Outlook WebAccess ohne Zertifikat Fragen
Hallo,
ich habe kürzlich für unsern Betrieb OWA freigeschaltet.
Wenn ich nun über einen Browser auf "https://mail.domain" gehe,
erscheint ja die Meldung das es sich um keine Vertrauenswürdige Verbindung handelt.
Wenn ich nun die Ausnahme Hinzufüge (Firefox), fügt er ein Zertifikat vom Exchange Server hinzu und alles läuft einwandfrei. (Ich selbst habe zu keiner Zeit auf dem Server ein Zertifikat selbst erstellt.)
Jetzt habe ich aber noch einige Fragen dazu:
1. Ist die Verbindung jetzt wirklich Verschlüsselt oder muss ich da nun noch irgendwelche Zertifikate erstellen? (Hatte mal irgendwo gelesen das über die Zertifikate die Schlüssel für die Verschlüsselung ausgetauscht werden, wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?! Reicht das?)
2. Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist? Mir geht es darum, dass wir viele unerfahrene Benutzer haben, die dann von so einer Meldung schon vor einem Problem stehen.
Ich hätte jetzt z.B gedacht das man das Zertifikat von Exchange über GPO auf alle Rechner installiert. Gibts dazu anleitungen? Kann ich noch mehr tun? Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
3.Das Thema Zertifikate hab ich eh noch nie so 100% verstanden, was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden? Offentsichtlich würden dann nicht mehr die Warnungen im Browser kommen aber ansonsten?
Schöne Grüße & Dankend,
Shnuuu
ich habe kürzlich für unsern Betrieb OWA freigeschaltet.
Wenn ich nun über einen Browser auf "https://mail.domain" gehe,
erscheint ja die Meldung das es sich um keine Vertrauenswürdige Verbindung handelt.
Wenn ich nun die Ausnahme Hinzufüge (Firefox), fügt er ein Zertifikat vom Exchange Server hinzu und alles läuft einwandfrei. (Ich selbst habe zu keiner Zeit auf dem Server ein Zertifikat selbst erstellt.)
Jetzt habe ich aber noch einige Fragen dazu:
1. Ist die Verbindung jetzt wirklich Verschlüsselt oder muss ich da nun noch irgendwelche Zertifikate erstellen? (Hatte mal irgendwo gelesen das über die Zertifikate die Schlüssel für die Verschlüsselung ausgetauscht werden, wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?! Reicht das?)
2. Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist? Mir geht es darum, dass wir viele unerfahrene Benutzer haben, die dann von so einer Meldung schon vor einem Problem stehen.
Ich hätte jetzt z.B gedacht das man das Zertifikat von Exchange über GPO auf alle Rechner installiert. Gibts dazu anleitungen? Kann ich noch mehr tun? Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
3.Das Thema Zertifikate hab ich eh noch nie so 100% verstanden, was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden? Offentsichtlich würden dann nicht mehr die Warnungen im Browser kommen aber ansonsten?
Schöne Grüße & Dankend,
Shnuuu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181888
Url: https://administrator.de/contentid/181888
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Hi.
LG Günther
Ist die Verbindung jetzt wirklich Verschlüsselt
Jawiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?!
Nein, das hat der Admin am Exchange erstellt ;)Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist?
Ja, indem du das Zertfikat in die vertrauenswürdige Stammzertifizierungsstelle des Clients installierstwas für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden?
Dass du dir vorigen Punkt ersparstAm schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
Das geht nur mit einem gekauften ZertifikatLG Günther
1. Ja. HTTPS ist verschlüsselt, ob das zertifikat nun vetrauenswürdig ist oder nicht.
2. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, hängt allein davon ab, ob dein Computer dem Zertifikatersteller vetraut.
In Deinem Fall wird es sich um das selbsterstellte (selbstzertifizierte) Zertifikat des Exchange Servers handeln. Wenn Du willst, dass dieses als vertrauenswürdig anerkannt wird, dann musst Du es als Stammzertifizierungsstellenzertifikat auf jedem Client installieren (verteilen). Das geht z.B. per GPO.
3. Ein Zertifikat kaufen macht bloß Sinn, wenn der Zugriff über das Internet erfolgen soll. Oder aus anderen Partner-Netzen, falls Ihr z.B. direkte Verbindungen mit anderen Firmen habt.
Weil Du selbst schreibst, dass Du da nicht so bewandert bist, empfehle ich Dir den Weg wie unter Punkt 2 beschrieben.
