simon-mcp
Goto Top

OWA 2007 SSL Verschlüsselung

Zugriff auf OWA soll nur über eine verschlüsselte Verbindung möglich sein... (Redirect)

Hallo zusammen,

vor kurzem habe ich einen neuen Windows Server 2008 R2 inkl. Exchange Server 2007 aufgesetzt.

Allerdings habe ich nun ein Problem mit der Konfiguration des OWA mit SSL-Verschlüsselung.

Egal was ich auch versuche, ich bekomme es nicht hin die SSL-Verschlüsselung korrekt zum laufen zu bekommen. (Unter W2K3 und Exchange Server 2003 war das kein Problem)

Hat hier jemand vielleicht eine Idee was ich falsch machen könnte?

Der Zugriff über http://domain/owa funktioniert ohne Probleme... Allerdings ist dies von mir nicht gewünscht!
Ich hätte gerne das der Zugriff nur über https://domain/owa möglich ist und das der User trotzdem nur http://domain/owa eintippen muss... Also ein Redirect auf die https... aber das geht nicht?


cu
Crus

Content-ID: 126833

Url: https://administrator.de/forum/owa-2007-ssl-verschluesselung-126833.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

ollembyssan
ollembyssan 10.10.2009 um 09:53:33 Uhr
Goto Top
Hallo Crus,

du musst im IIS-Manager SSL zuerst aktivieren und zwar unter "SSL-Einstellungen" der Site /owa.
Außerdem brauchst du noch die entsprechende Bindung über HTTPS.
Schau mal hier:

OWA Zertifikat unter Server 2008
Simon-MCP
Simon-MCP 10.10.2009 um 11:33:12 Uhr
Goto Top
Hallo ollembyssan,

danke erst mal für den Link.

Aber muss ich die dort genannten Schritte wirklich noch alle ausführen? Da der Zugriff bei mir ja funktioniert wenn ich meine OWA-Seite direkt über https:// besuche. Das Zertifikat wird dann auch abgerufen (Warnhinweiß im IE7), dieses wurde wohl bei der Exchange 2007 - Installation erstellt automatisch erstellt...

Früher bei W2K3 musste man solch eine Zertifizierungsstelle ja erst installieren, aber die Option habe ich bei W2k8 nicht mehr gefunden und da das Zertifikat auch abgerufen wird gehe ich davon aus da so etwas in der Art schon installiert ist?

cu
Crus

EDIT:
O.K die Option doch gefunden... werde dies mal über den Server-Manager Roles installieren und schauen wie weit ich komme... Danke noch mal!
ollembyssan
ollembyssan 10.10.2009 um 11:40:15 Uhr
Goto Top
Hallo Crus,

nach der Installation von E2007 wird ein Zertifikat erstellt, was allerdings selbstsigniert ist, da hast du mit deiner Frage recht!
Ansonsten kannst du die Zertifizierungsstelle bzw. die Zertifikatdienste unter "Rollen hinzufügen" installieren.

Da jetzt der Zugriff über "https" funktioniert, müsstest du meinen Tip befolgt haben, da der Zugriff zuvor doch nicht funktioniert hatte!? Du willst nun auch zusätzlich über "http" zugreifen, was allerdings nicht möglich ist und durchaus NICHT gewünscht, wenn Sicherheit und das ist immer so, Vorrang hat!
Ich empfehle dir allerdings die Zertifikatdienste zu installieren, da du sonst nicht im Besitz einer Zertifizierungsstelle und somit keine Zertifikate erstellen und für deine User veröffentlichen kannst.
Simon-MCP
Simon-MCP 10.10.2009 um 11:54:11 Uhr
Goto Top
Hallo ollembyssan,

der Zugriff auf meine OWA-Seite hat eigentlich immer funktioniert. Über "http://" und "https://". Aber mein Wunsch ist es eigentlich das wenn der User nur "http://" eingibt wie es in den meisten Fällen ist, auf die "https://" Seite umgeleitet wird wegen den von Dir auch erwähnten Sicherheitsbedenken... (Sicherheit hat Vorrang!)

