Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifizierungsstellen Webregistrierung

Frage Microsoft Windows Server

Mitglied: ralhue

ralhue (Level 1) - Jetzt verbinden

26.04.2014, aktualisiert 27.04.2014, 7016 Aufrufe, 4 Kommentare

Hallo zusammen,
ich habe folgendes Problem:
In einer Testumgebung (w2k12r2) habe ich 4 VMs eingerichtet:
1 mal w2k12r2 DC
1 mal w2k12r2 Member (soll später exchange 2012 SP1 aufnehmen)
2 mal Win8.1

Der DC hat den Namen DOMC und die Domäne den Namen contoso.int

Alle Rechner sind komplett durchgepatched. Es ist keinerlei Software außer OS installiert. Alles niegel-nagel neu.
Domäne funktioniert soweit. Die Ereignisprotokolle sind sauber.

Nachdem ich einen Prüfpunkt für den DC gesetzt hatte, habe ich die Rollen Zertifizierungsstelle und Zertifizierungsstellen Webregistrierung installiert. Die Installation lief sauber durch, ich habe alles soweit auf default Einstellungen gelassen. Danach die Zertifizierungsstelle überprüft mit:
Verwaltung Zertifizierungsstelle (grüne Haken)
Befehlszeile PKIView (Status OK)

ABER

der Aufruf über https://domc/certsrv klappt nicht. Meldung: Webseite kann nicht angezeigt werden.
der Aufruf über http://domc/certsrv klappt.

Das Zertifikat contoso-DOMC-CA ist im Ordner Zertifikate der Vertrauenswürdigen Stammzertifizierungstelle auf den Clients vorhanden (sobald sie Mitglied der Domäne sind)

Ich möchte mit der Installation des Exchang Servers erst beginnen wenn alles funktioniert. In allen Anleitungen, die ich bis jetzt gelesen habe, steht, dass die Zertifizierungsstelle mit dem Browser über https aufgerufen werden kann. Wo liege ich falsch oder was habe ich noch nicht bedacht?

Grüße
Ralf
Mitglied: colinardo
26.04.2014, aktualisiert um 12:30 Uhr
Hallo Ralf,
neu gestartet hast du sicher !? Bitte prüfe dann mal die Bindungen im IIS einmal für die "Default Web Site" und dann noch die SSL-Einstellungen im virtuellen CertSrv-Verzeichnis. Zusätzlich für dieses Verzeichnis im Dialog Erweiterte Einstellungen überprüfen ob dort unter aktivierte Protokolle http,https eingetragen ist. Dann natürlich noch die Einstellungen des IE überprüfen, ob der Seite wirklich vertraut und nicht geblockt wird.

Schon ein gültiges Zertifikat für den IIS generiert ?

Läuft eventuell schon ein anderer Dienst oder Rolle auf Port 443 ?

Wie lautet die genaue Fehlermeldung im Browser ?

Hier gibt es auch noch diverse Lösungen für genau dein Problem: http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c ...

Geh die mal durch, dann wird sich das sicherlich aufklären

Grüße Uwe
Bitte warten ..
Mitglied: ralhue
26.04.2014 um 17:57 Uhr
Hallo Uwe,

ich habe das Gefühl, dass wir das irgendwie hinkriegen - aber im Moment "schwimme" ich noch ziemlich kopflos in der Gegend rum (dieses zertifizierungsgedöhns ist totales Neuland für mich).

Als erstes habe ich die Bindungen der default Website kontrolliert, und da gabs tatsächlich nur http auf Port 80. Also habe ich https auf Port 443 zugefügt.
Dann habe ich in den erweiterten Eigenschaften die "Aktivierten Protokolle" um https erweitert (mit einem Komma von http getrennt). Dann habe ich kontrolliert, ob Serverzertifikate unter dem Zweig DOMC (Contoso\Administrator) im IIS vorhanden sind, ja da gibts zwei Zertifikate:

contoso-DOMC-CA und
DOMC.contoso.int
beide ausgestellt von contoso-DOMC-CA - ob das die erfordelichen sind ??????

