Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifizierungsstellen Webregistrierung

Frage Microsoft Windows Server

Mitglied: ralhue

ralhue (Level 1) - Jetzt verbinden

26.04.2014, aktualisiert 27.04.2014, 8290 Aufrufe, 4 Kommentare

Hallo zusammen,
ich habe folgendes Problem:
In einer Testumgebung (w2k12r2) habe ich 4 VMs eingerichtet:
1 mal w2k12r2 DC
1 mal w2k12r2 Member (soll später exchange 2012 SP1 aufnehmen)
2 mal Win8.1

Der DC hat den Namen DOMC und die Domäne den Namen contoso.int

Alle Rechner sind komplett durchgepatched. Es ist keinerlei Software außer OS installiert. Alles niegel-nagel neu.
Domäne funktioniert soweit. Die Ereignisprotokolle sind sauber.

Nachdem ich einen Prüfpunkt für den DC gesetzt hatte, habe ich die Rollen Zertifizierungsstelle und Zertifizierungsstellen Webregistrierung installiert. Die Installation lief sauber durch, ich habe alles soweit auf default Einstellungen gelassen. Danach die Zertifizierungsstelle überprüft mit:
Verwaltung Zertifizierungsstelle (grüne Haken)
Befehlszeile PKIView (Status OK)

ABER

der Aufruf über https://domc/certsrv klappt nicht. Meldung: Webseite kann nicht angezeigt werden.
der Aufruf über http://domc/certsrv klappt.

Das Zertifikat contoso-DOMC-CA ist im Ordner Zertifikate der Vertrauenswürdigen Stammzertifizierungstelle auf den Clients vorhanden (sobald sie Mitglied der Domäne sind)

Ich möchte mit der Installation des Exchang Servers erst beginnen wenn alles funktioniert. In allen Anleitungen, die ich bis jetzt gelesen habe, steht, dass die Zertifizierungsstelle mit dem Browser über https aufgerufen werden kann. Wo liege ich falsch oder was habe ich noch nicht bedacht?

Grüße
Ralf
Mitglied: colinardo
26.04.2014, aktualisiert um 12:30 Uhr
Hallo Ralf,
neu gestartet hast du sicher !? Bitte prüfe dann mal die Bindungen im IIS einmal für die "Default Web Site" und dann noch die SSL-Einstellungen im virtuellen CertSrv-Verzeichnis. Zusätzlich für dieses Verzeichnis im Dialog Erweiterte Einstellungen überprüfen ob dort unter aktivierte Protokolle http,https eingetragen ist. Dann natürlich noch die Einstellungen des IE überprüfen, ob der Seite wirklich vertraut und nicht geblockt wird.

Schon ein gültiges Zertifikat für den IIS generiert ?

Läuft eventuell schon ein anderer Dienst oder Rolle auf Port 443 ?

Wie lautet die genaue Fehlermeldung im Browser ?

Hier gibt es auch noch diverse Lösungen für genau dein Problem: http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c ...

Geh die mal durch, dann wird sich das sicherlich aufklären

Grüße Uwe
Bitte warten ..
Mitglied: ralhue
26.04.2014 um 17:57 Uhr
Hallo Uwe,

ich habe das Gefühl, dass wir das irgendwie hinkriegen - aber im Moment "schwimme" ich noch ziemlich kopflos in der Gegend rum (dieses zertifizierungsgedöhns ist totales Neuland für mich).

Als erstes habe ich die Bindungen der default Website kontrolliert, und da gabs tatsächlich nur http auf Port 80. Also habe ich https auf Port 443 zugefügt.
Dann habe ich in den erweiterten Eigenschaften die "Aktivierten Protokolle" um https erweitert (mit einem Komma von http getrennt). Dann habe ich kontrolliert, ob Serverzertifikate unter dem Zweig DOMC (Contoso\Administrator) im IIS vorhanden sind, ja da gibts zwei Zertifikate:

contoso-DOMC-CA und
DOMC.contoso.int
beide ausgestellt von contoso-DOMC-CA - ob das die erfordelichen sind ??????

Hat aber alles nichts gebracht. Die Standardmeldung im Browser war eben, dass die Seite nicht verfügbar ist und man solle kontrollieren ob die Adresse https://domc richtig geschrieben sei.