Nichts desto trotz habe ich nun eine Zertifizierungsstelle installiert. Kann ich nun das von der Exchange Server 2007 erstellte Zertifikat damit benutzen oder sollte ich ein komplett neues erstellen?


cu
Crus
ollembyssan
ollembyssan 10.10.2009 um 12:35:16 Uhr
Goto Top
Hallo Crus,

du kannst im IIS unter dem Reiter Default Web Site -> HTTP Umleitung (engl. Redirect) die Site von /owa (https://server.domain.tld/owa) angeben.

So geben z.B. deine User http://server.domain.tld ein und landen auf https://server.domain.tld/owa

Wäre das eine Lösung für dich?


Wegen dem Zertifikat:
Erstelle ein Domänenzertifikat auf den FQDN deines Servers wie im Link angegeben.
Simon-MCP
Simon-MCP 10.10.2009 um 12:44:28 Uhr
Goto Top
Zitat von @ollembyssan:
Hallo Crus,

du kannst im IIS unter dem Reiter Default Web Site -> HTTP
Umleitung (engl. Redirect) die Site von /owa
(https://server.domain.tld/owa) angeben.

So geben z.B. deine User http://server.domain.tld ein und landen auf
https://server.domain.tld/owa

Wäre das eine Lösung für dich?

Hi,

das mit dem Zertifikat habe ich nun soweit geregelt. Habe nun eine eigene Zertifizierungsstelle angelegt + eigenes Zertifikat für den OWA-Zugriff.

Das mit der Umleitung über die Default-WebSite habe ich mir auch schon überlegt, allerdings kann dann ja nicht mehr auf die Default Website zugreifen, da man immer zur HTTPS-OWA Seite umgeleitet wird... Ist also keine wirkliche Lösung für mich.

Ich habe nun versucht über die default.aspx im OWA-Verzeichniss eine Umleitung einzubauen was mir aber leider nicht gelungen ist...

Nun habe ich aber eine andere Lösung gefunden... (Ob das so aber die "feine englische Art" ist bin ich mir nicht sicher ;-D)
Ich habe anstatt der Fehlerseite die angezeigt wird wenn man versucht die OWA-Seite nur über "http://" zu besuchen (403.3) einen weiterführenden Link zur "https://" Seite angegeben...

So funktioniert das ganze nun für mich ;-D


cu
Crus
DerWoWusste
DerWoWusste 10.10.2009 um 12:59:32 Uhr
Goto Top
Hallo.
Darf ich eine ketzerische Frage loswerden? Warum setzt Du ein so wichtiges Produkt wie Exchange auf einem OS ein, das für 2007 nicht supportet ist?
Simon-MCP
Simon-MCP 10.10.2009 um 13:09:16 Uhr
Goto Top
Hallo DerWoWusste,

vielen Dank für dein Interesse.
Selbstverständlich hast du damit absolut recht, aber bei mir handelt es sich hier nur um ein kleines Home-Office und um keine größere Firma oder so.

Deshalb bin ich dieses Risiko eingegangen ;-D
Aber natürlich hast du mit deiner Frage sonst recht!


cu
Crus
ollembyssan
ollembyssan 10.10.2009 um 13:14:04 Uhr
Goto Top
Darf ich eine ketzerische Gegenfrage stellen?

Warum sollte er Exchange 2007 nicht auf Server 2003 64bit einsetzen?

Bitte Thread noch als gelöst markieren,
Danke
Simon-MCP
Simon-MCP 10.10.2009 um 13:20:33 Uhr
Goto Top
Zitat von @ollembyssan:
Darf ich eine ketzerische Gegenfrage stellen?

Warum sollte er Exchange 2007 nicht auf Server 2003 64bit
einsetzen?

