6
Outlook WebAccess ohne Zertifikat Fragen
Hallo,
ich habe kürzlich für unsern Betrieb OWA freigeschaltet.
Wenn ich nun über einen Browser auf "https://mail.domain" gehe,
erscheint ja die Meldung das es sich um keine Vertrauenswürdige Verbindung handelt.
Wenn ich nun die Ausnahme Hinzufüge (Firefox), fügt er ein Zertifikat vom Exchange Server hinzu und alles läuft einwandfrei. (Ich selbst habe zu keiner Zeit auf dem Server ein Zertifikat selbst erstellt.)
Jetzt habe ich aber noch einige Fragen dazu:
1. Ist die Verbindung jetzt wirklich Verschlüsselt oder muss ich da nun noch irgendwelche Zertifikate erstellen? (Hatte mal irgendwo gelesen das über die Zertifikate die Schlüssel für die Verschlüsselung ausgetauscht werden, wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?! Reicht das?)
2. Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist? Mir geht es darum, dass wir viele unerfahrene Benutzer haben, die dann von so einer Meldung schon vor einem Problem stehen.
Ich hätte jetzt z.B gedacht das man das Zertifikat von Exchange über GPO auf alle Rechner installiert. Gibts dazu anleitungen? Kann ich noch mehr tun? Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
3.Das Thema Zertifikate hab ich eh noch nie so 100% verstanden, was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden? Offentsichtlich würden dann nicht mehr die Warnungen im Browser kommen aber ansonsten?
Schöne Grüße & Dankend,
Shnuuu
ich habe kürzlich für unsern Betrieb OWA freigeschaltet.
Wenn ich nun über einen Browser auf "https://mail.domain" gehe,
erscheint ja die Meldung das es sich um keine Vertrauenswürdige Verbindung handelt.
Wenn ich nun die Ausnahme Hinzufüge (Firefox), fügt er ein Zertifikat vom Exchange Server hinzu und alles läuft einwandfrei. (Ich selbst habe zu keiner Zeit auf dem Server ein Zertifikat selbst erstellt.)
Jetzt habe ich aber noch einige Fragen dazu:
1. Ist die Verbindung jetzt wirklich Verschlüsselt oder muss ich da nun noch irgendwelche Zertifikate erstellen? (Hatte mal irgendwo gelesen das über die Zertifikate die Schlüssel für die Verschlüsselung ausgetauscht werden, wiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?! Reicht das?)
2. Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist? Mir geht es darum, dass wir viele unerfahrene Benutzer haben, die dann von so einer Meldung schon vor einem Problem stehen.
Ich hätte jetzt z.B gedacht das man das Zertifikat von Exchange über GPO auf alle Rechner installiert. Gibts dazu anleitungen? Kann ich noch mehr tun? Am schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
3.Das Thema Zertifikate hab ich eh noch nie so 100% verstanden, was für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden? Offentsichtlich würden dann nicht mehr die Warnungen im Browser kommen aber ansonsten?
Schöne Grüße & Dankend,
Shnuuu
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181888
Url: https://administrator.de/contentid/181888
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
6 Kommentare
Neuester Kommentar
Hi.
LG Günther
Ist die Verbindung jetzt wirklich Verschlüsselt
Jawiederum scheint exchange ja ein eigenes Zertifikat erstellt zu haben?!
Nein, das hat der Admin am Exchange erstellt ;)Kann ich irgendwie verhindern das immer diese Meldung auftaucht das das Zertifikat nicht vertrauenswürdig ist?
Ja, indem du das Zertfikat in die vertrauenswürdige Stammzertifizierungsstelle des Clients installierstwas für Vorteile habe ich denn nun wenn wir ein Zertifikat einer Zertifizierungsstelle kaufen würden?
Dass du dir vorigen Punkt ersparstAm schönsten wäre es natürlich das es von allen Rechnern, auch die außerhalb der Domäne, ohne Warnmeldung klappt.
Das geht nur mit einem gekauften ZertifikatLG Günther
1. Ja. HTTPS ist verschlüsselt, ob das zertifikat nun vetrauenswürdig ist oder nicht.
2. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, hängt allein davon ab, ob dein Computer dem Zertifikatersteller vetraut.
