Zertifikate auf dem ISA Server bei Umzug der internen PKI???

19/01/2009 - 14:19 von Gernot Meyer | Report spam
Hallo NG,

wir haben unsere interne PKI gemàß Artikel "Active directory certificate
services upgrade and migration guide"
auf einen Windows Server 2008 umgezogen (AD-integrierte PKI).

Seitdem hàufen sich die Probleme mit den Zertifikaten für die SSL und
VPN-Authentication auf unseren ISA Servern.

a) Die Benutzer (immerhin fast 2.000 an der Zahl) können sich nicht mehr auf
dem ISA Server anmelden,
wenn man das alte Stammzertifikat auf dem ISA Server löscht. Das ist doch
aber eigentlich die selbe PKI??!!

b) Andererseits (und das ist schlimmer) kann der ISA Server die
Zertifikatsperrliste von der neuen PKI nicht mehr abrufen.
Das ist so, auch wenn man das Stammzertifikat der 'neuen' PKI importiert
oder ein neues Zertifkat von der neuen PKI holt.
Immer wenn die Lifetime der Zertifikatliste abgelaufen ist, kann man sich
nicht mehr am ISA Server per SSL oder VPN anmelden.
Aktuell laden wir die Zertifikatsperrliste also alle 2 Wochen manuell.

Gibt's hier ein Konzept oder Erfahrungen zu diesem Thema? Gefunden habe ich
nichts.

Danke für Input und Grüße
Gernot
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
19/01/2009 - 14:31 | Warnen spam
Hallo Gernot,

hat sich denn der Servername bzw. die interne URL geàndert, unter der die
CRL erreichbar ist?

Was sagt denn das Logging, die Alarme bzw. die Ereignisprotokollierung?

Ansonsten sollte das Ganze kein Problem sein, das habe ich auch schon paar
mal problemlos gemacht.

Gruß

Christian

Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/
"Gernot Meyer" schrieb im
Newsbeitrag news:
Hallo NG,

wir haben unsere interne PKI gemàß Artikel "Active directory certificate
services upgrade and migration guide"
auf einen Windows Server 2008 umgezogen (AD-integrierte PKI).

Seitdem hàufen sich die Probleme mit den Zertifikaten für die SSL und
VPN-Authentication auf unseren ISA Servern.

a) Die Benutzer (immerhin fast 2.000 an der Zahl) können sich nicht mehr
auf
dem ISA Server anmelden,
wenn man das alte Stammzertifikat auf dem ISA Server löscht. Das ist doch
aber eigentlich die selbe PKI??!!

b) Andererseits (und das ist schlimmer) kann der ISA Server die
Zertifikatsperrliste von der neuen PKI nicht mehr abrufen.
Das ist so, auch wenn man das Stammzertifikat der 'neuen' PKI importiert
oder ein neues Zertifkat von der neuen PKI holt.
Immer wenn die Lifetime der Zertifikatliste abgelaufen ist, kann man sich
nicht mehr am ISA Server per SSL oder VPN anmelden.
Aktuell laden wir die Zertifikatsperrliste also alle 2 Wochen manuell.

Gibt's hier ein Konzept oder Erfahrungen zu diesem Thema? Gefunden habe
ich
nichts.

Danke für Input und Grüße
Gernot

Ähnliche fragen