Homeserver Forum

Guten Tag,

ich habe ein Zertifikatsproblem mit meinem WHS 2011. Aber vielleicht der Reihe nach:

vor ca. einem Monat hatte ich mal testweise einen Windows Homeserver 2011 in einer Hyper-V Umgebung aufgesetzt. Ich war recht begeistert davon, habe mir dann über GoDaddy auch einen eigenen Domänennamen und ein Zertifikat besorgt. Ich habe das ganze installiert und es lief auch einwandfrei. Allerdings kamen mir dann Sicherheitsbedenken, weil der Hostserver, auf dem WHS lief, eigentlich nur für mein kleines Intranet gedacht war. Dort eine Maschine laufen zu haben, aus die aus dem Internet zugegriffen werden kann, ist natürlich nicht so doll. Also habe ich mir noch ein wenig Hardware gekauft, die zukünftig in eine kleine DMZ soll. Jedenfalls habe ich auf dem neuen Blech wieder den WHS 2011 mit gleichem Namen installiert, wie die Maschine unter Hyper-V hieß. Im Router habe ich die Weiterleitung auf den neuen Server umgestellt.
Dann habe ich unter der neuen Maschine im IIS 7.5 eine neue Zertifikatsanforderung gestellt, damit bei GoDaddy das Zertifikat "Re-Keyed" und das Ergebnis (zwei Dateien) der Anleitung gemäß installiert. Die GoDaddy Certification Authority ist bei den "Zwischenzertifizierungsstellen" zu sehen. Das Zertifikat selber ist jetzt im IIS und unter Zertifikate (Eigene Zertifikate) zu sehen. Soweit alles gut.

Aber nun das Problem: das Zertifikat wird nicht vom WHS ausgeliefert. Wenn ich auf meine Seite zugreife bekomme ich immer die blöde "Es besteht ein Problem mit dem Sicherheitszertifikat der Website." Meldung und wenn ich mir das Zertifikat angucke, dann sehe ich auch, dass es das selbstausgestellte Zertifikat vom WHS ist und nicht das richtige von GoDaddy. Mit dem würde die Meldung nicht kommen, aber der WHS liefert das Zertifikat aus irgendeinem Grund nicht aus.

Gibt es noch irgendeinen Punkt, den ich übersehen habe? Ich bin mittlerweile recht genervt, weil ich keinen Fehler finden kann. Trotzdem muss es ja irgendeinen Grund geben, warum der WHS das Zertifikat nicht nutzt, obwohl es an den richtigen Stellen liegt. Würde mich freuen, wenn jemand noch einen Hinweis hat.

Kleines Update: ich habe den Verdacht, dass es etwas mit den Informationen im Zertifikat zu tun hat. Bei der neuen Beantragung des Zertifikats im IIS 7.5 muss man exakt die gleichen Informationen eingeben, die man bei der Erstanforderung eingegeben hat. Sehr wichtig sind wohl die ersten drei Felder:

Geben Sie im Textfeld Gemeinsamer Name den Namen für das Zertifikat ein.
Geben Sie im Textfeld Organisation den Namen der Organisation ein, in der das Zertifikat verwendet wird.
Geben Sie im Textfeld Organisationseinheit den Namen der Organisationseinheit in der Organisation ein, in der das Zertifikat verwendet wird.
Geben Sie im Textfeld Ort den nicht abgekürzten Namen des Ortes ein, in dem sich die Organisation oder die Organisationseinheit befindet.
Geben Sie im Textfeld Bundesland/Kanton den nicht abgekürzten Namen des Bundeslands bzw. Kantons ein, in dem sich die Organisation oder die Organisationseinheit befindet.
Geben Sie im Textfeld Land/Region den Namen des Landes bzw. der Region ein, in dem bzw. der sich die Organisation oder die Organisationseinheit befindet.

Wahrscheinlich habe ich da Abweichungen drin. GoDaddy gibt einem zwar an, was im aktuellen Zertifikat enthalten ist. Allerdings soll da bei mir bei Organisationseinheit "Domain Control Validated" drinstehen. Das habe ich bestimmt nicht eingetragen. Ein wenig dumm ist, dass man bei der Neuverschlüsselung des vorhandenen Zertifikats nicht darauf hingewiesen wird, wenn es Abweichungen zwischen Original und der Neuanforderung gibt. Wenn man seine Daten bei der Ersterstellung nicht aufgeschrieben hat, hat man ein Problem.

Nochmals ein Update: der Punkt "Organisationseinheit" scheint gar nicht so wichtig zu sein, GoDaddy selber führt diesen Punkt als "Optional" auf. Außerdem scheint er standardmäßig mit "Domain Control Validated" gefüllt zu werden, egal was man bei der Zertifikatsanforderung dort einträgt. Damit ist aber auch gerade der letzte Strohhalm geknickt. Nun weiß ich auch nicht mehr weiter.

Und noch ein Update: ich habe gerade im WHS 2011 die Meldung gefunden, dass für den Remotewebzugriff kein Zertifikat vorhanden sei. Ich müsse ein Zertifikat erwerben, um das Problem zu lösen. Was natürlich Blödsinn ist, weil ich ja schon ein Zertifikat habe und das auch schon auf dem Server vorhanden ist. Nur erkennt der WHS das Teil nicht. Die Warnung könne ich damit auflösen, in dem ich auf den "Reparieren" Button drücke. Das habe ich schon mal gemacht, das Problem ist, dass der Server dann von sich aus ein eigenes Zertifikat erstellt, was mir ja nichts nützt. Ich müßte ihm sagen können, dass er bitte Zertifikat xy verwenden solle. Genau so einen Dialog gibt es aber nicht. Scheinbar hat man bei der Programmierung des WHS nicht daran gedacht, dass der Server ja mal umziehen könnte und der WHS auch Fremd-Zertifikate für den Remote-Zugriff danach immer noch nutzen soll. Jedenfalls habe ich nichts dergleichen gefunden.

Mittlerweile habe ich einen ähnlichen Thread im GoDaddy Forum eröffnet und im Microsoft WHS 2011 Forum gibt es auch einen Eintrag von mir. Es bleibt spannend.

So, der Fall kann geschlossen werden, ich habe das Problem gefunden. Es saß, wie so häufig, vor dem Computer und war ganz banal. Ich hatte lediglich nach dem Import des Zertifikats in den IIS vergessen, in den beiden Projekten die Bindung von Port 443 mit dem GoDaddy-Zertifikat vorzunehmen. Beim ersten Aufsetzen muss ich das gemacht haben, nun hatte ich es schlicht vergessen. Damit ist übrigens auch diese Zuordnung von WHS zum Zertifikat, die ich mir im vorletzten Posting gewünscht hatte, erledigt. Es ist genau dieses, nur findet sich die Zuordnung nicht im WHS, sondern eine Ebene darunter, im IIS.

Das kommt davon, wenn man sich ganz sicher ist, dass man alles genau nach Vorschrift gemacht hat Ich hoffe, es war wenigstens für die Allgemeinheit ein wenig erheiternd.

Monolith2063 und sein Monolog sorry, bei dem Thema hätte ich eh nicht helfen können

Na ja, je mehr Details man übermittelt, desto einfacher sollte es sein, das Problem einzukreisen. Am schlimmsten sind doch die "ich habe ein Problem. Helft mir."-Leute, denen man jedes Details aus der Nase ziehen muss.