ollembyssan
Goto Top

OWA und Zertifikate - Server 2003 und Exchange 2007

HOW TO
- Erstellen von einer Stammzertifizierungstelle
- Erstellen von einem Zertifikat
- Einrichten von OWA am Server und Client
- OWA mit Hilfe von DYNDNS

Erstellen der Zertifikatdienste und der Stammzertifizierungstelle (ROOT CA)

Zuerst installieren wir die Zertifikatdienste unter Software.
493578af637ccbcaaba8ebfd88a06e8a-cs_1

Nun installieren wir eine Stammzertifizierungstelle, da dies die Erstinstallation ist.
7744cc2dad343d91fbfd09e3c1072211-cs_2

Dann muss der Kryptografiedienstanbieter, ein Hashalgorithmus und die Einstellungen für das Schlüsselpaar ausgewählt werden.
(Ich übernehme hier die vorgegebenen Werte)

Danach werden wir nach dem Allgemeinen Namen für die Zertifizierungstelle gefragt, dort habe ich wie im "HOWTO zu Server 2008" den Namen "Interne Zertifizierungstelle" gewählt. Zudem kann man auch die Gültigkeitsdauer festlegen. Der vorgegebene Wert von 5 Jahren reicht allerdings zunächst einmal aus.
d7cc2fdc1d059e5c5a39c19b73dad1ab-cs_4

Im nächsten Schritt können wir den Speicherort der Zertifikatdatenbank und -Protokoll bestimmen und uns bis zum Fertigstellen der Installation klicken.


Erstellen vom Zertifikat

Im IIS-Manager unter Standardwebsite - Eigenschaften, klicken wir auf Serverzertifikat und erstellen mit Hilfe vom Assistent das erste Zertifikat.
1243b5de7bce70cae7f2f95ba3be2bbd-ca_1
bb35fa69829969cedb6f996ecd1f49d3-ca_2


Wir entscheiden uns dafür, die Anforderung sofort an eine Onlinezertifizierungstelle zu senden.
b8421e0b04a95ac6bf0b66c26b9e2b44-ca_3

Danach geben wir den Namen für das Zertifikat ein und können auch die Bitlänge des Schlüssels bestimmen.
3d7ed9d9514fcc507c9888d0c2c2d83e-ca_4

Als nächstes werden wir nach der Organisation und der Organisationseinheit gefragt.

Hier geben wir den CNAME ein:
ACHTUNG: In diesem Beispiel gebe ich den Namen vom Dyndns an, da ich später von extern auf diese Seite zugreifen will, um OWA zu nutzen.
e355f312fbb59005ced9a68e4f5d9653-ca_7

Falls die Seite NUR im Intranet genutzt werden soll, kann man hier den CNAME vom Server angeben.
Der CNAME muss allerdings im DNS-Server eingetragen werden:
(hier würde der CNAME "owa.myescp.local" heißen)
442fe56ffc582d73400e6b1291efcf14-dns_cname_alias


Danach wird noch nach dem SSL Port für die Webseite gefragt. Es gibt keinen Grund den Port von 443 zu ändern.
Am Ende wird das Ganze noch einmal angezeigt und wir können die Zertifikatsanforderung senden.

Damit man den CNAME auch aufrufen und verwenden kann, bedarf es noch einer Bearbeitung der Registry:
Unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache" muss ein "REG_MULTI_SZ - Wert" mit dem Namen "AlternateComputerNames" erstellt werden.
Dort schreiben wir den CNAME (hier: owa.mydomain.local) hinein.
Nach dem Neustart vom "Anmeldedienst" kann man den CNAME anstatt dem Servername im IE aufrufen.
52b935b639321dcb6190c109005fdf7e-registry_cname


Achtung
Überprüfe bitte, ob die "Standardauthentifizierung" von OWA im IIS-Manager aktiviert und der "Anonyme Zugriff" deaktiviert ist!
Überprüfe bitte auch, ob "SSL" von OWA im IIS-Manager unter Verzeichnissicherheit \ Sichere Kommunikation aktiviert ist!


