3
OWA Zertifikat unter Server 2008
HOW TO
- Zertifikat unter Server 2008 mit vorhandener ROOT CA installieren
- OWA Konfiguration am Server und am Client
- SSL Konfiguration
ZERTIFIKAT INSTALLATION
Eine Stammzertifizierungsstelle wurde bereits installiert und hat den Namen "INT ROOT CA"
Ich starte den IIS-Manager, wähle meinen Server (S1) und wechsel im "Bereich IIS" zu "Serverzertifikate".
Hier sehe ich nun meine ROOT CA (INT ROOT CA)
Als erstes wähle ich die Aktion "Domänenzertifikat erstellen"
Hier gebe ich den "CNAMEN" ein, das ist die URL, die später von den Clients aufgerufen wird, um auf OWA zuzugreifen.
Ich wähle hier den FQDN vom Server aus. Man kann natürlich (ist sogar besser) einen "CNAME Alias" erstellen und den dann auswählen, aber das mache ich jetzt nicht, da ich keinen erstellt und den benötigten Registry-Wert auch nicht gesetzt habe.
Als nächstes wähle ich die Onlinezertifizierungsstelle aus, dies ist natürlich meine Interne Zertifizierungsstelle "INT ROOT CA"
Als "Anzeigenamen" nehme ich den CNAME.
Ist der Vorgang abgeschlossen, wird mir das Domänenzertifikat unter meiner ROOT CA angezeigt.
Der weitere Schritt ist sehr wichtig!
Ich wechsle zur "Default Web Site" und wähle die Aktion "Bindungen" aus.
Dort erstelle ich eine neue Sitebindung mit folgenden Werten unter Verwendung meines eben erstellten Domänenzertifikats:
Danach habe ich eine neue Sitebindung, die unter Server 2008 sehr wichtig ist!
CLIENT KONFIGURATION
Nun, da wir für eine Grundkonfiguration am Server die "nötigen" Schritte eingeleitet haben.
Will ich noch zeigen, welche Konfiguration der Client noch benötigt.
Mein Client ist nicht an der Domäne angemeldet, wäre das der Fall, könnte ich das Zertifikat direkt aus dem AD importieren
Ich benutze deswegen hier und jetzt die Webregistrierung.
Dazu öffne ich im IE die URL " https://s1.mydomain.local/certsrv "
(Jetzt seht Ihr warum es so wichtig ist, darauf zu achten, dass bei der Konfiguration des Domänenzertifikats, der "CNAME" richtig angegeben worden ist. Übrigens: da hätte ich auch einen DYNDNS Namen verwenden können, um jetzt auf meinen Server zuzugreifen)
Natürlich lade ich die Seite trotz der Sicherheitswarnung.
Zuerst lade ich das Zertifizierungsstellenzertifikat, um es später zu den "Vertrauenswürdigen Stammzertifizierungsstellen" zu importieren.
Danach lade ich das Benutzerzertifikat, indem ich auf "Zertifikat anfordern" klicke und danach auf Benutzerzertifikat.
Weiter geht es mit dem auswählen von "Weitere Optionen"
Danach auf "Erweiterte Zertifikatsanforderung"
Hier wähle ich die Zertifikatvorlage "Benutzer" aus und klicke abschließend auf "einsenden"
Mein Zertifikat kann ich dann nach der Anforderung installieren!
IMPORT VOM ROOT CA Zertifikat
Vorhin habe ich das Stammzertifizierungsstellen-Zertifikat angefordert und in unter "Eigene Dateien" gespeichert.
Die kann ich nun mit "Doppelklick" auf das gespeicherte Zertifikat, im Speicherort der "Vertrauenswürdigen Stammzertifizierungsstellen" importieren.
ZUSATZ
Im "IIS-Manager" unter der Seite "/OWA", kann ich im Bereich "IIS" die SSL-Einstellungen bearbeiten.
Hier kann ich entscheiden, ob Zertifikate beim aufrufen von "/owa" ignoriert bzw. akzeptiert werden oder erforderlich sind.
Bei "Ignorieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, um die Seite aufzurufen.
Bei "Akzeptieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, würde aber akzeptiert werden.
(Man wird zur Auswahl des Zertifikats aufgefordert)
Bei "Erforderlich", ist es notwendig ein Zertifikat zu besitzen, ohne wird der Zugriff verweigert!
(Hier habe ich leider kein Zertifikat
)
Gruß,
Ole
- Zertifikat unter Server 2008 mit vorhandener ROOT CA installieren
- OWA Konfiguration am Server und am Client
- SSL Konfiguration
ZERTIFIKAT INSTALLATION
Eine Stammzertifizierungsstelle wurde bereits installiert und hat den Namen "INT ROOT CA"
Ich starte den IIS-Manager, wähle meinen Server (S1) und wechsel im "Bereich IIS" zu "Serverzertifikate".
