ISA Zertifikat

Hallo,

wir wollten adhoc ein VPN einrichten. Z.Z. laufen alle VPNs von außerhalb
via IPsec/L2tp auf unseren ISA 2004.
Das funzt alles wunderbar. Da wir die Zertifikate aber bisher immer von
einer externen Zertifizierungsstelle bekommen haben und das immer mühseelig
war, haben wir uns jetzt überlegt, dass wir selbst eine
Zertifizierungsstelle anlegen.
Nun habe wir in einer Virluellen Maschine (w2k Server unter VMware) eine
Zertifizierungsstelle installiert OHNE das dieser Server in der Domäne ist.
Wir haben also eine "Eigenständige Hauptzertifizierungsstelle" eingerichtet.
Dann haben wir zwei IPsec Zertifikate ausgestellt und diese gleich auf dem
gleichen Server installiert (damit wir sie von da aus gleich in ein PFX-File
exportieren können).
Auf diesem Server betrachtet, sehen die Zertifikate gut aus ohne Fehler.

Nun haben wir die beiden Zertifikate exportiert, die VM (also den Server mit
der Zertifizierungsstelle) ausgeschaltet und das eine Zertifikat auf dem
ISA-Server und das andere auf dem Client-Notebook importiert.
Dann eine VPN-Verbindung (L2TP) auf dem Client eingerichtet.
Beim Verbinden kommt nun aber die Fehlermeldung das "auf dem Rechner kein
gültiges Zertifikat existiert".
Wenn ich mir nun (mittels mmc) die Zertifikate anschaue, dann steht beim
Zertifikat auf dem ISA mit rotem Kreuz:
"Die Integrität dieses Zertifikats kann nicht garantiert werden. Das
Zertifikat ist eventuell beschädigt oder wurde geändert"

und auf dem Clientzertifikat mit gelbem Ausrufezeichen:
"Windows hat keine ausreichenden Informationen, um dieses Zertifikat
verifizieren zu können."

Meine Frage ist demnach, was haben wir falsch gemacht? Muss die
Zertifizierungsstelle immer angeschalltet und immer für den Client und den
ISA erreichbar sein.
Ich hatte mir das so schön vorgestellt, dass ich immer nur die VM
(Zertifizierungsstelle) anschalte, wenn ich wieder einmal ein neues oder
zusätzliches Zertifikat benötige. Geht das doch noch irgendwie zu
realisieren?

Vielen Dank.

mfg Heinz


.

Relevant Pages

  • Re: OWA Probleme mit ISA 2004
    ... Der ISA muss der ausstellenden Zertifizierungsstelle des Zertifikats ... Ereignistyp: Fehler ... Das vom Remoteserver erhaltene Zertifikat wurde von einer nicht ...
    (microsoft.public.de.german.isaserver)
  • Re: RPC over HTTPS
    ... Wenn ich vom isa einen Aufruf mit https:/mail.externe_domäne.de mache, ... auf dem isa ist das gleich zertifikat beim weblistener hinterlegt. ... ein weiteres vom isa zum exchange mit mail.interne_domäne.lan auf dem ... > Zertifizierungsstelle die Zertifizierungsstelle des Zertifikates drin steht. ...
    (microsoft.public.de.german.isaserver)
  • =?utf-8?Q?Re:_ISA_und_Ver=C3=B6ffentlichung_OWA?= =?utf-8?Q?_Exchange_2007?=
    ... Da wir OWA auch erstmal nur im Intranet veröffentlichen wollen habe ich ... Oder kann ich einfach das Zertifikat des CAS-Servers nehmen? ... sicher, das der isa die jeweilige ca kennt, aber achtung: ... > Die ISA Server und die Exchange Server befinden sich im gleichen> Subnetz ...
    (microsoft.public.de.german.isaserver)
  • Re: RPC over HTTPS
    ... Auf dem ISA ist wichtig, dass der Computer und nicht der Benutzer der ... Zertifizierungsstelle die Zertifizierungsstelle des Zertifikates drin steht. ... Dass der interne Servername des Exchange Servers als Server drin steht ist ... Zertifikat, da dieser ...
    (microsoft.public.de.german.isaserver)
  • Re: Veröffentlichung von Outlook Web Access direkt auf dem ISA-Server
    ... Server 2003 Standard und ISA Server 2004 Standard, ... An gleicher stelle ist das Zertifikat für owa.domainname.de ausgewählt. ... Unter "Pfade" wurden vom Assistenten die OWA-Pfade eigenständig eingetragen ...
    (microsoft.public.de.german.isaserver)
Loading