TMG 2010 EAS Zertifikat Horror - The certificate chain did not end in a trusted root

[Stefan Blumhagel]

Hallo Newsgroup,

voller Freude habe ich den TMG 2010 in Betrieb genommen und auch gleich
Activesync verï¿œffentlicht (EX2007).

Ich benutze ein ï¿œffentliches Verisign Zertifikat, dass bei einer
Verï¿œffentlichung (NAT) direkt auf Exchange CAS ohne probleme funktioniert.

Das Zertifikat ist mit private Key auf dem TMG vorhanden und lï¿œsst sich
auch ohne weiteres in den Listener einbinden. Die Regel funktioniert
auch. OWA etc klappt alles. ABER..auf Windows Mobile Endgerï¿œten ist das
(root) Zertifikat nicht gï¿œltig. https://www.testexchangeconnectivity.com
sagt mir bei Verï¿œffentlichung ï¿œber TMG.

The certificate chain did not end in a trusted root. Root = OU=VeriSign
Trust Network, OU="(c) 1998 VeriSign, Inc. - For authorized use only",
OU=Class 3 Public Primary Certification Authority - G2, O="VeriSign,
Inc.", C=US

Bei direkter Verï¿œffentlichung (ALLES GUT):

Additional Details Certificate is trusted for Windows Mobile 5 and
Later platforms. Root = OU=Class 3 Public Primary Certification
Authority, O="VeriSign, Inc.", C=US

Ich habe die Zertfikatskette ï¿œberprï¿œft und alle Zertifikate sind 100%
ident - auch mit Seriennummer. Das Intermediate Zertifikat ist auf dem
TMG ebenfalls vorhanden.

Ich bin verzweifelt und hoffe auch eure Hilfe.

Grￜￜe
Stefan

[Jens Mander]

moin stefan,

> Ich habe die Zertfikatskette ï¿œberprï¿œft und alle Zertifikate sind 100%
> ident - auch mit Seriennummer. Das Intermediate Zertifikat ist auf dem TMG
> ebenfalls vorhanden.

hast du gecheckt, ob auf dem mobile auch das ca-cert installiert ist?! die
haben hï¿œufig abgespeckte zertifikatsspeicher im gegensatz zu browsern.

--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|

[Stefan Blumhagel]

Hi,

Klar, wenn ich es direkt auf Exchange verï¿œffentliche geht es ja.
Das Zertifikat ist ja auf TMG uns Exchange ident. Ist mit privatem
Schlï¿œssel und Zertifikatskette exportiert.

[Stefan Blumhagel]

Hi,

>

[Jens Baier]

Hi,

> voller Freude habe ich den TMG 2010 in Betrieb genommen und auch gleich
> Activesync verï¿œffentlicht (EX2007).

sehr gut!

> Ich benutze ein ï¿œffentliches Verisign Zertifikat, dass bei einer
> Verï¿œffentlichung (NAT) direkt auf Exchange CAS ohne probleme funktioniert.

bei Verisign musst Du erst ein Intermediate CA Zertifikat auf den Verisign
Support Seiten downloaden, da deren CA mal kompromittiert wurde!
Hatte ich bei einem Kunden auch. Da half das teure Verisign Cert leider auch
nicht!

> The certificate chain did not end in a trusted root. Root = OU=VeriSign
> Trust Network, OU="(c) 1998 VeriSign, Inc. - For authorized use only",
> OU=Class 3 Public Primary Certification Authority - G2, O="VeriSign,
> Inc.", C=US

ich meine genau das war das. Schau mal in der Verisign KB nach und lad das
entsprechende Intermediate CA Cert!

--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de

[Stefan Blumhagel]

Das hab ich gemacht, das passende Intermediate Cert ist vorhanden und
den Server hab ich mehrfach neu gestartet. Leider wird immernoch das
falsche Intermediate gezogen. Gibts ne Art Cert Cache vom TMG oder 2008
R2 Server?

[Jens Baier]

Hi,

> Das hab ich gemacht, das passende Intermediate Cert ist vorhanden und den
> Server hab ich mehrfach neu gestartet. Leider wird immernoch das falsche
> Intermediate gezogen. Gibts ne Art Cert Cache vom TMG oder 2008 R2 Server?

wen Du den Server schon neu gestartet hast, dann sollte der Certificate
Cache auf jeden Fall geloescht werden. Ich vermute eher, dass das
Intermediate Cert noch im Zertifikatspeicher der lokalen Maschine haengt
oder dass das Root CA Certificate von Verisign noch auf das falsche
Intermediate Certificate zeigt.
Ich habe Dir mal eine Liste der RootCA und Intermediate Certs vom TMG meines
Kunden zusammengestellt, damit Du vergleichen kannst:
http://www.it-training-grote.de/download/verisign-tmg.pdf

[Stefan Blumhagel]

Hi und Danke erstmal :-)

Also ich habe von Verisign ein neues Intermediate bekommen. Dieses ist
auf dem Exchange drauf und wenn ich direkt NAT'e dann funktioniert es
auch. Auf dem TMG ist es ebenfalls drauf, aber da wird noch die alte
Seriennummer angezeigt - also das alte Intermediate.