Weitere Konfiguration In der EMC (Exchange Management Console) von Exchange 2007

Unter "Serverkonfiguration - Clientzugriff - Outlook Web Access" öffnet man die owa (Standardwebsite) und kann die "Interne URL" und "Externe URL" angeben.
Interne URL: z.B. servername.mydomain.local/owa ( oder unter Verwendung eines CNAME: cname.mydomain.local/owa )
Externe URL: z.B. firma.dyndns.org/owa
52009aa4ba0dd3e75a2ad173247a9d4c-owa_exchange_ex_in
( ich verwende hier für die "Interne URL" den CNAME "owa", sprich "owa.mydomain.local/owa" )


Zertifikat Anforderung am Client (Webregistrierung)

Jetzt muss natürlich auch noch am Client etwas "Arbeit" geleistet werden face-wink

Zunächst will ich das Benutzer-Zertifikat von der ROOT CA (Stammzertifizierungsstelle) anfordern.
Im IE rufe ich nun die Interne URL " https://owa.mydomain.local/certsrv " auf ( falls von extern, dann: " https://firma.dyndns.org/certsrv " )
Zunächst muss ich mich authentifizieren, danach kann ich ein "Zertifikat anfordern"
77593d2a8740aa284a0b823b6313bd86-client_1

Jetzt wähle ich "Benutzerzertifikat" aus.
214c345c507a2cb913ac6c4b23341204-client_2

Dann auf "Weitere Optionen"
2988697c8a8169457e50cd72d23ed73a-client_3

Hier klicke ich auf "Erweiterte Zertifikatanforderung", da ich noch entscheiden will, was für eine Zertifikatvorlage ich installieren möchte.
5553efa8befd62acdc129f53265e335f-client_4

Danach wähle ich nur noch die Zertifikatvorlage "Benutzer" aus und klicke auf "einsenden", um das Zertifikat im abschließenden Schritt zu installieren.
972da83b7f55fffc71c490f49bd904bc-client_5


Import der "Vertrauenswürdigen Stammzertifizierungsstelle"

Jetzt muss ich dem IE natürlich noch sagen, dass meine "Interne Stammzertifizierungsstelle" auch vertrauenswürdig ist, denn sonst blickt der das nicht face-wink
Ich rufe wiederholt (kann man auch in einem Arbeitsgang machen) " https://owa.mydomain.local/certsrv " auf und wähle diesmal "Download eines Zertifizierungsstellenzertifikats"

Hier wird mir das Zertifizierungsstellenzertifikat angezeigt, welches ich herunterladen kann.
2e36a71483fbe0c5136cbc4c0f5abbe0-client_7

Das zuvor heruntergeladene "Zertifizierungsstellenzertifikat" muss ich nun noch importieren.
Dazu öffne ich die Eigenschaften des IE und wechsel zum Reiter "Inhalte"
Dort klicke ich auf "Zertifikate" und wechsel im sich öffnenden Fenster zum Reiter "Vertrauenswürdige Stammzertifizierungsstellen".
2ead1ace8ef010b51d4e4bffb60a7582-client_8

Hier klicke ich auf "Importieren", wähle das zuvor gespeicherte Stammzertifizierungszertifikat aus und importiere dieses zu den "Vertrauenswürdige Stammzertifizierungsstellen".
3fd8607ba71b6f4be04934ac3fe69481-client_9


Ich hoffe das HOWTO ist einigermaßen verständlich, ich habe es so ausgerichtet, dass ich es auch verstehen würde, wenn ich nicht wüsste wie es geht face-smile

Gruß,
Ole

Content-Key: 114661

Url: https://administrator.de/contentid/114661

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Indy06
Indy06 11.05.2009 um 20:55:06 Uhr
Goto Top
Hallo Ole!