Hat aber alles nichts gebracht. Die Standardmeldung im Browser war eben, dass die Seite nicht verfügbar ist und man solle kontrollieren ob die Adresse https://domc richtig geschrieben sei.

Dann habe ich in den SSL Einstellungen der Site CertSrc im IIS die Option aktiviert "Clientzertifikate Akzeptieren". Jetzt erhalte ich beim Aufruf die Meldung
:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Wenn ich dann "Laden der Website fortsetzen (nicht empfohlen) klicke, komme ich tatsächlich auf die Site "Microsoft-Active Directory-Zertifikatdienste - Contoso-DOMC-CA". Und in der URL-Zeile steht: https://domc/certsrv.

Aber irgendwie befriedigt mich das nicht, da ich die Zusammenhänge nicht richtg verstehe (und dafür habe ich mir ja die Testumgebung aufgebaut). Wie kann ich denn ein Sicherheitszertifikat für die Site CertSrv erstellen?

Jetzt aber erst mal recht herzlichen Dank für Deine Mühe und die fundierten Hilfestellungen - was täten wir "Normaladmins" ohne so engagierte Jungs wie Dich?!

Vieleicht fällt Dir ja noch was ein

Grüße
Ralf
Bitte warten ..
Mitglied: colinardo
LÖSUNG 26.04.2014, aktualisiert 27.04.2014
Hi Ralf,
schonmal die Seite mit https://domc.contoso.int/certsrv aufgerufen ? Das jetzige Zertifikat ist vermutlich nur auf den FQDN ausgestellt... dann solltest du
mit diesem Aufruf keine Fehlermeldung mehr erhalten.

Um dem IIS ein neues Zertifikat zu erstellen, wenn du das mal als Übung machen willst, sei dir dieser Artikel empfohlen:
http://www.techrepublic.com/blog/how-do-i/how-do-i-request-and-install- ...

Wie man eine Zertifizierungsstelle betreibt kannst du hier nachlesen: http://technet.microsoft.com/de-de/library/cc772393(v=ws.10).aspx

Das Thema ist vielschichtig und du solltest sich mit den Fachbegriffen Schritt für Schritt vertraut machen, damit du das gesamte System verstehst. Also eins nach dem anderen

Schönen Abend
Grüße Uwe
Bitte warten ..
Mitglied: ralhue
27.04.2014, aktualisiert um 17:43 Uhr
Hallo Uwe und alle die mitgelesen haben,

dass war vieleicht eine Geburt. Nach gefühlten 1000 Foren- und Bloggbeiträgen und viel, viel rumprobieren läuft meine WebSite jetzt mit SSL-Verschlüsselung.
Die Lösung brachte ein Userbeitrag in dem von Uwe empfohlenen Forum http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c .... Hier beschreibt er mein Problem und liefert auch gleich die Lösung: CA und Webregistrierung deinstallieren, sich an der Domäne mit dem Domänenkonto anmelden und neu installieren. Die Art der Anmeldung entscheidet also darüber obs nachher geht. Die Logik muss mir mal jemand erklären.
Aber egal - vieleicht sollte ich auch dankbar sein, denn dadurch musste ich mich intensiv mit der Materie auseinandersetzen und den Zertifikatkram hab ich jetzt drauf.
Dir, lieber Uwe, nochmals herzlichen Dank - ohne Deine Tips hätte ich das nicht hinbekommen.

Schönes Restwochenende
Grüße Ralf
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Exchange Server
Problem mit POP3-Abruf eines Exchange-2013-Postfachs

Frage von YotYot zum Thema Exchange Server ...

Multimedia & Zubehör
gelöst BENQ Beamer Fernbedingung Frequenz Problem (4)

Frage von xbast1x zum Thema Multimedia & Zubehör ...

Windows Server
Google Chrome Web Store Problem auf Terminal Farm

Frage von dakoerry zum Thema Windows Server ...

Multimedia & Zubehör
gelöst Problem: DVI zu VGA (8)

Frage von Protected zum Thema Multimedia & Zubehör ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...