Eu cometi um erro ao renovar meu certificado, você pode me ajudar a descobrir o que eu fiz de errado? MS IIS 7 ISA

Navegue suas respostas
1

Desculpe se esta é uma pergunta duplicada, mas não vi nada parecido com o meu problema. Esta é também a minha primeira vez renovando um certificado.

Então, um pouco de história. Temos um site sharepoint, com um firewall ISA fazendo redirecionamento de tráfego na web. Nosso servidor Sharepoint não é voltado para o público, portanto, temos um certificado para um ouvinte da Web instalado para usar SSL no tráfego de entrada, portanto, quando as pessoas fazem login, suas senhas não estão em texto não criptografado.

Com base nas instruções do site do vendedor, você precisa gerar a Solicitação de Certificação na caixa IIS (sharepoint), mas instalar o certificado no ISA (firewall) Ok, até aí tudo bem.

Eu posso exportar o certificado e importá-lo para a loja pessoal de computadores. No entanto, quando eu vou para a regra do listener no ISA, o novo cert não está aparecendo como válido, ele diz que a chave privada é inválida ou está faltando.

Então aqui é onde eu cometi um erro em algum lugar. De acordo com KB 292569

"Se você não tem a opção de clicar em Sim na janela Exportar Chaves Particulares, a chave privada já foi exportada para outro computador ou a chave nunca existiu neste computador. Você não pode usar este certificado no ISA Server. Você deve solicitar um novo certificado para este site para o ISA Server. "

O certificado do vendedor, quando clico com o botão direito para exportá-lo, não tem a opção de incluir a chave privada.

Então, de acordo com o artigo da MS, eu preciso recomeçar com um novo CSR?

O que eu perdi para fazer com que meu certificado não tivesse uma chave privada?

    
por ryangillis72 14.02.2014 / 20:27

2 respostas

3

Onde o certificado é gerado é irrelevante.

Você pode gerar o certificado a partir de sua estação de trabalho, do servidor sharepoint ou de uma estação de trabalho / servidor completamente não relacionada.

A chave (ha! Eu amo trocadilhos) para conseguir que tudo isso funcione é consistente. Onde você começa é onde você precisa terminar.

Por exemplo:

  1. Crie o CSR no servidor do Sharepoint
  2. Envie o CSR para a CA para assinatura.
  3. A CA assinará o certificado e o enviará de volta. (é aí que você deu errado, eu acho) O certificado assinado precisa ser importado de volta para a máquina original que gerou o CSR por meio da solicitação pendente. (neste exemplo, o servidor Sharepoint)
  4. Agora você tem uma chave / certificado correspondente que pode exportar e instalar no servidor ISA. (certifique-se de exportar a chave privada ao exportar o certificado)
por 14.02.2014 / 22:24
1

OK, finalmente descobri o que aconteceu. Meu chefe começou isso, mas não conseguiu fazê-lo funcionar, bem, ele acabou se misturando. k1DBLITZ estava certo, onde você começa é onde você termina, gostaria que meu chefe soubesse disso :) Como eu disse acima, nós geramos um pedido de certificação de uma caixa, com o redirecionamento seguro do firewall ISA. Isso porque este é o servidor que o público verá. Então nós temos um servidor diferente que é o host.

Bem, meu chefe gerou uma solicitação cert no servidor da Web, mas tentou terminar o certificado instalando a resposta do certificado no servidor ISA e não no servidor da Web. Depois que descobri o que ele fez, acabei de instalar a resposta no servidor que gerou a solicitação e concluí o certificado. Depois disso, pude exportar o certificado, com a chave privada, para a caixa de firewall do ISA.

De qualquer forma, uma vez que eu percebi o que ele fez, foi simples de corrigir. Erro humano de 100%. Valeu pessoal!

    
por 25.02.2014 / 17:28

Tags

O cache de arp do Windows Server 2008 R2 por usuário ou por máquina? Armazenamento para o servidor HP (sbs2011)