Gute Anleitung, vielen Dank! Ich würde gerne wissen, was der Unterschied ist, zwischen der Installation der Zertifizierungsdienste mit anschließender Erstellung eines Zertifikats und dem Tool selfssl.exe aus dem IIS 6.0 Resource Kit! Wenn ich das richtig verstehe, erstellt man in beiden Fällen ein selbstsigniertes Zertifikat, spart sich mit selfssl.exe aber den Aufwand zusätzliche Dienste einzurichten. Gibt es andere Vor- bzw. Nachteile?

Gruß,
Indy06
Mitglied: ollembyssan
ollembyssan 12.05.2009 um 15:18:46 Uhr
Goto Top
Hallo Indy06,

mit SelfSSL hat man zwar ein Zertifikat, welches die SSL Verschlüsselung der Daten garantiert,
Dies aber ohne Stamm CA.
Es wird dadurch allerdings nicht garantiert, dass du dich auf dem "richtigen" Webserver befindest.

Gruß,
Ole
Mitglied: Indy06
Indy06 12.05.2009 um 16:08:31 Uhr
Goto Top
Zitat von @ollembyssan:
mit SelfSSL hat man zwar ein Zertifikat, welches die SSL
Verschlüsselung der Daten garantiert,
Dies aber ohne Stamm CA.
Es wird dadurch allerdings nicht garantiert, dass du dich auf dem
"richtigen" Webserver befindest.

Hm, ich habe es also noch immer nicht verstanden. Ich dachte bisher, dass man erst mit einem Zertifikat von einer vertrauenswürdigen certificate authority (CA wie VeriSign) vor Man-in-the-middle-Attacken geschützt ist (ohne das ich wüste warum und wie genau das gewährleistet wird). Ich kann wohl durch die Installation der Zertifizierungsdienste unter Windows Server eine eigene CA einrichten, aber vertrauenswürdig wird die dadurch doch noch lange nicht, oder? Kannst Du bitte noch eine Spur genauer auf den Unterschied zwischen CA und selfssl.exe eingehen!

Vielen Dank,
Indy06

Gruß,
Ole
Mitglied: ollembyssan
ollembyssan 12.05.2009 um 18:18:57 Uhr
Goto Top
Hallo Indy06,

die Root CA garantiert dir, dass du dich auf dem richtigen Server befindest.
Es kommt beim Aufruf allerdings der Hinweis, dass es sich um eine nicht vertrauenswürdigen Root CA handelt.
Dieses Zertifikat kannst du den "Vertrauenswürdigen Stammzertifizierungsstellen" hinzufügen.
Kommt später dann doch mal eine Rückfrage, dann hat jemand ein neues Zertifikat auf dem gleichen Server oder auf einem anderen Server installiert. Das sollte einen sofort alarmieren...

Der Einsatz von SelfSSL garantiert primär nur die Verschlüsselung, ohne offizielles Zertifikat oder eigene Zertifikatsstelle, sodass SSL überhaupt genutzt werden kann.
Mitglied: Adamantium
Adamantium 17.07.2009 um 06:37:08 Uhr
Goto Top
Servus ollembyssan,

tolle Anleitung nur leider habe ich ein Problem beim Installieren der Stammzertifizierungstelle.

Mein System

HP Proliant ML 350 G5
Intel Xeon E5430 2.66Ghz
3,5 GB Ram

Windows SBS 2003 R2 SP 2
Exchange 2003

Wenn ich die Stammzertifizierungstelle installieren will verlangt mein Server erst die SP 2 CD da er eine datei certsrv. benötigt.
Leider habe ich diese CD nicht das ist bei mir schon alles auf den Install Discs vom Server.

Dann habe ich mir das SP 2 geladen und die datei von da Rausgeholt und ihm eingespielt.
Doch danach verlangt er immer mehr datein von anderen CD´s und von meinen Originalen akzeptiert er keine.

Kann mir bitte wer helfen bin am verzweifeln.
Sollten noch mehr Infos zum System benötig werden bitte um kurze Nachricht.

