Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Problem mit Zertifizierungsstellen Webregistrierung

Frage Microsoft Windows Server

Mitglied: ralhue

ralhue (Level 1) - Jetzt verbinden

26.04.2014, aktualisiert 27.04.2014, 7937 Aufrufe, 4 Kommentare

Hallo zusammen,
ich habe folgendes Problem:
In einer Testumgebung (w2k12r2) habe ich 4 VMs eingerichtet:
1 mal w2k12r2 DC
1 mal w2k12r2 Member (soll später exchange 2012 SP1 aufnehmen)
2 mal Win8.1

Der DC hat den Namen DOMC und die Domäne den Namen contoso.int

Alle Rechner sind komplett durchgepatched. Es ist keinerlei Software außer OS installiert. Alles niegel-nagel neu.
Domäne funktioniert soweit. Die Ereignisprotokolle sind sauber.

Nachdem ich einen Prüfpunkt für den DC gesetzt hatte, habe ich die Rollen Zertifizierungsstelle und Zertifizierungsstellen Webregistrierung installiert. Die Installation lief sauber durch, ich habe alles soweit auf default Einstellungen gelassen. Danach die Zertifizierungsstelle überprüft mit:
Verwaltung Zertifizierungsstelle (grüne Haken)
Befehlszeile PKIView (Status OK)

ABER

der Aufruf über https://domc/certsrv klappt nicht. Meldung: Webseite kann nicht angezeigt werden.
der Aufruf über http://domc/certsrv klappt.

Das Zertifikat contoso-DOMC-CA ist im Ordner Zertifikate der Vertrauenswürdigen Stammzertifizierungstelle auf den Clients vorhanden (sobald sie Mitglied der Domäne sind)

Ich möchte mit der Installation des Exchang Servers erst beginnen wenn alles funktioniert. In allen Anleitungen, die ich bis jetzt gelesen habe, steht, dass die Zertifizierungsstelle mit dem Browser über https aufgerufen werden kann. Wo liege ich falsch oder was habe ich noch nicht bedacht?

Grüße
Ralf
Mitglied: colinardo
26.04.2014, aktualisiert um 12:30 Uhr
Hallo Ralf,
neu gestartet hast du sicher !? Bitte prüfe dann mal die Bindungen im IIS einmal für die "Default Web Site" und dann noch die SSL-Einstellungen im virtuellen CertSrv-Verzeichnis. Zusätzlich für dieses Verzeichnis im Dialog Erweiterte Einstellungen überprüfen ob dort unter aktivierte Protokolle http,https eingetragen ist. Dann natürlich noch die Einstellungen des IE überprüfen, ob der Seite wirklich vertraut und nicht geblockt wird.

Schon ein gültiges Zertifikat für den IIS generiert ?

Läuft eventuell schon ein anderer Dienst oder Rolle auf Port 443 ?

Wie lautet die genaue Fehlermeldung im Browser ?

Hier gibt es auch noch diverse Lösungen für genau dein Problem: http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c ...

Geh die mal durch, dann wird sich das sicherlich aufklären

Grüße Uwe
Bitte warten ..
Mitglied: ralhue
26.04.2014 um 17:57 Uhr
Hallo Uwe,

ich habe das Gefühl, dass wir das irgendwie hinkriegen - aber im Moment "schwimme" ich noch ziemlich kopflos in der Gegend rum (dieses zertifizierungsgedöhns ist totales Neuland für mich).

Als erstes habe ich die Bindungen der default Website kontrolliert, und da gabs tatsächlich nur http auf Port 80. Also habe ich https auf Port 443 zugefügt.
Dann habe ich in den erweiterten Eigenschaften die "Aktivierten Protokolle" um https erweitert (mit einem Komma von http getrennt). Dann habe ich kontrolliert, ob Serverzertifikate unter dem Zweig DOMC (Contoso\Administrator) im IIS vorhanden sind, ja da gibts zwei Zertifikate:

contoso-DOMC-CA und
DOMC.contoso.int
beide ausgestellt von contoso-DOMC-CA - ob das die erfordelichen sind ??????

Hat aber alles nichts gebracht. Die Standardmeldung im Browser war eben, dass die Seite nicht verfügbar ist und man solle kontrollieren ob die Adresse https://domc richtig geschrieben sei.

