Forums Neueste Beiträge
 

TS Gateway hinter einem ISA2006 - Zertifikatsfehler

01/02/2009 - 18:13 von Andreas Altermann | Report spam
Hallo NG'Ler,

ich habe mal wieder ein kleines Problem was zwar nicht direkt mit dem ISA zusammenhàngt aber ggf
hat jemand eine Idee.

TS Gateway Server per Webveröffentlichungsregel veröffentlicht mit SSL-Bridging, d.h SSL wird durchgereicht.
Im Unternehmen bei uns haben wir eine zweistufige PKI und alle via TS Gateway veröffentlichen Server haben
nur vertraute (aus der PKI) Serverzertifikate. Bei den 2008er ist auch das richtige Zertifikat an dem IP-Stack
gebunden (netsh http show ssl = ok).
Wenn nun ein Client - der JA die Stammzertifikate im Speicher hat - sich mit dem TS Gateway Server via ISA
verbindet per RDP over Https, erhalten diese eine Warnmeldung,das das Zertifikat nicht vertrauenswürdig ist.

Eine genauere Prüfung zeigt nun, das das Zertifikat was der/die Server senden sog. selbstsignierte Computer-
zertifikate sind und nicht die von der PKI ausgestellten.
In den Zertifikatsspeichern der Server gibt es aber nur die Zertifikate der PKI. Wo kommen die selbstsignierten her ?
Letztendlich wenn man diese Zertifikate akzeptiert, wird auch die Verbindung hergestellt, aber so kann es doch nicht
sein ?

Muß ich u.U. den SSL-Tunel am Isa beenden ?

Wo könnte noch der Fehler zu suchen sein ?

Vielen Dank im Voraus für Eure Hilfe
Gruß
Andreas
 

Lesen sie die antworten

#1 Jens Baier
01/02/2009 - 18:51 | Warnen spam
Hi,

TS Gateway Server per Webveröffentlichungsregel veröffentlicht mit
SSL-Bridging, d.h SSL wird durchgereicht.



durchgereicht oder gebrochen und erneut verschluesselt? Durchgereicht waere
Tunneling!

Wenn nun ein Client - der JA die Stammzertifikate im Speicher hat - sich
mit dem TS Gateway Server via ISA
verbindet per RDP over Https, erhalten diese eine Warnmeldung,das das
Zertifikat nicht vertrauenswürdig ist.

Eine genauere Prüfung zeigt nun, das das Zertifikat was der/die Server
senden sog. selbstsignierte Computer-
zertifikate sind und nicht die von der PKI ausgestellten.
In den Zertifikatsspeichern der Server gibt es aber nur die Zertifikate
der PKI. Wo kommen die selbstsignierten her ?



Du kannst doch dem TS und dem TSG sagen, dass selbstsignierte Zertifikate
verwendet werden. Irgendwie scheinen die TS da ein self signed Cert. zu
verwenden.
Du musst mal genau in den Computer Zertifikatspeicher der einzelnen TS
gucken, da muss dann ein self signed Zertifikat verwendet werden.
Schau Dir mal genau die Eigenschaften der Zertifikate an, von wem / wann die
ausgestellt wurden.

Letztendlich wenn man diese Zertifikate akzeptiert, wird auch die
Verbindung hergestellt, aber so kann es doch nicht sein ?



notfalls die selbstignierten Zertifikate in eine GPO aufnehmen und als
Trusted Root verteilen. Nicht schoen, aber machbar!

Muß ich u.U. den SSL-Tunel am Isa beenden ?



kannst Du machen, dann werden ab ISA zum TS die ISA Zertifikate verwendet.

Gruss Jens
www.it-training-grote.de/blog
www.it-training-grote.de
www.nt-faq.de

Ähnliche fragen