In Deinem Fall wird es sich um das selbsterstellte (selbstzertifizierte) Zertifikat des Exchange Servers handeln. Wenn Du willst, dass dieses als vertrauenswürdig anerkannt wird, dann musst Du es als Stammzertifizierungsstellenzertifikat auf jedem Client installieren (verteilen). Das geht z.B. per GPO.
3. Ein Zertifikat kaufen macht bloß Sinn, wenn der Zugriff über das Internet erfolgen soll. Oder aus anderen Partner-Netzen, falls Ihr z.B. direkte Verbindungen mit anderen Firmen habt.
Weil Du selbst schreibst, dass Du da nicht so bewandert bist, empfehle ich Dir den Weg wie unter Punkt 2 beschrieben.
Wenn Du aber dennoch lernen willst, wie sowas funktioniert und Du die Möglichkeit hast, Dir eine autarke (!) Test-Umgebung aufzubauen (z.B. mit VMware), dann baue Dir dort eine Domäne (eigene Gesamtstruktur mit eigenem DNS) und einen Test-Client. Dann installierts Du die im Windows Server mitgelieferte Zertifizierungstelle. Dann lesen, lesen, lesen, testen, spielen, lernen ... Die Onlinehilfe bietet da schon einiges an Infiormationen. Wenn Du dann konkrete Fragen hast, dann hilft Dir sicher das Web ...
Und wenn Dir dann immer noch danach ist, kannst Du das ja implementieren und Deinem Exchange Server ein Zertifikat mit der eigenen Zertifizierungsstelle erteilen.
2. Ob ein Zertifikat als vertrauenswürdig eingestuft wird, hängt allein davon ab, ob dein Computer dem Zertifikatersteller vetraut.
In Deinem Fall wird es sich um das selbsterstellte (selbstzertifizierte) Zertifikat des Exchange Servers handeln. Wenn Du willst, dass dieses als vertrauenswürdig anerkannt wird, dann musst Du es als Stammzertifizierungsstellenzertifikat auf jedem Client installieren (verteilen). Das geht z.B. per GPO.
3. Ein Zertifikat kaufen macht bloß Sinn, wenn der Zugriff über das Internet erfolgen soll. Oder aus anderen Partner-Netzen, falls Ihr z.B. direkte Verbindungen mit anderen Firmen habt.
Weil Du selbst schreibst, dass Du da nicht so bewandert bist, empfehle ich Dir den Weg wie unter Punkt 2 beschrieben.
Wenn Du aber dennoch lernen willst, wie sowas funktioniert und Du die Möglichkeit hast, Dir eine autarke (!) Test-Umgebung aufzubauen (z.B. mit VMware), dann baue Dir dort eine Domäne (eigene Gesamtstruktur mit eigenem DNS) und einen Test-Client. Dann installierts Du die im Windows Server mitgelieferte Zertifizierungstelle. Dann lesen, lesen, lesen, testen, spielen, lernen ... Die Onlinehilfe bietet da schon einiges an Infiormationen. Wenn Du dann konkrete Fragen hast, dann hilft Dir sicher das Web ...
Und wenn Dir dann immer noch danach ist, kannst Du das ja implementieren und Deinem Exchange Server ein Zertifikat mit der eigenen Zertifizierungsstelle erteilen.
Hallo,
was ist denn, wenn du den Internet Explorer verwendest?
Im allgemeinen erzeugt sich Exchange bei der Installation selbst ein Zertifikat, dem dann von Domänen-Clients auch vertraut wird.
Damit sind wir auch bei Punkt 2. Ja, es gibt Möglichkeiten Stammzertifizierungsstellen an Domänenclients zu verteilen. Wie genau weiß ich ehrlich gesagt nicht (ich hätte eher an WSUS als GPO gedacht). Aber: Damit wirst du sie nur in den Windows-Zertifikatsspeicher bekommen. Das ist schonmal schön. FireFox zieht den aber m.W. nicht an.
3. Der einzige Vorteil ist, dass die gängige Clientsoftware diesem Zertifikat ohne weiteres vertrauen wird, also keine Warnmeldungen mehr kommen. Sicherer als ein selbsterstelltes ist es nicht: Auch für ein selbsterstelltest solltest du das Schlüsselpaar selbst lokal erstellen, und dann vom Anbieter nur noch signieren lassen (angeblich bieten machen auch den Bezug vom Anbieter ersteller Schlüsselpaare an, das bedeutet aber, dass der Anbieter deinen geheimen Schlüssel kennt).