Bitte Thread noch als gelöst markieren,
Danke

Weil ich das ganze auf W2K8 R2 einsetze und nicht auf W2K3 ;-D

Und für W2K8 R2 ist erst die kommende Exchange 2010 Version oder so full supportet ;-D

Ich lasse den Thread noch bis heute Abend offen um zu sehen, ob jemand vielleicht noch eine bessere Lösungsmöglichkeit hat!


cu
Crus
Simon-MCP
Simon-MCP 11.10.2009 um 02:18:00 Uhr
Goto Top
Hallo zusammen,

leider habe ich seit der Erstellung meines eigenen Zertifikats nun ein anderes Problem:
Wenn ich an einem meiner Windows-Clients das "Outlook 2007" starte erhalte ich einen Sicherheitshinweis über ein Zertifikat und ob ich den Vorgang fortsetzen möchte...

Klicke ich mit "Ja" auf fortsetzen scheint soweit auch alles zu funktionieren... aber beim nächsten Start von Outlook erscheint die selbe Meldung wieder...

Auch über Zertifikat anzeigen + installieren war es mir nicht möglich diese Meldung weg zu bringen...

Irgendjemand eine Idee dazu?


cu
Crus
ollembyssan
ollembyssan 11.10.2009 um 11:44:36 Uhr
Goto Top
Hallo Crus,

beim Zertifikat anzeigen und installieren, installierst du nur das Zertifikat,
welches von deiner Root CA auf den jew. Server ausgestellt worden ist.

Du musst allerdings das Zertifikat deiner Root CA (!) (bzw. eine Kopie) in den Zertifikatspeicher installieren
und zwar zu den "vertrauenswürdigen Stammzertifizierungsstellen".
Anscheinend hast du den User nicht in der Domäne angemeldet, ansonsten würde ihm dieses Zertifikat
automatisch zugeteilt werden.
Simon-MCP
Simon-MCP 11.10.2009 um 11:59:18 Uhr
Goto Top
vielen Dank für deine Antwort, aber ich bin mit einem Domänen-Benutzer an dem PC angemeldet und ich bekomme die Fehlermeldung trotzdem?

Details der Meldung:
- Das Sicherheitszertifikat stammt von einer vertrauenswürdigen Zertifizierungsstelle --> O.K
- Das Datum des Sicherheitszertifikat ist gültig --> O.K
- Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein --> X

Neustart des Clients und Servers konnte leider Abhilfe schaffen...
OWA-Zugriff funktioniert ohne Probleme... Nur der interne Zugriff funktioniert nun nicht mehr ohne diese Fehlermeldung ;-/
ollembyssan
ollembyssan 11.10.2009 um 12:05:03 Uhr
Goto Top
Ok, da hast du doch deine genaue Fehlerbeschreibung.

- Der Name auf dem Sicherheitszertifikat ist ungültig oder stimmt nicht mit dem Namen der Website überein

Heißt dein Server: "server.domain.local"
so muss das Zertifikat auch auf "server.domain.local" ausgestellt werden.

Rufst du allerdings deinen Server mit "server1.domain.ext" auf,
so muss das Zertifikat auch auf "server1.domain.ext" ausgestellt sein.
Kannst du mir soweit folgen?

Starte bitte einmal "E-Mail Autokonfiguration testen", ohne Guessmart und poste das Ergebnis hier.

Es sieht allerdings so aus, als hättest du das Zertifikat wie die Fehlermeldung schon besagt, auf den falschen Namen ausgestellt.
Simon-MCP
Simon-MCP 11.10.2009 um 12:42:03 Uhr
Goto Top
ich habe das Ergebnis mal als Screenshot hochgeladen: http://www.crus-online.de/problems/Auto_Config_OU2007.jpg

Leider kann man das von der Exchange-Server 2007 erstellte Zertifikat nicht richtig öffnen um anzusehen was genau dort den eingestellt ist...