Hier sehe ich nun meine ROOT CA (INT ROOT CA)
Als erstes wähle ich die Aktion "Domänenzertifikat erstellen"
Hier gebe ich den "CNAMEN" ein, das ist die URL, die später von den Clients aufgerufen wird, um auf OWA zuzugreifen.
Ich wähle hier den FQDN vom Server aus. Man kann natürlich (ist sogar besser) einen "CNAME Alias" erstellen und den dann auswählen, aber das mache ich jetzt nicht, da ich keinen erstellt und den benötigten Registry-Wert auch nicht gesetzt habe.
Als nächstes wähle ich die Onlinezertifizierungsstelle aus, dies ist natürlich meine Interne Zertifizierungsstelle "INT ROOT CA"
Als "Anzeigenamen" nehme ich den CNAME.
Ist der Vorgang abgeschlossen, wird mir das Domänenzertifikat unter meiner ROOT CA angezeigt.
Der weitere Schritt ist sehr wichtig!
Ich wechsle zur "Default Web Site" und wähle die Aktion "Bindungen" aus.
Dort erstelle ich eine neue Sitebindung mit folgenden Werten unter Verwendung meines eben erstellten Domänenzertifikats:
Danach habe ich eine neue Sitebindung, die unter Server 2008 sehr wichtig ist!
CLIENT KONFIGURATION
Nun, da wir für eine Grundkonfiguration am Server die "nötigen" Schritte eingeleitet haben.
Will ich noch zeigen, welche Konfiguration der Client noch benötigt.
Mein Client ist nicht an der Domäne angemeldet, wäre das der Fall, könnte ich das Zertifikat direkt aus dem AD importieren
Ich benutze deswegen hier und jetzt die Webregistrierung.
Dazu öffne ich im IE die URL " https://s1.mydomain.local/certsrv "
(Jetzt seht Ihr warum es so wichtig ist, darauf zu achten, dass bei der Konfiguration des Domänenzertifikats, der "CNAME" richtig angegeben worden ist. Übrigens: da hätte ich auch einen DYNDNS Namen verwenden können, um jetzt auf meinen Server zuzugreifen)
Natürlich lade ich die Seite trotz der Sicherheitswarnung.
Zuerst lade ich das Zertifizierungsstellenzertifikat, um es später zu den "Vertrauenswürdigen Stammzertifizierungsstellen" zu importieren.
Danach lade ich das Benutzerzertifikat, indem ich auf "Zertifikat anfordern" klicke und danach auf Benutzerzertifikat.
Weiter geht es mit dem auswählen von "Weitere Optionen"
Danach auf "Erweiterte Zertifikatsanforderung"
Hier wähle ich die Zertifikatvorlage "Benutzer" aus und klicke abschließend auf "einsenden"
Mein Zertifikat kann ich dann nach der Anforderung installieren!
IMPORT VOM ROOT CA Zertifikat
Vorhin habe ich das Stammzertifizierungsstellen-Zertifikat angefordert und in unter "Eigene Dateien" gespeichert.
Die kann ich nun mit "Doppelklick" auf das gespeicherte Zertifikat, im Speicherort der "Vertrauenswürdigen Stammzertifizierungsstellen" importieren.
ZUSATZ
Im "IIS-Manager" unter der Seite "/OWA", kann ich im Bereich "IIS" die SSL-Einstellungen bearbeiten.
Hier kann ich entscheiden, ob Zertifikate beim aufrufen von "/owa" ignoriert bzw. akzeptiert werden oder erforderlich sind.
Bei "Ignorieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, um die Seite aufzurufen.
Bei "Akzeptieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, würde aber akzeptiert werden.
(Man wird zur Auswahl des Zertifikats aufgefordert)
Bei "Erforderlich", ist es notwendig ein Zertifikat zu besitzen, ohne wird der Zugriff verweigert!
(Hier habe ich leider kein Zertifikat
)Gruß,
Ole
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 114693
Url: https://administrator.de/contentid/114693
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
ich wollte ein Zertifikat erstellen und habe mich genau an die Anleitung gehalten.
Allerdings wenn ich im IIS das Domänenzertifikat erstellen möchte und nachdem ich alles eingegeben habe auf "Fertig" drücke. Kommt ein Fenster in dem steht das das zertifikat angefordert wurde, aber noch nicht ausgestellt wurde. Wenn ich dieses Zertifikat dann in der Zertifizierungsstelle ausstelle, taucht es nicht in der Liste beim IIS auf. Nun ist mein Problem also das das Zertifikat nicht im IIS auftaucht und ich es somit nicht bei einer Bindung einstellen kann.
ich wollte ein Zertifikat erstellen und habe mich genau an die Anleitung gehalten.