Gruß
Filipp
was ist denn, wenn du den Internet Explorer verwendest?
Im allgemeinen erzeugt sich Exchange bei der Installation selbst ein Zertifikat, dem dann von Domänen-Clients auch vertraut wird.
Damit sind wir auch bei Punkt 2. Ja, es gibt Möglichkeiten Stammzertifizierungsstellen an Domänenclients zu verteilen. Wie genau weiß ich ehrlich gesagt nicht (ich hätte eher an WSUS als GPO gedacht). Aber: Damit wirst du sie nur in den Windows-Zertifikatsspeicher bekommen. Das ist schonmal schön. FireFox zieht den aber m.W. nicht an.
3. Der einzige Vorteil ist, dass die gängige Clientsoftware diesem Zertifikat ohne weiteres vertrauen wird, also keine Warnmeldungen mehr kommen. Sicherer als ein selbsterstelltes ist es nicht: Auch für ein selbsterstelltest solltest du das Schlüsselpaar selbst lokal erstellen, und dann vom Anbieter nur noch signieren lassen (angeblich bieten machen auch den Bezug vom Anbieter ersteller Schlüsselpaare an, das bedeutet aber, dass der Anbieter deinen geheimen Schlüssel kennt).
Gruß
Filipp
Alles klar, eure Beiträge haben mir schonmal etwas geholfen.
Ich habe nun Versucht das Zertifikat über GPO nach dieser ( http://technet.microsoft.com/de-de/library/cc772491%28v=ws.10%29.aspx ) Anleitung zu verteilen, aber das ganze will nicht so richtig funktionieren.
Also zunächst habe ich über den IE die OWA Seite aufgerufen und dann das Zertifikat Installiert. Danach habe ich über den IE das Zertifikat Exportiert und bin die Anleitung aus dem Link durchgegangen. (Ich wusste nicht wo ich das Zertifikat auf dem Exchange Finde und bin diesen Umweg gegangen.)
Wenn ich mich nun mit einem Testclient anmelde, kommt aber immer noch die Meldung das das Zertifikat nicht installiert . Was mach ich falsch?
Edit: Ok ich habe wohl den Ursache. Das Zertifikat ist für den Exchange Server ausgestellt. Gehe ich über https://exchange-serv/owa funktioniert es.
Gebe ich aber die Externe URL an https://mail.firma.com erkennt er nicht das das Zertifikat für diese Seite ist. Wie gehe ich nun vor?
Ich habe nun Versucht das Zertifikat über GPO nach dieser ( http://technet.microsoft.com/de-de/library/cc772491%28v=ws.10%29.aspx ) Anleitung zu verteilen, aber das ganze will nicht so richtig funktionieren.
Also zunächst habe ich über den IE die OWA Seite aufgerufen und dann das Zertifikat Installiert. Danach habe ich über den IE das Zertifikat Exportiert und bin die Anleitung aus dem Link durchgegangen. (Ich wusste nicht wo ich das Zertifikat auf dem Exchange Finde und bin diesen Umweg gegangen.)
Wenn ich mich nun mit einem Testclient anmelde, kommt aber immer noch die Meldung das das Zertifikat nicht installiert . Was mach ich falsch?
Edit: Ok ich habe wohl den Ursache. Das Zertifikat ist für den Exchange Server ausgestellt. Gehe ich über https://exchange-serv/owa funktioniert es.
Gebe ich aber die Externe URL an https://mail.firma.com erkennt er nicht das das Zertifikat für diese Seite ist. Wie gehe ich nun vor?
Du musst erstens diese URL auch im OWA auf dem Exchange Server eintragen.
Zweitens musst Du auf dem Exch ein neues Zertifikat generieren, welches beide (!) Namen enthält, den NetBIOS-Namen des Servers als erstes und den FQDN für den OWA als zweiten.
Zweitens musst Du auf dem Exch ein neues Zertifikat generieren, welches beide (!) Namen enthält, den NetBIOS-Namen des Servers als erstes und den FQDN für den OWA als zweiten.
