Zertifikatsproblem?

[FClaus]

Hi zusammen,
ich hab erfolgreich eine App-V Testumgebung (ohne Zertifikat) aufgebaut.
Nun will ich im produktiven Einsatz natürlich noch ein Zerti einfügen.

Also habe ich auf der neuen Maschine (2008R2 - VM auf Hyper-V) SQL(2008) und App-V Management Server(4.6) installiert.
Schön brav den App-V Dienst in abhängigkeit zum SQL Dienst gehängt, damit der Server auch immer vernünftig startet.
Soweit so gut.

Nun wollte ich allerdings mit der Management Konsole auf den Server zugreifen und melde mich an (localhost, Port 443, aktuelles Windowskonto) und irgendwie klappt es nicht - er meldet den Fehlercode 0000C8000.
Daraufhin habe ich erstmal in die Log Datei des Servers geschaut und folgendes entdeckt:

Code: Alles auswählen

[2010-06-16 17:06:35.794] - 360 2288 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:37.807] APPV01MS 360 2288 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:38.133] - 2960 456 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:38.144] - 3020 3424 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:38.154] - 2172 2904 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:38.164] - 2576 2364 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:38.174] - 3132 2772 SW_MessageHandler::Open - - - - 5 65535 "Initialization complete."
[2010-06-16 17:06:38.415] APPV01MS 3020 3424 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:38.418] APPV01MS 3132 2772 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:38.443] APPV01MS 2576 2364 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:38.426] APPV01MS 2960 456 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:38.429] APPV01MS 2172 2904 SW_ProtocolServer::ConfigureServices - - - - 2 44955 "Das Zertifikat konnte nicht geladen werden. Fehlercode [-2146893043]. Stellen Sie sicher, dass das Netzwerkdienstkonto über den richtigen Zugriff auf das Zertifikat und dessen entsprechende private Schlüsseldatei verfügt.
"
[2010-06-16 17:06:39.004] APPV01MS 360 2288 SW_SystemDispatcher::init - - - - 0 44951 "Microsoft System Center Application Virtualization Management Server Version 4.5.2.17140 (360) wurde erfolgreich gestartet
"

Dazu muss man sagen das ich dem Netzwerkdienst schon "lesen"-Rechte für das Zertifikat gegeben habe.
Ich weiß jetzt gerade allerdings nicht mehr weiter.
Habt ihr noch Ideen?

Danke schon mal im Vorraus!

[FClaus]

Leider kann ich den Beitrag irgendwie nicht editieren, aber eine Sache ist mir noch eingefallen.
Kann das mit dem mangelnden Zugriff in der Management Console auch mit dem IIS zu tun haben?

[das70erjahr]

Hallo,
ich denke, die Richtung IIS ist schon richtig.
Mit welchen Account ist denn der IIS gestartet?
Werden die Principals durchgereicht. Das heißt, dass der angemeldete User durch den IIS durchgereicht wird.
Vielleicht hilft das ein wenig.
Leider habe ich kein eigenes System momentan um näher nachzuschauen.
Viel Glück.
Thomas

[Kirk]

Hallo,

Im App-V Team-Blog werden einige gängige Probleme beschreiben (ist aber sehr die "Schrotflinten"-Methode):
http://blogs.technet.com/b/appv/archive/2010/03/09/troubleshooting-common-rtsps-issues-with-app-v.aspx


Aus meiner Sicht treffender ist Wilco van Bragt's Beschreibung der Konfiguration:
[url]http://www.virtualizationadmin.com/articles-tutorials/vdi-articles/microsoft-hyper-v/securing-app-v-streaming-with-
secure-rtsp.html[/url]

Du solltest mal checken, ob der App-V Management Server-Dienst wirklich gestartet ist (ich denke: nein).

Wenn Du (auf dem Management-Server) einen Doppel-Klick auf das Zertifikat durchführst, darf kein rotes X im Zertifikats-Icon oben rechts erscheinen (siehe Bsp.-Bild unter http://blogs.technet.com/blogfiles/appv/WindowsLiveWriter/TroubleshootingCommonRTSPSIssueswithAppV_7C2C/image_8.png)


Das Problem mit der MMC ist möglicherweise davon unabhängig
Wie Thomas schon bemerkt hat, liegt hier das Problem nicht beim Management-Server-Dienst, sondern potentiell in der HTTPS-Verbindung zum IIS (Web Service).
Ein erster Schuss in's blaue waäre, "localhost" durch "FQDN, auf den das Zertifikat ausgestellt ist" zu ersetzten, also "APPV01MS.domäne.sub".

Alle Zertifikate-Späße hier im Blog zu erklären, wäre etwas umständlich ...

[FClaus]

So, der IIS ist mit dem Administrator gestartet und auch der App-V Management Server Dienst ist gestartet!
Habe in der MMC auch schon alles ausprobiert, Servername, FQDN, IP, und localhost.
Aber ich denke ich muss da nochmal wegen des https schauen, ich denke das ich da evtl. was falsch konfiguriert habe!

Die "Schrotflinten" TIpps habe ich auch schon vorher mal durchgeschaut und auch schon einen Fehler damit gefunden - den mit den Berechtigungen, aber leider hat das wohl noch nicht gereicht.