Dann habe ich in den SSL Einstellungen der Site CertSrc im IIS die Option aktiviert "Clientzertifikate Akzeptieren". Jetzt erhalte ich beim Aufruf die Meldung
:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Wenn ich dann "Laden der Website fortsetzen (nicht empfohlen) klicke, komme ich tatsächlich auf die Site "Microsoft-Active Directory-Zertifikatdienste - Contoso-DOMC-CA". Und in der URL-Zeile steht: https://domc/certsrv.

Aber irgendwie befriedigt mich das nicht, da ich die Zusammenhänge nicht richtg verstehe (und dafür habe ich mir ja die Testumgebung aufgebaut). Wie kann ich denn ein Sicherheitszertifikat für die Site CertSrv erstellen?

Jetzt aber erst mal recht herzlichen Dank für Deine Mühe und die fundierten Hilfestellungen - was täten wir "Normaladmins" ohne so engagierte Jungs wie Dich?!

Vieleicht fällt Dir ja noch was ein

Grüße
Ralf
Bitte warten ..
Mitglied: colinardo
LÖSUNG 26.04.2014, aktualisiert 27.04.2014
Hi Ralf,
schonmal die Seite mit https://domc.contoso.int/certsrv aufgerufen ? Das jetzige Zertifikat ist vermutlich nur auf den FQDN ausgestellt... dann solltest du
mit diesem Aufruf keine Fehlermeldung mehr erhalten.

Um dem IIS ein neues Zertifikat zu erstellen, wenn du das mal als Übung machen willst, sei dir dieser Artikel empfohlen:
http://www.techrepublic.com/blog/how-do-i/how-do-i-request-and-install- ...

Wie man eine Zertifizierungsstelle betreibt kannst du hier nachlesen: http://technet.microsoft.com/de-de/library/cc772393(v=ws.10).aspx

Das Thema ist vielschichtig und du solltest sich mit den Fachbegriffen Schritt für Schritt vertraut machen, damit du das gesamte System verstehst. Also eins nach dem anderen

Schönen Abend
Grüße Uwe
Bitte warten ..
Mitglied: ralhue
27.04.2014, aktualisiert um 17:43 Uhr
Hallo Uwe und alle die mitgelesen haben,

dass war vieleicht eine Geburt. Nach gefühlten 1000 Foren- und Bloggbeiträgen und viel, viel rumprobieren läuft meine WebSite jetzt mit SSL-Verschlüsselung.
Die Lösung brachte ein Userbeitrag in dem von Uwe empfohlenen Forum http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c .... Hier beschreibt er mein Problem und liefert auch gleich die Lösung: CA und Webregistrierung deinstallieren, sich an der Domäne mit dem Domänenkonto anmelden und neu installieren. Die Art der Anmeldung entscheidet also darüber obs nachher geht. Die Logik muss mir mal jemand erklären.
Aber egal - vieleicht sollte ich auch dankbar sein, denn dadurch musste ich mich intensiv mit der Materie auseinandersetzen und den Zertifikatkram hab ich jetzt drauf.
Dir, lieber Uwe, nochmals herzlichen Dank - ohne Deine Tips hätte ich das nicht hinbekommen.

Schönes Restwochenende
Grüße Ralf
Bitte warten ..
Ähnliche Inhalte
Windows Server
Domänenmigration Zertifizierungsstelle
gelöst Frage von BellociWindows Server2 Kommentare

Hallo liebe Admins, derzeit migriere ich unsere Domänencontroller (2x 2008R2) auf 2012R2. Die Migration als solche ist meiner Meinung ...

Windows Server
Zertifizierungsstelle löschen
Frage von OberhausenerWindows Server

Hallo zusammen, ich hoffe, dass mir hier jemand helfen kann. Ich habe einige Male erfolglos versucht eine zwei- und ...

Verschlüsselung & Zertifikate
RDP Zertifikat ohne Zertifizierungsstelle
Frage von s.dechVerschlüsselung & Zertifikate1 Kommentar

Hallo Zusammen, ich habe einen Server wo Remotedesktopdienste drauf laufen. HIer ist nun das Zertifikat abgelaufen und mann kann ...

Windows Server
Zertifizierungsstelle von Server 2012R2 auf einen anderen 2012R2 verschieben
Frage von minimalwerkWindows Server2 Kommentare

Hallo liebe Community, ich habe hier 2 DC's in einer Domäne wovon einer heruntergestuft werden muss. Auf diesem ist ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing7 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...