11
Problem mit Zertifikat - Oder doch kein Problem ? Ursache für Verbindungsproblem gesucht
Folgendes Problem:
ExRCA (https://www.testexchangeconnectivity.com/) zeigt ein Problem mit einem installierten SSL-Serverzertifikat an. Öffnet man die Seite in einem Webbrowser schein mit dem Zertifikat alles in Ordnung zu sein. Ich suche Tipps woran das liegen könnte.
Folgende Grundkonfiguration:
Hinter einer Firewall (pfSense) ist ein Windows Server 2003 Std (aktueller update Stand) mit IIS 6 und Exchange 2003 SP2, installiert. HTTPS Port wird von der Firewall an den Server weitergereicht.
Auf dem Server ist für SSL ein GeoTrust RapidSSL-Zertifikat (von Domainfactory) gültig bis 5/2013 installiert.
der Standardtest für den Zugriff auf Exchange (RPC über HTTP):
https://EXTDOMAIN.de/rpc
reagiert wie erwartet. Der Browser zeigt am Ende das geschlossene Schloss und meint das verwendete Zertifikat sei prima in Ordnung.
Teste ich die verbindung hingegen mit dem Microsoft Remote Connectivity Analyzer (ExRCA) so kommt folgender Fehler:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Grundsätzlich soll das scheinbar bedeutetn, das ExRCA das SSL Zertifikat nicht "auslesen" kann. Warum aber kann es der Browser beim Zugriff scheinbar problemlos (s.o.)?
Was stimmt den nun? Ist das Zertifikat richtig installiert oder nicht? und falls nicht was passt da nicht?
Keine Ahnung wo ich noch suchen soll.
(Hintergrund der Frage ist natürlich, das RPC über HTTP nicht funktioniert.)
Ich hoffe einer hier hat eine Idee.
Gruß
Andreas
Hinter einer Firewall (pfSense) ist ein Windows Server 2003 Std (aktueller update Stand) mit IIS 6 und Exchange 2003 SP2, installiert. HTTPS Port wird von der Firewall an den Server weitergereicht.
Auf dem Server ist für SSL ein GeoTrust RapidSSL-Zertifikat (von Domainfactory) gültig bis 5/2013 installiert.
der Standardtest für den Zugriff auf Exchange (RPC über HTTP):
https://EXTDOMAIN.de/rpc
reagiert wie erwartet. Der Browser zeigt am Ende das geschlossene Schloss und meint das verwendete Zertifikat sei prima in Ordnung.
Teste ich die verbindung hingegen mit dem Microsoft Remote Connectivity Analyzer (ExRCA) so kommt folgender Fehler:
ExRCA testet Exchange ActiveSync.
Fehler beim Testen von Exchange ActiveSync.
Testschritte
Attempting to resolve the host name EXTDOMAIN.de in DNS.
The host name resolved successfully.
Weitere Details
IP addresses returned: x.x.x.x
Testing TCP port 443 on host EXTDOMAIN.de to ensure it's listening and open.
The port was opened successfully.
Testing the SSL certificate to make sure it's valid.
The SSL certificate failed one or more certificate validation checks.
Testschritte
ExRCA is attempting to obtain the SSL certificate from remote server EXTDOMAIN.de on port 443.
ExRCA wasn't able to obtain the remote SSL certificate.
The certificate couldn't be validated because SSL negotiation wasn't successful.
This could have occurred as a result of a network error or because of a problem with
the certificate installation.
Grundsätzlich soll das scheinbar bedeutetn, das ExRCA das SSL Zertifikat nicht "auslesen" kann. Warum aber kann es der Browser beim Zugriff scheinbar problemlos (s.o.)?
Was stimmt den nun? Ist das Zertifikat richtig installiert oder nicht? und falls nicht was passt da nicht?
Keine Ahnung wo ich noch suchen soll.
(Hintergrund der Frage ist natürlich, das RPC über HTTP nicht funktioniert.)
Ich hoffe einer hier hat eine Idee.
Gruß
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204546
Url: https://administrator.de/contentid/204546
Printed on: April 24, 2024 at 06:04 o'clock
11 Comments
Latest comment
Vermutlich ein Mismatch mit dem FQDN und dem internal Name im Zertifikat (geraten).
Hier steht unter "Cerificates" was zu zwingend beachten ist wenn man interne Server per NAT nach draussen bringt :
http://blog.schertz.name/2012/07/lync-edge-server-best-practices/
Ist zwar für Lync, gilt aber analog auch für RPC.
Hier steht unter "Cerificates" was zu zwingend beachten ist wenn man interne Server per NAT nach draussen bringt :
http://blog.schertz.name/2012/07/lync-edge-server-best-practices/
Ist zwar für Lync, gilt aber analog auch für RPC.
@aqui:
Das Problem mit dem internen und externen Namen ist mir klar. Normalerweise sollte der Browser dann aber wohl meckern:
Wenn ich im Browser auf EXTDOMAIN.de zugreife und das Zertifikat nicht auf EXTDOMAIN.de ausgestellt ist sondern z.B. auf INTDOMAIN.de dann gibts soweit ich das weis eine Fehlermeldung. das ist aber hier nicht der Fall. Der ExRCA kann so einen Fehler nebenbei bemerkt auch nachweisen (wie ich schon erfahren musst
).
Es muss hier irgendwas anderes sein. ich such jetzt schon eine knappe Woche...
