OWA Zertifikat unter Server 2008

Mitglied: ollembyssan

ollembyssan (Level 2) - Jetzt verbinden

26.04.2009, aktualisiert 27.04.2009, 61747 Aufrufe, 3 Kommentare, 6 Danke

HOW TO
- Zertifikat unter Server 2008 mit vorhandener ROOT CA installieren
- OWA Konfiguration am Server und am Client
- SSL Konfiguration

ZERTIFIKAT INSTALLATION

Eine Stammzertifizierungsstelle wurde bereits installiert und hat den Namen "INT ROOT CA"

Ich starte den IIS-Manager, wähle meinen Server (S1) und wechsel im "Bereich IIS" zu "Serverzertifikate".
a812b90d750e5215d30f0cabf2c6923d-cs_1 - Klicke auf das Bild, um es zu vergrößern

Hier sehe ich nun meine ROOT CA (INT ROOT CA)
7e9ca9c70307c376b0914e0442607440-cs_2 - Klicke auf das Bild, um es zu vergrößern

Als erstes wähle ich die Aktion "Domänenzertifikat erstellen"
Hier gebe ich den "CNAMEN" ein, das ist die URL, die später von den Clients aufgerufen wird, um auf OWA zuzugreifen.
Ich wähle hier den FQDN vom Server aus. Man kann natürlich (ist sogar besser) einen "CNAME Alias" erstellen und den dann auswählen, aber das mache ich jetzt nicht, da ich keinen erstellt und den benötigten Registry-Wert auch nicht gesetzt habe.
ee8e496df5b300ca6b3dc4dfe70b23fa-cs_3 - Klicke auf das Bild, um es zu vergrößern

Als nächstes wähle ich die Onlinezertifizierungsstelle aus, dies ist natürlich meine Interne Zertifizierungsstelle "INT ROOT CA"
Als "Anzeigenamen" nehme ich den CNAME.
4f2b659dd117c84459acacca691d97a0-cs_4 - Klicke auf das Bild, um es zu vergrößern

Ist der Vorgang abgeschlossen, wird mir das Domänenzertifikat unter meiner ROOT CA angezeigt.
8442cb9a430437784801e499d7f6575c-cs_5 - Klicke auf das Bild, um es zu vergrößern

Der weitere Schritt ist sehr wichtig!
Ich wechsle zur "Default Web Site" und wähle die Aktion "Bindungen" aus.
Dort erstelle ich eine neue Sitebindung mit folgenden Werten unter Verwendung meines eben erstellten Domänenzertifikats:
3caf75e7461da649973b27677404ee6b-cs_6 - Klicke auf das Bild, um es zu vergrößern

Danach habe ich eine neue Sitebindung, die unter Server 2008 sehr wichtig ist!
e49d9aae16a1264024791a1a3b4d0c5f-cs_7 - Klicke auf das Bild, um es zu vergrößern

CLIENT KONFIGURATION

Nun, da wir für eine Grundkonfiguration am Server die "nötigen" Schritte eingeleitet haben.
Will ich noch zeigen, welche Konfiguration der Client noch benötigt.
Mein Client ist nicht an der Domäne angemeldet, wäre das der Fall, könnte ich das Zertifikat direkt aus dem AD importieren :-) face-smile
Ich benutze deswegen hier und jetzt die Webregistrierung.

Dazu öffne ich im IE die URL " https://s1.mydomain.local/certsrv "
(Jetzt seht Ihr warum es so wichtig ist, darauf zu achten, dass bei der Konfiguration des Domänenzertifikats, der "CNAME" richtig angegeben worden ist. Übrigens: da hätte ich auch einen DYNDNS Namen verwenden können, um jetzt auf meinen Server zuzugreifen)
992d9c5794a978bac271c68ce1d354e1-cs_8 - Klicke auf das Bild, um es zu vergrößern

Natürlich lade ich die Seite trotz der Sicherheitswarnung.
Zuerst lade ich das Zertifizierungsstellenzertifikat, um es später zu den "Vertrauenswürdigen Stammzertifizierungsstellen" zu importieren.
b6a6e8c0c8a34bf2c7b6ca2617c19345-cs_9 - Klicke auf das Bild, um es zu vergrößern