Wenn Du aber dennoch lernen willst, wie sowas funktioniert und Du die Möglichkeit hast, Dir eine autarke (!) Test-Umgebung aufzubauen (z.B. mit VMware), dann baue Dir dort eine Domäne (eigene Gesamtstruktur mit eigenem DNS) und einen Test-Client. Dann installierts Du die im Windows Server mitgelieferte Zertifizierungstelle. Dann lesen, lesen, lesen, testen, spielen, lernen ... Die Onlinehilfe bietet da schon einiges an Infiormationen. Wenn Du dann konkrete Fragen hast, dann hilft Dir sicher das Web ...
Und wenn Dir dann immer noch danach ist, kannst Du das ja implementieren und Deinem Exchange Server ein Zertifikat mit der eigenen Zertifizierungsstelle erteilen.
2. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, hängt allein davon ab, ob dein Computer dem Zertifikatersteller vetraut.
In Deinem Fall wird es sich um das selbsterstellte (selbstzertifizierte) Zertifikat des Exchange Servers handeln. Wenn Du willst, dass dieses als vertrauenswürdig anerkannt wird, dann musst Du es als Stammzertifizierungsstellenzertifikat auf jedem Client installieren (verteilen). Das geht z.B. per GPO.
3. Ein Zertifikat kaufen macht bloß Sinn, wenn der Zugriff über das Internet erfolgen soll. Oder aus anderen Partner-Netzen, falls Ihr z.B. direkte Verbindungen mit anderen Firmen habt.
Weil Du selbst schreibst, dass Du da nicht so bewandert bist, empfehle ich Dir den Weg wie unter Punkt 2 beschrieben.
Wenn Du aber dennoch lernen willst, wie sowas funktioniert und Du die Möglichkeit hast, Dir eine autarke (!) Test-Umgebung aufzubauen (z.B. mit VMware), dann baue Dir dort eine Domäne (eigene Gesamtstruktur mit eigenem DNS) und einen Test-Client. Dann installierts Du die im Windows Server mitgelieferte Zertifizierungstelle. Dann lesen, lesen, lesen, testen, spielen, lernen ... Die Onlinehilfe bietet da schon einiges an Infiormationen. Wenn Du dann konkrete Fragen hast, dann hilft Dir sicher das Web ...
Und wenn Dir dann immer noch danach ist, kannst Du das ja implementieren und Deinem Exchange Server ein Zertifikat mit der eigenen Zertifizierungsstelle erteilen.
Hallo,
was ist denn, wenn du den Internet Explorer verwendest?
Im allgemeinen erzeugt sich Exchange bei der Installation selbst ein Zertifikat, dem dann von Domänen-Clients auch vertraut wird.
Damit sind wir auch bei Punkt 2. Ja, es gibt Möglichkeiten Stammzertifizierungsstellen an Domänenclients zu verteilen. Wie genau weiß ich ehrlich gesagt nicht (ich hätte eher an WSUS als GPO gedacht). Aber: Damit wirst du sie nur in den Windows-Zertifikatsspeicher bekommen. Das ist schonmal schön. FireFox zieht den aber m.W. nicht an.
3. Der einzige Vorteil ist, dass die gängige Clientsoftware diesem Zertifikat ohne weiteres vertrauen wird, also keine Warnmeldungen mehr kommen. Sicherer als ein selbsterstelltes ist es nicht: Auch für ein selbsterstelltest solltest du das Schlüsselpaar selbst lokal erstellen, und dann vom Anbieter nur noch signieren lassen (angeblich bieten machen auch den Bezug vom Anbieter ersteller Schlüsselpaare an, das bedeutet aber, dass der Anbieter deinen geheimen Schlüssel kennt).
Gruß
Filipp
was ist denn, wenn du den Internet Explorer verwendest?
Im allgemeinen erzeugt sich Exchange bei der Installation selbst ein Zertifikat, dem dann von Domänen-Clients auch vertraut wird.
Damit sind wir auch bei Punkt 2. Ja, es gibt Möglichkeiten Stammzertifizierungsstellen an Domänenclients zu verteilen. Wie genau weiß ich ehrlich gesagt nicht (ich hätte eher an WSUS als GPO gedacht). Aber: Damit wirst du sie nur in den Windows-Zertifikatsspeicher bekommen. Das ist schonmal schön. FireFox zieht den aber m.W. nicht an.
3. Der einzige Vorteil ist, dass die gängige Clientsoftware diesem Zertifikat ohne weiteres vertrauen wird, also keine Warnmeldungen mehr kommen. Sicherer als ein selbsterstelltes ist es nicht: Auch für ein selbsterstelltest solltest du das Schlüsselpaar selbst lokal erstellen, und dann vom Anbieter nur noch signieren lassen (angeblich bieten machen auch den Bezug vom Anbieter ersteller Schlüsselpaare an, das bedeutet aber, dass der Anbieter deinen geheimen Schlüssel kennt).
Gruß
Filipp