeichnet wird. Dann kannst Du am Client, wo das Zertifikat installiert wurde, angeben, was Du willst - Du bekommst den privaten Schlüssel nicht exportiert.
Alle 3 sollen via SSL kommunizieren.
Die Server untereinander? Was müssen IIS untereinander "reden"?
Nunja, ich habe beim Request den Haken gesetzt, privater Schlüssel exportierbar.
Allerdings wenn ich mir das PEM File erzeugen lasse vom OpenSSL fehlt die PrivateKey Section, also muss irgendwas ja bewirken das der Key trotzdem nicht exportiert wird.
Die Variante für jeden Server 1 Zertifikat Request auszulösen wäre jetzt auch noch eine Variante gewesen, aber genau das sollte ja umgangen werden indem alle Beteiligten Server als SAN in den ersten Request eingestellt wurden.
Bzgl. deinem Hinweis auf die Einstellungen der CA, dem werd ich mal nachgehen.
Die 3 Server gehören zu unserer Softwareverteilinfrastruktur. Die Dienste sind nach dem Whitepaper des Herstellers auf die 3 Server verteilt und die Kommunikation läuft für einige Bestandteile via SOAP.
Bin jetzt erstmal in nem Meeting. ^^ Trotzdem schonmal fettes Danke.
Allerdings wenn ich mir das PEM File erzeugen lasse vom OpenSSL fehlt die PrivateKey Section, also muss irgendwas ja bewirken das der Key trotzdem nicht exportiert wird.
Die Variante für jeden Server 1 Zertifikat Request auszulösen wäre jetzt auch noch eine Variante gewesen, aber genau das sollte ja umgangen werden indem alle Beteiligten Server als SAN in den ersten Request eingestellt wurden.
Bzgl. deinem Hinweis auf die Einstellungen der CA, dem werd ich mal nachgehen.
Die 3 Server gehören zu unserer Softwareverteilinfrastruktur. Die Dienste sind nach dem Whitepaper des Herstellers auf die 3 Server verteilt und die Kommunikation läuft für einige Bestandteile via SOAP.
Bin jetzt erstmal in nem Meeting. ^^ Trotzdem schonmal fettes Danke.
Ergebnis:
3ter Anlauf --> Zertifikat(Multidomain) erstellen lassen. Optionen korrekt gesetzt und diesmal lies sich auch der Schlüssel exportieren. Überall das Zertifikat eingetragen und Binding aktiviert und voala. =)
3ter Anlauf --> Zertifikat(Multidomain) erstellen lassen. Optionen korrekt gesetzt und diesmal lies sich auch der Schlüssel exportieren. Überall das Zertifikat eingetragen und Binding aktiviert und voala. =)