Allerdings wenn ich im IIS das Domänenzertifikat erstellen möchte und nachdem ich alles eingegeben habe auf "Fertig" drücke. Kommt ein Fenster in dem steht das das zertifikat angefordert wurde, aber noch nicht ausgestellt wurde. Wenn ich dieses Zertifikat dann in der Zertifizierungsstelle ausstelle, taucht es nicht in der Liste beim IIS auf. Nun ist mein Problem also das das Zertifikat nicht im IIS auftaucht und ich es somit nicht bei einer Bindung einstellen kann.
Hallo ollembyssan
Vielen Dank für deine tolle Anleitung.
Kannst du (oder jemand anderes) sagen, wieso ich kein CA ROOT INT habe?
Ich habe nur folgende:
- Servername.Domäne.local
- Domäne-Servername-CA
- Internetadresse (also remote.Internetdomain.ch)
- Servername
- Sites
- Servername.Internetdomain.ch
- Servername.Domäne.local
Irgendwie komisch, nicht wahr.
Ich habe schon alle versucht in den IE zu importieren damit ich ohne Zertifikatfehler ins OWA komme und auch gemäss deiner ANleitung habe ich die Zertifikate importiert. leider ohne Erfolg.
Kann mir jemand einen Tipp geben.
Liebe Grüsse
computermerlae
Vielen Dank für deine tolle Anleitung.
Kannst du (oder jemand anderes) sagen, wieso ich kein CA ROOT INT habe?
Ich habe nur folgende:
- Servername.Domäne.local
- Domäne-Servername-CA
- Internetadresse (also remote.Internetdomain.ch)
- Servername
- Sites
- Servername.Internetdomain.ch
- Servername.Domäne.local
Irgendwie komisch, nicht wahr.
Ich habe schon alle versucht in den IE zu importieren damit ich ohne Zertifikatfehler ins OWA komme und auch gemäss deiner ANleitung habe ich die Zertifikate importiert. leider ohne Erfolg.
Kann mir jemand einen Tipp geben.
Liebe Grüsse
computermerlae
Hallo Computermerlae,
das scheint alles richtig zu sein!
"CA ROOT INT" heißt bei dir "Domäne-Servername-CA".
Beim erstellen einer Stammzertifizierungsstelle, benutzt das System genau diesen Namen => "Domäne-Servername-CA",
den ich allerdings in "CA ROOT INT" umbenannt habe.
Hast du das Stammzertifizierungs-Zertifikat bei dir importiert ?
Um kurz zu erläutern wie das Vertrauen zustande kommt:
"Traut der User der Zertifizierungsstelle (sprich, hat er das Stammzertifzierungs-Zertifikat als vertrauenswürdig eingestuft), traut er auch allen Zertifikaten, welche diese ausstellt oder ausgestellt hat!"
Entweder, du hast nur das ausgestellte Zertifikat importiert aber nicht das der Zertifizierungsstelle. Oder das Stammzertifizierungs-Zertifikat in den falschen "Speicher" geladen
.
Schau doch einmal nach, ob sich das Zertifikat der Zertifizierungsstelle (sprich, "Domäne-Servername-CA") im Zertifikatsspeicher der "vertrauenswürdigen Stammzertifizierungsstellen" befindet!
=> Ausführen => MMC => SNAPIN hinzufügen => Zertifikate => Eigenes Benutzerkonto => Vertrauenswürdige Stammzertifizierungsstellen
Gruß,
Ole
das scheint alles richtig zu sein!
"CA ROOT INT" heißt bei dir "Domäne-Servername-CA".
Beim erstellen einer Stammzertifizierungsstelle, benutzt das System genau diesen Namen => "Domäne-Servername-CA",
den ich allerdings in "CA ROOT INT" umbenannt habe.
Hast du das Stammzertifizierungs-Zertifikat bei dir importiert ?
Um kurz zu erläutern wie das Vertrauen zustande kommt:
"Traut der User der Zertifizierungsstelle (sprich, hat er das Stammzertifzierungs-Zertifikat als vertrauenswürdig eingestuft), traut er auch allen Zertifikaten, welche diese ausstellt oder ausgestellt hat!"
Entweder, du hast nur das ausgestellte Zertifikat importiert aber nicht das der Zertifizierungsstelle. Oder das Stammzertifizierungs-Zertifikat in den falschen "Speicher" geladen
.
Schau doch einmal nach, ob sich das Zertifikat der Zertifizierungsstelle (sprich, "Domäne-Servername-CA") im Zertifikatsspeicher der "vertrauenswürdigen Stammzertifizierungsstellen" befindet!
=> Ausführen => MMC => SNAPIN hinzufügen => Zertifikate => Eigenes Benutzerkonto => Vertrauenswürdige Stammzertifizierungsstellen
Gruß,
Ole