Den Cache kann ich ja nur im IE unter Inhalt lï¿œschen, oder? Hab ich auf
jeden Fall gemacht, ohne Erfolg :-(

Wie bekomme ich das alte Intermediate weg und kann prï¿œfen ob das Root
richtig verweist?

Gruￜ
Stefan

[Jens Baier]

Hi,

> Also ich habe von Verisign ein neues Intermediate bekommen. Dieses ist auf
> dem Exchange drauf und wenn ich direkt NAT'e dann funktioniert es auch.
> Auf dem TMG ist es ebenfalls drauf, aber da wird noch die alte
> Seriennummer angezeigt - also das alte Intermediate.

OK

> Den Cache kann ich ja nur im IE unter Inhalt lï¿œschen, oder? Hab ich auf
> jeden Fall gemacht, ohne Erfolg :-(

ACK

> Wie bekomme ich das alte Intermediate weg und kann prï¿œfen ob das Root
> richtig verweist?

ich wuerde aus dem Zertifikatspeicher des lokalen Computer einmal das RootCA
Zertifikat entfernen und das alte Intermediate Zertifikat, dann den TMG
einmal booten und dann das Verisign Cert wieder neu einspielen und dort
nicht sagen "gesamte Zertifikatkette einspielen". Danach das Intermediate
Cert einspielen, welches Du von Verisign erhalten hast

[Stefan Blumhagel]

Hi,

genau so durchgefï¿œhrt, aber der Effekt bleibt. Es wird das alte
Intermediate angezeigt. Hab zwischendurch mal auf einen anderen IIS7 die
Zertifikate draufgepackt, hat sofort funktioniert - ohne Mucken.
Ist also nun soweit eingegrenzt, dass es definitiv was mit dem TMG zu
tun hat. Als wï¿œre das alte Intermediate in irgendeinem Zwischenspeicher
gelandet. In der Zertifikatsansicht ist es auf jeden Fall nicht mehr
da...hab ich zig mal geprï¿œft.

Nach 3 Tagen TMG Hï¿œlle gebe ich also auf. Der ISA 2006 musses noch ne
Weile richten.

Frustrierte Grￜￜe
und vielen Dank fï¿œr deine Bemï¿œhungen Jens
Stefan

[Jens Baier]

Hi,

> Intermediate angezeigt. Hab zwischendurch mal auf einen anderen IIS7 die
> Zertifikate draufgepackt, hat sofort funktioniert - ohne Mucken.
> Ist also nun soweit eingegrenzt, dass es definitiv was mit dem TMG zu tun
> hat. Als wï¿œre das alte Intermediate in irgendeinem Zwischenspeicher
> gelandet. In der Zertifikatsansicht ist es auf jeden Fall nicht mehr
> da...hab ich zig mal geprï¿œft.

hmm, dann kannst Du mit ADSIEDIT mal in den lokalen AD/LDS Speicher des TMG
gucken

[Stefan Blumhagel]

wie `?

[Jens Baier]

Hi,

> wie `?

gute Frage. Ich weiss nur, dass TMG das Zertifikat im CSS/EMS oder lokal
speichert. Wo habe ich mir bisher noch nicht angesehen und ich weiss auch
nicht wo. Muesstet Du mal erbingen/ergoogeln
Evtl. liegt auch noch was im Certspeicher vom ISA_ADMSTRGL:
http://technet.microsoft.com/en-us/library/ee658141.aspx
Kann ich mir aber fast nicht vorstellen, dass das Problem mit dem Zertifikat
aus dem TMG Storage kommt. Ich vermute immer noch, dass es ein normales
Problem ist und das Cert im Speicher liegt. Hast Du schon mal mit Certutil
den Zertifikatspeicher angeguckt?

[Stefan Blumhagel]

SO - Lï¿œUFT !

Habe gestern einen neuen Server installiert und vor der TMG Installation
die Zertifikate richtig hingeboben. Danach TMG drauf und die Regeln
importiert - alles rennt :)))))

Grￜￜe
Stefan

[Jens Baier]

Hi,

> Habe gestern einen neuen Server installiert und vor der TMG Installation
> die Zertifikate richtig hingeboben. Danach TMG drauf und die Regeln
> importiert - alles rennt :)))))

supi!