Auch kein rotes X ist bei den Zertifikaten zu finden. Sieht eigentlich alles ganz gut aus. Ich werde nochmal genau die Anleitung von Wilco van Bragt durchschauen. Danke schonmal für die Hilfe.

[FClaus]

so, dass erste Problem mit dem SSL ist gelöst - jetzt kommt der nächste Fehler 0000C806.
Sollte heißen, dass das Zertifikat nicht überprüft werden kann.

Lösungen im Internet sagen das ich die CA des Zertifikates zu den "vertrauenswürdigen Zertifizierungstellen" hinzufügen soll.
Aber da sind sie schon drin -_-
Also ich muss ja ehrlich sagen, diese Zertifikate, die machen mich echt fertig

[FClaus]

Ich habe gerade mal die Anleitung von Wilko durchgeschaut. Genauso habe ich es gemacht.
Leider immer noch keine Lösung.
Ich habe mir gerade nochmal den AppV Security Operations Guide von Microsoft angeschaut und alle Bedingungen, die das Zertifikat erfüllen muss, geprüft.

Code: Alles auswählen

•   Certificate must be valid. If the certificate is not valid, the client ends the connection.
•   Certificate must contain the correct Enhanced Key Usage (EKU) - Server Authentication (OID 1.3.6.1.5.5.7.3.1). If the certificate does not contain this EKU, the client ends the connection..
•   Certificate FQDN must match the server on which it’s installed. This means if the client is calling RTSPS://Myserver.mycompany.com/content/MyApp.sft AND the certificate “Issued To” field is set to “Fooserver1.mycompany.com,” the client will not connect to the server and the session will end. The user will be notified of the failure and why.
NOTE:  If using App-V in a Network Load Balanced cluster, the certificate will have to be configured with Subject Alternate Names (SAN) in order to support RTSPS.  For information on configuring the certificate authority and creating certificates with SANs, see http://support.microsoft.com/kb/931351.
•   Client (and server) needs to trust root CA – The CA issuing the certificate to the App V Server must by trusted by the client connecting to the server. If not trusted, the client ends the connection.
•   Certificate Private Key has to have permissions changed to allow App-V Service account access to certificate.  By default App-V uses the Network Service account and by default the Network Service account does not have permission to access the private key.  This will prevent secure connections.


Alles ist gegeben! Das Zerti ist gültig, EKU ist dabei, der FQDN stimmt, die Root CA's Zertis sind bei Client und bei Server vorhanden und der Netzwerkdienst hat lese Berechtigung bei dem Zerti.

Die Fragen sind mir eigentlich klar, aber das root CA muss doch unter "Vertrauenwürdige Stammzertifizierungsstellen" sein, oder?
Und der FQDN im Zert bei Antragssteller - CN?

Wie läuft den eure Umgebung? Wahrscheinlich auch verschlüsselt, oder?
Habt ihr das Zertifikat direkt bei der Installation des Servers angegeben, oder erst im nachhinein?

[FClaus]

Also ich stoße immer wieder auf die fehlenden Berechtigungen des Netzwerkdienstes für das Zertifikat.
Aber eigentlich ist alles richtig eingestellt.
Ich hab euch trotzdem mal eben Screenshots gemacht. Evtl habe ich ja doch irgendwas falsch gemacht, nicht beachtet oder ähnliches.


Bei Bild 1 seht ihr das Dienstkonto für den App-V Management Server Dienst.
Bild 2 zeigen wie ich die Rechte für den Netzwerkdienst vergeben habe.

Das Bild ist leider zu groß fürs Layout - am besten eben Rechtslick -> Grafik anzeigen lassen.

Ich hab gerade auch mal in der CMD geschaut ob auf dem Port abgehört wird.
Und er macht ein "listen" bei 0.0.0.0:322 - sprich auch der Port ist soweit richtig.

[das70erjahr]

Hallo,
wir in unserem Haus verzichten bisher auf die Verschlüsselung.
Vielleicht solltest Du einen Dienstuser in der Domain registrieren und diesen verwenden um die IIS und AppV Dienste zu starten. Vielleicht klappt es damit.
Viele Grüße
Thomas

[FClaus]

Hmm, das wäre auf jeden Fall nochmal ne Idee - Was für Rechte braucht der User für App-V den?

[das70erjahr]

Auf jeden Fall erstmal Rechte auf dem Content Verzeichnis im ISS. Der User muss Dienste starten und beenden können. Logon as Batchjob. Wir haben bei uns (nicht so hohe Sicherheitsanforderungen) den Dienstuser als Admin in die lokal Administratoren Gruppe eingetragen. Vielleicht hilft Dir das Dokument: http://technet.microsoft.com/de-de/library/dd351448.aspx weiter.

[FClaus]

ich hab ihn jetzt erstmal ohne Zertifikat aufgesetzt und alles läuft.
Ich habe allerdings erst nach der Installation des neuen Servers festgestellt das die WIndows Authentifizierung im IIS nicht vorhanden war.
Evtl. lag es daran, daher werde ich die Tage wenn ich Zeit habe mal einen zweiten, parallelen Server mit Zertifikat aufsetzen und weiter probieren.

Aber der jetztige Server läuft jetzt erstmal und das auch einwandfrei