Dann habe ich in den SSL Einstellungen der Site CertSrc im IIS die Option aktiviert "Clientzertifikate Akzeptieren". Jetzt erhalte ich beim Aufruf die Meldung
:
Es besteht ein Problem mit dem Sicherheitszertifikat der Website.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Wenn ich dann "Laden der Website fortsetzen (nicht empfohlen) klicke, komme ich tatsächlich auf die Site "Microsoft-Active Directory-Zertifikatdienste - Contoso-DOMC-CA". Und in der URL-Zeile steht: https://domc/certsrv.

Aber irgendwie befriedigt mich das nicht, da ich die Zusammenhänge nicht richtg verstehe (und dafür habe ich mir ja die Testumgebung aufgebaut). Wie kann ich denn ein Sicherheitszertifikat für die Site CertSrv erstellen?

Jetzt aber erst mal recht herzlichen Dank für Deine Mühe und die fundierten Hilfestellungen - was täten wir "Normaladmins" ohne so engagierte Jungs wie Dich?!

Vieleicht fällt Dir ja noch was ein

Grüße
Ralf
Bitte warten ..
Mitglied: colinardo
LÖSUNG 26.04.2014, aktualisiert 27.04.2014
Hi Ralf,
schonmal die Seite mit https://domc.contoso.int/certsrv aufgerufen ? Das jetzige Zertifikat ist vermutlich nur auf den FQDN ausgestellt... dann solltest du
mit diesem Aufruf keine Fehlermeldung mehr erhalten.

Um dem IIS ein neues Zertifikat zu erstellen, wenn du das mal als Übung machen willst, sei dir dieser Artikel empfohlen:
http://www.techrepublic.com/blog/how-do-i/how-do-i-request-and-install- ...

Wie man eine Zertifizierungsstelle betreibt kannst du hier nachlesen: http://technet.microsoft.com/de-de/library/cc772393(v=ws.10).aspx

Das Thema ist vielschichtig und du solltest sich mit den Fachbegriffen Schritt für Schritt vertraut machen, damit du das gesamte System verstehst. Also eins nach dem anderen

Schönen Abend
Grüße Uwe
Bitte warten ..
Mitglied: ralhue
27.04.2014, aktualisiert um 17:43 Uhr
Hallo Uwe und alle die mitgelesen haben,

dass war vieleicht eine Geburt. Nach gefühlten 1000 Foren- und Bloggbeiträgen und viel, viel rumprobieren läuft meine WebSite jetzt mit SSL-Verschlüsselung.
Die Lösung brachte ein Userbeitrag in dem von Uwe empfohlenen Forum http://social.technet.microsoft.com/Forums/lync/en-US/1bd22572-5b0b-42c .... Hier beschreibt er mein Problem und liefert auch gleich die Lösung: CA und Webregistrierung deinstallieren, sich an der Domäne mit dem Domänenkonto anmelden und neu installieren. Die Art der Anmeldung entscheidet also darüber obs nachher geht. Die Logik muss mir mal jemand erklären.
Aber egal - vieleicht sollte ich auch dankbar sein, denn dadurch musste ich mich intensiv mit der Materie auseinandersetzen und den Zertifikatkram hab ich jetzt drauf.
Dir, lieber Uwe, nochmals herzlichen Dank - ohne Deine Tips hätte ich das nicht hinbekommen.

Schönes Restwochenende
Grüße Ralf
Bitte warten ..
Ähnliche Inhalte
Windows Server
SSL für Zertifizierungsstelle von Windows Server 2016 aktivieren (2)

Frage von Turbo-Master zum Thema Windows Server ...

Windows Server
SBS2011 - Wofür die Zertifikate (3)

Frage von FA-jka zum Thema Windows Server ...

Windows Server
SimpleHelp - Problem (4)

Frage von ArnoNymous zum Thema Windows Server ...

Neue Wissensbeiträge
Entwicklung

Exploit Development

Anleitung von burhanudinn123 zum Thema Entwicklung ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(1)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
Leiten "dumme" Switches VLAN-Tags mit durch? (17)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

E-Business
Wo tragt ihr eure privaten Termine ein? (14)

Frage von honeybee zum Thema E-Business ...

Batch & Shell
Batch zum suchen und verschieben von Verknüpfungen (12)

Frage von zeroblue2005 zum Thema Batch & Shell ...

Windows Server
Terminalserver starten willkürlich neu (12)

Frage von thaefliger zum Thema Windows Server ...