EDIT:
Bestätige ich die Zertifikatsmeldung mit "Nein" erscheint beim dem Auto Konifigurationstest nur das die Daten nicht ermittelt werden konnten!
ollembyssan
ollembyssan 11.10.2009 um 12:44:31 Uhr
Goto Top
Das Ergebnis ist in Ordnung!

Wie gesagt, es liegt am Zertifikat, welches auf den falschen Namen erstellt worden ist.

Auf welchen Namen ist denn das Zertifikat ausgestellt, wenn du Outlook öffnest und die Fehlermeldung erscheint und/oder bei OWA?
Simon-MCP
Simon-MCP 11.10.2009 um 12:47:45 Uhr
Goto Top
Die Fehlermeldung erscheint nur bei dem internen Zugriff über Outlook.
OWA funktioniert ohne Fehlermeldung.

Was genau muss ich den beim erstellen des Zertifikats eingeben wenn meine Umgebung folgendermaßen aussehen würde:

Intern:
Server: home-server
Domain: test.de
ollembyssan
ollembyssan 11.10.2009 um 12:51:21 Uhr
Goto Top
Zertifikat muss dann auf folgenden CNAME ausgestellt sein:
(zu *.de = intern, sag ich jetzt mal nichts zu face-wink )

home-server.test.de

Schau mal hier:

ee8e496df5b300ca6b3dc4dfe70b23fa-cs_3
Simon-MCP
Simon-MCP 11.10.2009 um 13:04:31 Uhr
Goto Top
argh... entschuldige bitte das ich mich etwas doof anstelle, aber nach der Anleitung (Screenshot) bin ich eigentlich vorgegangen, habe aber nicht bemerkt, das mit s1 = der Name des Servers gemeint ist ;-D

Ich habe es nun so eingetragen und jetzt funktioniert es auch wieder! Vielen Dank schon mal hierfür.

Jetzt habe ich nur noch ein kleines Problem:
Da ich aktuell noch keinen gültigen Domain-Namen besitze realisiere ich meinen OWA-Zugriff über einen DynDNS-Provider.
Das bedeutet das mein Server von außen über eine andere Domain erreichbar ist.

Besuche ich nun wieder meine OWA-Seite erscheint ein Zertifikatsfehler da das Zertifikat für eine andere Seite ausgestellt ist. (was ja nun wieder klar ist)

Kann man irgendwie 2 Zertifikate anlegen? Für den internen Zugriff (wo ich sowieso nicht verstehen kann warum die das mit OU2007 eingeführt haben) und für den externen Zugriff?


cu
Crus

PS: Ist das mit dem *.de wirklich so schlimm ;-D
ollembyssan
ollembyssan 11.10.2009 um 13:12:58 Uhr
Goto Top
Das mit dem Zertifikat hatte ich mir gedacht face-wink

Lies dir folgenden Artikel durch, das ist die Lösung für dein Problem:
http://www.msxfaq.de/produkte/sancert.htm

Gruß,
Ole
Simon-MCP
Simon-MCP 11.10.2009 um 13:19:17 Uhr
Goto Top
Zitat von @ollembyssan:
Das mit dem Zertifikat hatte ich mir gedacht face-wink

Lies dir folgenden Artikel durch, das ist die Lösung für
dein Problem:
http://www.msxfaq.de/produkte/sancert.htm

Gruß,
Ole

Hallo Ole,

vielen, vielen Dank noch mal für deine Mühe.
So etwas ähnliches habe ich auch schon gefunden allerdings mit der Bedingung, dass das Zertifikat auf jedem internen Client einzeln angefordert werden muss...

Ich werde mich bei deinem Link mal durchforsten und schau, ob es damit auch anders funktioniert.


cu
Crus
ollembyssan
ollembyssan 17.10.2009, aktualisiert am 18.10.2012 um 18:39:41 Uhr
Goto Top
Simon-MCP
Simon-MCP 17.10.2009 um 13:17:11 Uhr
Goto Top
*Hiermit möchte ich noch mal ein großes Dankeschön an ollembyssan ausrichten für sein sehr großes Engagement!*