OWA mit ISA 2006 an öffentlichwer IP

31/03/2008 - 07:42 von Markus Kammer | Report spam
Hi Jens,

also .. vorab :

- Meine Testdomàne heisst KPC.TEST
- Die DYN Adresse ist KPCGMBH.DYNDNS.ORG.
- Keinen A Record für diese Adresse an einer öffentlichen IP
- Direkt zum ISP, kein Proxi dazwischen.

Zertifikate an einer Privaten Zertifizierungsstelle auf dem DC.

Vom ISA Server angefordertes WEB Zertifikat : (Verschl 1024)
1. kpcgmbh.dyndns.org - zu vertrauenwürdigen Heausgebern.
2. kpc.test - zu vertrauenswürdigen Herausgebern
3. ip - zu vertrauenswürdigen Herausgebern.

die Zertifikate exportiert und auf dem Mailserver im IIS eingespielt.

Die Zertifikate am ISA waren immer gültig, doch ich habe beim Hinzufügen zum
WEBLISTENER immer die Meldung bekommen, dass die Benutzer wahrscheinlich
eine Fehlermeldung bekommen.

Vom WEB aus komme ich dann bis zum veröffentlichten Zertifikat des ISA
Servers.
Nach Eingabe von Benutzerdaten bekommen ich entweder den Fehler,
Serverprinzipalname falsch, oder der ISA Server hat die Verbindung beendet.

Auf dem Mailserver Zertifikat angefordert (WEB) mit o.g. Namen und versucht
im ISA zu importieren, - immer Zertifikat ungültig...
Sorum hats gar nicht funktioniert.
Irgendwie ist mir der Weg mit den Zertifikaten nicht so wirklich klar, im
Buch steht, dass das Zertifikat mit dem öffentlichen Namen übereinstimmen
muss.

Hoffe Du oder irgendwer kann mir jetzt besser weiterhelfen.

Lieben Dank im Vorraus

M.Kammer
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
31/03/2008 - 09:02 | Warnen spam
Hallo Markus,

wenn du OWA über kpcgmbh.dyndns.org aufrufst, dann muss das Zertifikat auch
für kpcgmbh.dyndns.org (Name) ausgestellt sein. Der ISA selbst muss deiner
internen CA vertrauen.

Der HTTP 500 Fehler kommt daher, dass das Zertifikat auf dem Exchange z.B.
auf exchange.domàne.tld ausgestellt ist und du im ISA die Anfrage aber z.B.
über die IP weiterleitest. Wenn du am Exchange ebenfalls SSL forderst dann
muss der Servername in der Weiterleitung ebenfalls mit dem CN des
Zertifikats übereinstimmen.

Hier mal verdeutlicht: Zertifikatsname in Klammern.

Internet -> kpcgmbh.dyndns.org -> ISA (kpcgmbh.dyndns.org) ->
exchange.domàne.tld -> Exchange (exchange.domàne.tld)

Gruß

Christian

Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Markus Kammer" schrieb im Newsbeitrag
news:
Hi Jens,

also .. vorab :

- Meine Testdomàne heisst KPC.TEST
- Die DYN Adresse ist KPCGMBH.DYNDNS.ORG.
- Keinen A Record für diese Adresse an einer öffentlichen IP
- Direkt zum ISP, kein Proxi dazwischen.

Zertifikate an einer Privaten Zertifizierungsstelle auf dem DC.

Vom ISA Server angefordertes WEB Zertifikat : (Verschl 1024)
1. kpcgmbh.dyndns.org - zu vertrauenwürdigen Heausgebern.
2. kpc.test - zu vertrauenswürdigen Herausgebern
3. ip - zu vertrauenswürdigen Herausgebern.

die Zertifikate exportiert und auf dem Mailserver im IIS eingespielt.

Die Zertifikate am ISA waren immer gültig, doch ich habe beim Hinzufügen
zum WEBLISTENER immer die Meldung bekommen, dass die Benutzer
wahrscheinlich eine Fehlermeldung bekommen.

Vom WEB aus komme ich dann bis zum veröffentlichten Zertifikat des ISA
Servers.
Nach Eingabe von Benutzerdaten bekommen ich entweder den Fehler,
Serverprinzipalname falsch, oder der ISA Server hat die Verbindung
beendet.

Auf dem Mailserver Zertifikat angefordert (WEB) mit o.g. Namen und
versucht im ISA zu importieren, - immer Zertifikat ungültig...
Sorum hats gar nicht funktioniert.
Irgendwie ist mir der Weg mit den Zertifikaten nicht so wirklich klar, im
Buch steht, dass das Zertifikat mit dem öffentlichen Namen übereinstimmen
muss.

Hoffe Du oder irgendwer kann mir jetzt besser weiterhelfen.

Lieben Dank im Vorraus

M.Kammer




Ähnliche fragen