Danach lade ich das Benutzerzertifikat, indem ich auf "Zertifikat anfordern" klicke und danach auf Benutzerzertifikat.
6845ac1493bffbe0653fc5a8a28cb83b-cs_10 - Klicke auf das Bild, um es zu vergrößern

Weiter geht es mit dem auswählen von "Weitere Optionen"
f04f6f408c90c64013746bc71fa3e073-cs_11 - Klicke auf das Bild, um es zu vergrößern

Danach auf "Erweiterte Zertifikatsanforderung"
a923640407e0269dad2d0824c237c096-cs_12 - Klicke auf das Bild, um es zu vergrößern

Hier wähle ich die Zertifikatvorlage "Benutzer" aus und klicke abschließend auf "einsenden"
Mein Zertifikat kann ich dann nach der Anforderung installieren!
07ee8f252db4dfc9df0c7e29b256689c-cs_13 - Klicke auf das Bild, um es zu vergrößern

IMPORT VOM ROOT CA Zertifikat

Vorhin habe ich das Stammzertifizierungsstellen-Zertifikat angefordert und in unter "Eigene Dateien" gespeichert.
Die kann ich nun mit "Doppelklick" auf das gespeicherte Zertifikat, im Speicherort der "Vertrauenswürdigen Stammzertifizierungsstellen" importieren.
5401724f580e7dd6630e22ae5b427566-cs_14 - Klicke auf das Bild, um es zu vergrößern


ZUSATZ

Im "IIS-Manager" unter der Seite "/OWA", kann ich im Bereich "IIS" die SSL-Einstellungen bearbeiten.
Hier kann ich entscheiden, ob Zertifikate beim aufrufen von "/owa" ignoriert bzw. akzeptiert werden oder erforderlich sind.
19d358cf35a1bc7fc963e89d76d94eb2-cs_15_ssl - Klicke auf das Bild, um es zu vergrößern

Bei "Ignorieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, um die Seite aufzurufen.

Bei "Akzeptieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, würde aber akzeptiert werden.
(Man wird zur Auswahl des Zertifikats aufgefordert)
efeeb16c44c9024bc86bfe6d7bb73e70-cs_akzept - Klicke auf das Bild, um es zu vergrößern

Bei "Erforderlich", ist es notwendig ein Zertifikat zu besitzen, ohne wird der Zugriff verweigert!
(Hier habe ich leider kein Zertifikat :-( face-sad ;-) face-wink )
ff4385422cc77f8014bb9555712c38cf-cs_erford - Klicke auf das Bild, um es zu vergrößern


Gruß,
Ole
Mitglied: tr3bor
12.10.2009 um 12:40 Uhr
Hallo,
ich wollte ein Zertifikat erstellen und habe mich genau an die Anleitung gehalten.
Allerdings wenn ich im IIS das Domänenzertifikat erstellen möchte und nachdem ich alles eingegeben habe auf "Fertig" drücke. Kommt ein Fenster in dem steht das das zertifikat angefordert wurde, aber noch nicht ausgestellt wurde. Wenn ich dieses Zertifikat dann in der Zertifizierungsstelle ausstelle, taucht es nicht in der Liste beim IIS auf. Nun ist mein Problem also das das Zertifikat nicht im IIS auftaucht und ich es somit nicht bei einer Bindung einstellen kann.
Bitte warten ..
Mitglied: computermerlae
11.01.2010 um 11:33 Uhr
Hallo ollembyssan
Vielen Dank für deine tolle Anleitung.
Kannst du (oder jemand anderes) sagen, wieso ich kein CA ROOT INT habe?

Ich habe nur folgende:
- Servername.Domäne.local
- Domäne-Servername-CA
- Internetadresse (also remote.Internetdomain.ch)
- Servername
- Sites
- Servername.Internetdomain.ch
- Servername.Domäne.local

Irgendwie komisch, nicht wahr.
Ich habe schon alle versucht in den IE zu importieren damit ich ohne Zertifikatfehler ins OWA komme und auch gemäss deiner ANleitung habe ich die Zertifikate importiert. leider ohne Erfolg.

Kann mir jemand einen Tipp geben.

