Under förra veckan kom jag i kontakt med ett mystiskt certifikatfel där enbart vissa enheter klagar på gammalt certifikat. Jag uppmärksammade också en intressant sak när jag åtgärdade det här felet, nämligen hur ISA servern hanterar sina SSL sessioner. Det här ledde till ett långt blogg-inlägg som dock kan vara intressant för andra som hamnar i trubbel med Certifikat och ISAns Certifikathantering.

ISA Miljö
En ISA 2006 med alla uppdateringar på Windows 2003 std server (R2, SP2) med ett köpt Verisign Certifikat. Certifikatet är tidigare installerat på en annan 2003 server och sedan exporterat till ISAn. Certifikatet ser helt ok ut både i Certificates MMC och i ISA gränssnittet. Inte heller ISA BPA påvisade något fel.

Symptom
Problem med Exchange publiceringarna OWA och EAS för vissa datorer och telefoner. Datorer som befinner sig i samma domän som ISA servern samt SonyEricsson telefoner larmar om att certifikatet har utgått. Övriga datorer och telefoner fungerar felfritt och Certifikatet ser korrekt ut.
Vid felsökning testades certifikatet med Verisigns testverktyg vilket påvisade att Intermediate Certifikatet gick ut 2004.

Lösning
Som ni kan se i exemplet från en memberdator klagar den på Intermediate certifikatet som ingår i pathen för certifikatet. Intermediate är alltså issuing certifikat, utgivare som måste vara giltigt för att datorerna skall lita på certifikatet.
Enligt Verisign kan detta fel uppstå när man exporterar certifikatet från en server till en annan. Ofta för att man inte får med alla certifikat som skall ingå. Det visade sig dock finnas både ett gammalt och ett nytt Intermediate certifikat på servern men beroende på klient användes olika.

Jag raderade därför det gamla certifikatet och importerade det senaste Intermediate certifikatet på ISA Servern.

SSL hantering
Certifikatåtgärderna gjordes under drift eftersom företaget inte ville ha något avbrott.
Efter dessa åtgärder visade testverktyg exakt samma fel även fast certifikatet inte längre fanns på servern. Jag testade även att skapa en helt ny lyssnare parallellt som jag knöt till certifikatet, samma symptom fortfarande.
Det här var nytt för mig, så länge du har en aktiv SSL förbindelse (alltså en lyssnare med certifikat) är det den sessionen som används när klienten ansluter. ISAn förhandlar alltså inte på nytt med installerat certifikat för varje ny anslutning, därav visades det gamla certifikatet fortfarande.

För att få den att använda det nya certifikatet måste du bryta befintlig tunnel, antingen:
– Genom att starta om servern
– Ta bort lyssnaren (se till att det inte finns någon session med hjälp av netstat) och skapa en ny.

En bra ny artikel om att byta ut certifikat finns här och som sagt, var noga med att inaktivera lyssnaren innan du byter ut certifikatet http://technet.microsoft.com/en-us/library/dd547090.aspx