shnuuu
Goto Top

Outlook WebAccess ohne Zertifikat Fragen

Hallo,

ich habe kürzlich für unsern Betrieb OWA freigeschaltet.
Wenn ich nun über einen Browser auf "https://mail.domain" gehe,
erscheint ja die Meldung das es sich um keine Vertrauenswürdige Verbindung handelt.
Wenn ich nun die Ausnahme Hinzufüge (Firefox), fügt er ein Zertifikat vom Exchange Server hinzu und alles läuft einwandfrei. (Ich selbst habe zu keiner Zeit auf dem Server ein Zertifikat selbst erstellt.)

Jetzt habe ich aber noch einige Fragen dazu:
1. Ist die Verbindung jetzt wirklich Verschlüsselt oder muss ich da nun noch irgendwelche Zertifikate erstellen? (Hatte mal irgendwo gelesen das über die Zertifikate die Schlüssel für die Verschlüsselung ausgetauscht werden, wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?! Reicht das?)

2. Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist? Mir geht es darum, dass wir viele unerfahrene Benutzer haben, die dann von so einer Meldung schon vor einem Problem stehen.
Ich hätte jetzt z.B gedacht das man das Zertifikat von Exchange über GPO auf alle Rechner installiert. Gibts dazu anleitungen? Kann ich noch mehr tun? Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.

3.Das Thema Zertifikate hab ich eh noch nie so 100% verstanden, was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden? Offentsichtlich würden dann nicht mehr die Warnungen im Browser kommen aber ansonsten?

Schöne Grüße & Dankend,

Shnuuu

Content-ID: 181888

Url: https://administrator.de/contentid/181888

Ausgedruckt am: 25.11.2024 um 18:11 Uhr

GuentherH
GuentherH 13.03.2012 um 16:52:23 Uhr
Goto Top
Hi.

Ist die Verbindung jetzt wirklich Verschlüsselt
Ja

wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?!
Nein, das hat der Admin am Exchange erstellt ;)

Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist?
Ja, indem du das Zertfikat in die vertrauenswürdige Stammzertifizierungsstelle des Clients installierst

was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden?
Dass du dir vorigen Punkt ersparst

Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
Das geht nur mit einem gekauften Zertifikat

LG Günther
emeriks
emeriks 13.03.2012 um 16:56:55 Uhr
Goto Top
1. Ja. HTTPS ist verschlüsselt, ob das zertifikat nun vetrauenswürdig ist oder nicht.

2. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, hängt allein davon ab, ob dein Computer dem Zertifikatersteller vetraut.
In Deinem Fall wird es sich um das selbsterstellte (selbstzertifizierte) Zertifikat des Exchange Servers handeln. Wenn Du willst, dass dieses als vertrauenswürdig anerkannt wird, dann musst Du es als Stammzertifizierungsstellenzertifikat auf jedem Client installieren (verteilen). Das geht z.B. per GPO.

3. Ein Zertifikat kaufen macht bloß Sinn, wenn der Zugriff über das Internet erfolgen soll. Oder aus anderen Partner-Netzen, falls Ihr z.B. direkte Verbindungen mit anderen Firmen habt.

Weil Du selbst schreibst, dass Du da nicht so bewandert bist, empfehle ich Dir den Weg wie unter Punkt 2 beschrieben.
Wenn Du aber dennoch lernen willst, wie sowas funktioniert und Du die Möglichkeit hast, Dir eine autarke (!) Test-Umgebung aufzubauen (z.B. mit VMware), dann baue Dir dort eine Domäne (eigene Gesamtstruktur mit eigenem DNS) und einen Test-Client. Dann installierts Du die im Windows Server mitgelieferte Zertifizierungstelle. Dann lesen, lesen, lesen, testen, spielen, lernen ... Die Onlinehilfe bietet da schon einiges an Infiormationen. Wenn Du dann konkrete Fragen hast, dann hilft Dir sicher das Web ... face-wink

Und wenn Dir dann immer noch danach ist, kannst Du das ja implementieren und Deinem Exchange Server ein Zertifikat mit der eigenen Zertifizierungsstelle erteilen.
filippg
filippg 13.03.2012 um 22:26:40 Uhr
Goto Top
Hallo,

was ist denn, wenn du den Internet Explorer verwendest?
Im allgemeinen erzeugt sich Exchange bei der Installation selbst ein Zertifikat, dem dann von Domänen-Clients auch vertraut wird.
Damit sind wir auch bei Punkt 2. Ja, es gibt Möglichkeiten Stammzertifizierungsstellen an Domänenclients zu verteilen. Wie genau weiß ich ehrlich gesagt nicht (ich hätte eher an WSUS als GPO gedacht). Aber: Damit wirst du sie nur in den Windows-Zertifikatsspeicher bekommen. Das ist schonmal schön. FireFox zieht den aber m.W. nicht an.

3. Der einzige Vorteil ist, dass die gängige Clientsoftware diesem Zertifikat ohne weiteres vertrauen wird, also keine Warnmeldungen mehr kommen. Sicherer als ein selbsterstelltes ist es nicht: Auch für ein selbsterstelltest solltest du das Schlüsselpaar selbst lokal erstellen, und dann vom Anbieter nur noch signieren lassen (angeblich bieten machen auch den Bezug vom Anbieter ersteller Schlüsselpaare an, das bedeutet aber, dass der Anbieter deinen geheimen Schlüssel kennt).

Gruß

Filipp
Dani
Dani 13.03.2012, aktualisiert am 18.10.2012 um 18:50:19 Uhr
Goto Top
Moin,
das Thema kauen wir gerade schon mal durch.


Grüße,
Dani
Shnuuu
Shnuuu 14.03.2012 um 11:23:00 Uhr
Goto Top
Alles klar, eure Beiträge haben mir schonmal etwas geholfen.
Ich habe nun Versucht das Zertifikat über GPO nach dieser ( http://technet.microsoft.com/de-de/library/cc772491%28v=ws.10%29.aspx ) Anleitung zu verteilen, aber das ganze will nicht so richtig funktionieren.
Also zunächst habe ich über den IE die OWA Seite aufgerufen und dann das Zertifikat Installiert. Danach habe ich über den IE das Zertifikat Exportiert und bin die Anleitung aus dem Link durchgegangen. (Ich wusste nicht wo ich das Zertifikat auf dem Exchange Finde und bin diesen Umweg gegangen.)

Wenn ich mich nun mit einem Testclient anmelde, kommt aber immer noch die Meldung das das Zertifikat nicht installiert . Was mach ich falsch?


Edit: Ok ich habe wohl den Ursache. Das Zertifikat ist für den Exchange Server ausgestellt. Gehe ich über https://exchange-serv/owa funktioniert es.
Gebe ich aber die Externe URL an https://mail.firma.com erkennt er nicht das das Zertifikat für diese Seite ist. Wie gehe ich nun vor?
emeriks
emeriks 14.03.2012 um 13:04:32 Uhr
Goto Top
Du musst erstens diese URL auch im OWA auf dem Exchange Server eintragen.
Zweitens musst Du auf dem Exch ein neues Zertifikat generieren, welches beide (!) Namen enthält, den NetBIOS-Namen des Servers als erstes und den FQDN für den OWA als zweiten.