Liebe Grüsse
computermerlae
Bitte warten ..
Mitglied: ollembyssan
12.01.2010 um 18:58 Uhr
Hallo Computermerlae,

das scheint alles richtig zu sein!

"CA ROOT INT" heißt bei dir "Domäne-Servername-CA".
Beim erstellen einer Stammzertifizierungsstelle, benutzt das System genau diesen Namen => "Domäne-Servername-CA",
den ich allerdings in "CA ROOT INT" umbenannt habe.

Hast du das Stammzertifizierungs-Zertifikat bei dir importiert ?

Um kurz zu erläutern wie das Vertrauen zustande kommt:
"Traut der User der Zertifizierungsstelle (sprich, hat er das Stammzertifzierungs-Zertifikat als vertrauenswürdig eingestuft), traut er auch allen Zertifikaten, welche diese ausstellt oder ausgestellt hat!"

Entweder, du hast nur das ausgestellte Zertifikat importiert aber nicht das der Zertifizierungsstelle. Oder das Stammzertifizierungs-Zertifikat in den falschen "Speicher" geladen
.
Schau doch einmal nach, ob sich das Zertifikat der Zertifizierungsstelle (sprich, "Domäne-Servername-CA") im Zertifikatsspeicher der "vertrauenswürdigen Stammzertifizierungsstellen" befindet!
=> Ausführen => MMC => SNAPIN hinzufügen => Zertifikate => Eigenes Benutzerkonto => Vertrauenswürdige Stammzertifizierungsstellen

Gruß,
Ole
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkprotokolle
DHCP-Server vom ausgeschalteten PC?
pow3rlock3Vor 1 TagFrageNetzwerkprotokolle48 Kommentare

Guten Tag in die Runde, kurz zu mir: IT-Administrator und seit über 20 Jahren im PC-Bereich unterwegs. habe zu Hause jetzt ein Problem: grober ...

LAN, WAN, Wireless
Fritzbox mit Switch verbinden und Vlan einrichten
Forrest57Vor 1 TagFrageLAN, WAN, Wireless35 Kommentare

Hallo zusammen. Möchte meine Geräte über VLAN trennen. Anhand der Zeichung sieht man wie das Netz aufgebaut sein soll es ist ein 24 Port ...

Firewall
PfSense direkt an Glasfasermodem der Telekom über PPPoE
snah0815Vor 1 TagFrageFirewall24 Kommentare

Hallo Zusammen, nachdem ich die pfSense nun eine Zeit lang in einer Kaskade mit einer Fritzbox 7590 betrieben habe, möchte ich nun gerne die ...

Netzwerkmanagement
TIA568A oder B - Leistungsunterschiede oder egal?
gelöst alboshiroVor 1 TagFrageNetzwerkmanagement15 Kommentare

Hallo Zusammen, ich bin aktuell im Hausbau und habe in jedem Zimmer ein RJ45 CAT7 Ethernetkabel für jeden Raum verlegt. Jetzt müsste ich die ...

Internet
Kein Internet nach Windows 2019 Server Installation
gelöst ZygmundVor 16 StundenFrageInternet24 Kommentare

Computer : HP ProLiant DL580 Gen7 , 4x CPU , 16 GB ECC Ram, 1 TB SAS Installation von - Windows 8 Server - ...

LAN, WAN, Wireless
WLAN-ACCESSPOINT welche soll ich mir kaufen?
samet22Vor 1 TagFrageLAN, WAN, Wireless11 Kommentare

Hallo :) Ich halte mich kurz: Ich möchte mir neue WLAN-Accesspoints für die Firma kaufen da die jetzigen fast 7 Jahre alt sind und ...

Webentwicklung
Wo legt Joomla den Content im Verzeichnis ab ?
MachelloVor 1 TagFrageWebentwicklung17 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Ich benötige Daten aus einer alten Joomla Webseite. Von dieser Webseite habe ich nur das komplette Verzeichnis vom ...

Monitoring
PC Monitoring Software?
TRON06Vor 1 TagFrageMonitoring9 Kommentare

Gibt es eine Monitoring Software (ähnlich wie HWiNFO) mit der man mehrere Computer überwachen kann (CPU auslastung, Festplatte, Temperatur Sensoren) und wo die Daten ...