IIS Windows-Authentifizierung: IE wählt nicht das richtige Zertifikat

IIS Windows-Authentifizierung: IE wählt nicht das richtige Zertifikat

Ich versuche, eine Intranet-Website (Ticketing-Lösung von osTicket) einzurichten. Ich möchte, dass meine Benutzer automatisch eine Verbindung zur Website herstellen, sodass sie ihre Anmeldeinformationen nicht eingeben müssen. Dafür habe ich:

  • Erstellt einen IIS-Server 10.0
  • Einen DNS-Eintrag im DNS meiner Domain einrichten
  • Ein SSL-Zertifikat für diese URL wurde unter Verwendung der Zertifizierungsstelle meiner Domain erstellt.
  • Binden des Zertifikats an IIS
  • Fügen Sie die Site über ein GPO zur Intranetzone hinzu (SSL und dieses GPO sollten sicherstellen, dass der Benutzer im Internet Explorer nicht zur Eingabe seiner Anmeldeinformationen aufgefordert wird).
  • Einrichten der Authentifizierung in IIS: Nur NTLM, keine anonyme Authentifizierung

Auf einem neuen Computer funktioniert alles wie erwartet. Keine SSL-Warnung im Internet Explorer, Passthrough funktioniert für Chrome und Internet Explorer.

Jedoch, wenn auf dem Computer Microsoft Skype for Enterprise (oder Office, nehme ich an) installiert ist, wird ein Authentifizierungszertifikat erstellt (ich kann es in crtmgr.msc unter Persönlich > Zertifikate sehen). Wenn ich versuche, eine Verbindung zu meiner Intranet-Site herzustellen, wird dieses Zertifikat automatisch verwendet. Da meine lokale Domäne sich von der Office365-Domäne unterscheidet, akzeptiert IIS das Zertifikat nicht und gibt „403 Forbidden“ zurück.

Wenn ich dieses Zertifikat lösche, funktioniert alles, bis ich Skype for Enterprise erneut starte und das Zertifikat erneut erstellt wird.

In Chrome werde ich gefragt, ob ich das Skype-Zertifikat verwenden möchte. Wenn ich dies akzeptiere, erhalte ich eine 403-Fehlermeldung. Wenn ich ablehne, funktioniert es.

Mir gehen die Ideen aus. Wie kann ich dem IE sagen, dass er das Skype-Zertifikat nicht verwenden soll? Alle anderen Ideen sind willkommen.

Danke

Bearbeiten: Indem ich in certmg.msc ein Zertifikat von meiner Zertifizierungsstelle anfordere, kann ich jetzt in IE und Chrome ein korrektes Zertifikat auswählen. Ich kann dieses Zertifikat jedoch nur aus msc erstellen. Ich suche nach einer Möglichkeit, dies über ein Skript zu tun, damit ich es später mit einem GPO anwenden kann. Mit certreq.exe sind meine Anforderungsparameter nicht genau dieselben und ich kann es nicht in IE und Chrome verwenden

Antwort1

Schließlich habe ich eine andere Möglichkeit gefunden, das Problem zu lösen. Ich ändere den Speicherort, in dem Lync sein Zertifikat speichert, mithilfe eines Registrierungsschlüssels. Das funktioniert zumindest für Office 15 und 16. Sie können es einfach über eine Gruppenrichtlinie anwenden.

https://blogs.technet.microsoft.com/dodeitte/2015/05/31/how-to-change-the-certificate-store-used-for-lync-client-certificates/)

verwandte Informationen