Archive for the 'ISA Server' Category

Windows: Import von SSL-Zertifikat inkl. Private Key für ISA Server oder TMG

Für die Veröffentlichung von z.B. Exchange ActiveSync über das Microsoft Threat Management Gateway oder den ISA-Server sollte auf dem Server ein offizielles SSL-Zertifikat für die gewünschte Domain existieren. Die Zertifizierungsstelle wie z.B. Thawte sendet das Zerifikat in der Regel in Textform zu:

-----BEGIN CERTIFICATE-----
MIIDKTCCAtOgAwIBAgIJAItZm8m/4nSaMA0GCSqGSIb3DQEBBQUAMIGXMQswCQYD
VQQGEwJERTEWMBQGA1UECBMNTmllZGVyc2FjaHNlbjERMA8GA1UEBxMISGFubm92
ZXIxDzANBgNVBAoTBkxheWVyOTEPMA0GA1UECxMGTGF5ZXI5MR0wGwYDVQQDExRs
YXllcjkud29yZHByZXNzLmNvbTEcMBoGCSqGSIb3DQEJARYNbGF5ZXI5QGdteC5k
ZTAeFw0xMjAxMTkxNTIyNTVaFw0xNTAxMTgxNTIyNTVaMIGXMQswCQYDVQQGEwJE
RTEWMBQGA1UECBMNTmllZGVyc2FjaHNlbjERMA8GA1UEBxMISGFubm92ZXIxDzAN
BgNVBAoTBkxheWVyOTEPMA0GA1UECxMGTGF5ZXI5MR0wGwYDVQQDExRsYXllcjku
d29yZHByZXNzLmNvbTEcMBoGCSqGSIb3DQEJARYNbGF5ZXI5QGdteC5kZTBcMA0G
CSqGSIb3DQEBAQUAA0sAMEgCQQCmqgYLjxnRn2Ql1BTkvl+uba+jE6RvifHUv3bO
r0+9/JxAmWXAP6JEetyROgfnC+ZEZXejbqNn6DvlCgnJsAR9AgMBAAGjgf8wgfww
HQYDVR0OBBYEFOU3k7k03qMI679D0Rup/JvL1mFwMIHMBgNVHSMEgcQwgcGAFOU3
k7k03qMI679D0Rup/JvL1mFwoYGdpIGaMIGXMQswCQYDVQQGEwJERTEWMBQGA1UE
CBMNTmllZGVyc2FjaHNlbjERMA8GA1UEBxMISGFubm92ZXIxDzANBgNVBAoTBkxh
eWVyOTEPMA0GA1UECxMGTGF5ZXI5MR0wGwYDVQQDExRsYXllcjkud29yZHByZXNz
LmNvbTEcMBoGCSqGSIb3DQEJARYNbGF5ZXI5QGdteC5kZYIJAItZm8m/4nSaMAwG
A1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQADQQAlQIKYF37+IbXy5QnjkXmdqm9X
y1mhbRglr9St+Gqvz2ko4aaRwsIfrxRpbvlq6IFd9PLVS/udlx//n7V+CeAk
-----END CERTIFICATE-----

Speichert man das Zertifikat als Textdatei und importiert es in den „Personal Certificate Store“ des Computerkontos, fehlt allerdings der dazugehörige private Schlüssel und das Zertifikat kann nicht genutzt werden.

Um den privaten Schlüssel zu importieren, generiert man mittels OpenSSL einfach ein PKCS#12 Zertifikat, das neben dem Zertifikat auch den privaten Schlüssel enthält:

srv:/# openssl pkcs12 -export -in certificate.pem -inkey privatekey.pem \
-out certfinal.pfx

Ob Private Key und Zertifikat zueinander passen, lässt sich im Zweifel durch das Vergleichen der Prüfsummen von Schlüssel und Zertifikat feststellen. Beide Zahlen müssen identisch sein:

srv:/# openssl x509 -noout -modulus -in certificate.pem | openssl md5 \
19d0a008c19152777ded2b757f26e5c5
srv:/# openssl rsa -noout -modulus -in privatekey.pem | openssl md5 \
19d0a008c19152777ded2b757f26e5c5

Durch den Import der PFX-Datei lassen sich Zertifikat und Schlüssel dann in einem Rutsch hinzufügen.

Advertisements

ISA Server 2006: Veröffentliche Webseiten können nicht mehr aufgerufen werden

Vor wenigen Tagen war ich mit dem Phänomen konfrontiert, dass sich über den ISA Server 2006 veröffentlichte Webseiten nicht mehr aufrufen ließen. Beim Aufruf einer entsprechenden Webseite im Webrowser wurde schlicht nichts angezeigt. Auf dem ISA-Server kam es dabei zu folgenden Fehlern im Ereignisprotokoll:

Typ: Fehler
Quelle: Microsoft ISA Server Web Proxy
Ereigniskennung: 23006
Beschreibung: Der Komprimierungsfilter kann keine Antwort verarbeiten,
weil das Limit des reservierten Speichers, der zurzeit für die
Komprimierung verwendet wird, erreicht wurde. Der für die Komprimierung
reservierte Speicher wird durch die folgenden Registrierungswerte unter
dem Schlüssel HKLM\Software\Microsoft\RAT\Stingray\Debug\W3Filter
festgelegt: COMPRESS_MEMORY_ALLOC_MBYTES (standardmäßig 256) und
COMPRESS_MEMORY_POOL_BLOCKS (standardmäßig 200).
Typ: Fehler
Quelle: Microsoft ISA Server Web Proxy
Ereigniskennung: 23001
Beschreibung: ISA Server konnte einen Antwortbody von "host.domain.de"
aufgrund des folgenden Fehlers nicht dekomprimieren: Unbekannter Fehler.
Dieser Fehler tritt in der Regel dann auf, wenn zu wenig Speicherplatz
für die Komprimierung verfügbar ist. 

Wie in Microsofts Knowledgebase Artikel 947521 beschrieben, wird das Problem durch einen Memory Leak verursacht und kann mit einem Hotfix behoben werden. Service Pack 1 für ISA 2006 behebt das Problem ebenfalls.

Als Workaround kann man übrigens auch einfach den Webfilter für die HTTP-/HTTPS-Komprimierung unter Konfiguration -> Add-Ins -> Webfilter deaktivieren.