Aber Danke für den Hinweis.
Gruß
Andreas
Das Problem mit dem internen und externen Namen ist mir klar. Normalerweise sollte der Browser dann aber wohl meckern:
Wenn ich im Browser auf EXTDOMAIN.de zugreife und das Zertifikat nicht auf EXTDOMAIN.de ausgestellt ist sondern z.B. auf INTDOMAIN.de dann gibts soweit ich das weis eine Fehlermeldung. das ist aber hier nicht der Fall. Der ExRCA kann so einen Fehler nebenbei bemerkt auch nachweisen (wie ich schon erfahren musst
).Es muss hier irgendwas anderes sein. ich such jetzt schon eine knappe Woche...
Aber Danke für den Hinweis.
Gruß
Andreas
Hi Andreas,
ich würde erstmal das Zertifikat nochmals installieren.
Danach würde ich die Seite von einem Rechner aufrufen der nicht dir gehört. Einfach zu sehen ob du nicht in der Vergangenheit irgendwelche Zertifikate installiert hast um das "Schloss" zuerhalten.
Grüße,
Dani
ich würde erstmal das Zertifikat nochmals installieren.
Danach würde ich die Seite von einem Rechner aufrufen der nicht dir gehört. Einfach zu sehen ob du nicht in der Vergangenheit irgendwelche Zertifikate installiert hast um das "Schloss" zuerhalten.
Grüße,
Dani
Hallo Dani,
danke für den Tip. Bzgl. des reinstallieren des zertifikates:
Sollte man vorher versuchen alle Spuren der alten zertifikate, Zwischen- und Stammzertifikate auf dem Server zu löschen und dann komplett neu die zertifikate in den Speicher einzuspielen? Oder einfach nur "Zertifikat importieren" und "Speicher automatisch wählen?".
Das mit dem anderen Rechner habe ich schon versucht. Ich habe von verschiedenen Rechnern aus die externe Seite (.../rpc) angesprochen und es gab keine Probleme.
Gruß
Andreas
danke für den Tip. Bzgl. des reinstallieren des zertifikates:
Sollte man vorher versuchen alle Spuren der alten zertifikate, Zwischen- und Stammzertifikate auf dem Server zu löschen und dann komplett neu die zertifikate in den Speicher einzuspielen? Oder einfach nur "Zertifikat importieren" und "Speicher automatisch wählen?".
Das mit dem anderen Rechner habe ich schon versucht. Ich habe von verschiedenen Rechnern aus die externe Seite (.../rpc) angesprochen und es gab keine Probleme.
Gruß
Andreas
Puhhh... Exchange 2003 ist schon ein Weilchen her. Aber installiert man das Zertifikat nicht über den IIS?
Grüße,
Dani
Grüße,
Dani
Genau, es wird in der Standardwebsite des IIS installiert. Die Frage ist nur ob man die "Überreste" der vorherigen Installation (insb. Die Zwischen- und Stammzertifikate) löschen sollte oder nicht.
Alternativ kann man das Zertifikat dann aber wohl auch über das Zertifikat-Snap-In im MMC installieren.
Alternativ kann man das Zertifikat dann aber wohl auch über das Zertifikat-Snap-In im MMC installieren.
Problem gelöst:
es lag an den Firewall Einstellungen:
Offenbar reicht es nicht wenn über den Port 443 komuniziert werden kann. Ich bin mir allerdings noch nicht sicher welche Kanäle nach AUSSEN offen sein müssen.
es lag an den Firewall Einstellungen:
Offenbar reicht es nicht wenn über den Port 443 komuniziert werden kann. Ich bin mir allerdings noch nicht sicher welche Kanäle nach AUSSEN offen sein müssen.
Nimm einen Wireshark Sniffer und sniffer so einen Verbindungsaufbau mit... DANN weisst du es wasserdicht und musst nicht spekulieren !
Moin,
seltsam... wir haben bei uns außer 443 TCP nichts anderes freigegeben.
Grüße,
Dani
seltsam... wir haben bei uns außer 443 TCP nichts anderes freigegeben.
Grüße,
Dani
Du meinst von WAN zu LAN. Da stimme ich zu.
Ich hatte aber auch ein paar regeln die den verkehr vom LAN ins WAN "regulieren" sollten eingebaut. da gabts offenbar Probleme.
Ganz läuft es jetzt auch immer noch icht. Das nächste Problem wartet schon: RPC-Proxy nicht pingbar...
Mal sehen...
Danke erstmal an Alle die geholfen haben
Andreas
Ich hatte aber auch ein paar regeln die den verkehr vom LAN ins WAN "regulieren" sollten eingebaut. da gabts offenbar Probleme.
Ganz läuft es jetzt auch immer noch icht. Das nächste Problem wartet schon: RPC-Proxy nicht pingbar...
Mal sehen...
Danke erstmal an Alle die geholfen haben
Andreas
... die Lösung war :
RPC über HTTP nocheinmal deinstallieren und neu installieren (Einstellungen blieben erhalten).
Danach fluppte es wieder.
OK... Alles Fertig.
Danke nochmal an alle die Mitgeholfen haben.
Andreas
RPC über HTTP nocheinmal deinstallieren und neu installieren (Einstellungen blieben erhalten).
Danach fluppte es wieder.
OK... Alles Fertig.
Danke nochmal an alle die Mitgeholfen haben.
Andreas