Recht herzlichen dank schon mal im Vorraus.
Mitglied: Scottbull
Scottbull 22.07.2009 um 15:44:55 Uhr
Goto Top
Hallo,

leider stehe ich vor genau dem gleichen Problem wie Adamantium.
Nur das ich ein anderes System habe.

Eine Antwort wäre super.

Danke und Grüße

UPDATE: Ich habe nun die richtige CD gefunden und konnte es endlich installieren.
Schau am besten nochmal alle CDs durch die mitgeliefert wurden. Die Dateien befinden sich auf der Install. CD vom System.

Grüße
Scottbull
Mitglied: Dinkelmeister
Dinkelmeister 11.08.2009 um 09:05:18 Uhr
Goto Top
Hallo und erstmal vielen Dank für diese Anleitung. Ich hab noch ne Frage. Wenn ich ein Root Zertifikat für meinen Exchange für EAS ausstellen möchte, muss ich dann diese Zertifizierungsstelle auf dem Exchange installieren oder auf dem DC?
Mitglied: ollembyssan
ollembyssan 11.08.2009 um 09:26:58 Uhr
Goto Top
Hallo Dinkelmeister,

installiere die Root Zertifizierungsstelle auf dem DC, ich denke du willst eine Enterprise CA verwenden und die benötigt nun mal ein AD.

Gruß,

Ole
Mitglied: Dinkelmeister
Dinkelmeister 11.08.2009 um 11:05:58 Uhr
Goto Top
Ah ok. Also soweit hab ich das schon gemacht. Aber auf die Seite vom Zertifikatsdienst komme ich nicht. Mal eine Grundlegen Frage. Gegeben ist:
- DC-Server (MsSvr2003 Std. mit Zertifikatsstelle und IIS)
- MSX2007-Server (auf MsSvr2003 Std.)

1. MSX2007 wurde neu installiert und hat ein eigenes Zertifikat erstellt welches 1 Jahr gültig ist. Kann ich auf dem Webserver vom MSX2007 deshalbt nicht ein neues zertifikat anforden sondern nur verlängern? Muss ich demnach zuerst das zertifikat löschen? Was passiert dann im Produktiven Bebtrieb während dieser Zeit mit den Outlook2007 Clients?

2. Ich komme nicht auf die Website der Zertifizierungsstelle. Müsste aber mit folgender Adresse draufkommen: https://DC-Server/certsrv/ Ist das richtig oder lieg ich hier falsch?
Mitglied: ollembyssan
ollembyssan 14.08.2009 um 10:19:50 Uhr
Goto Top
1. Löschen
2. Neu anfordern
3. Daten angeben
4. Ganz wichtig, bei "Erweiterte Zertifikatsanforderung" -> Name = entspricht der Adresse, auf welche später über das Internet auf den Exchange Server zugegriffen wird !
.
.
.

Hier wird die Vorgehensweise in deinem Fall genau beschrieben:

http://books.google.de/books?id=INsKK5DK6gYC&pg=PA553&lpg=PA553 ...

Gruß,

Ole
Mitglied: Dinkelmeister
Dinkelmeister 14.08.2009 um 17:50:16 Uhr
Goto Top
Hi Ole

Also vielen Dank schon mal für deine Hilfe. Ich habs jetzt soweit dass ActiveSync geht. Dafür stimmt das interne Zertifikat nicht mehr. Welchen Service nutzt Outlook2007 für die Verbindung zum Exchange? Weisst du das?
Mitglied: ollembyssan
ollembyssan 14.08.2009 um 18:53:38 Uhr
Goto Top
Das interne Zertifikat zeigt dir einen Fehler an, bzw. die Ungültigkeit der Adresse, richtig?
Ist doch irgendwo klar, weil dein Zertifikat auf die Adresse ausgestellt ist, worauf die User von extern bzw. über das Internet auf OWA zugreifen, oder? face-wink

Was meinst du genau mit Service?
Bitte weitere Fragen per PM!
Danke

Gruß,

Ole
Mitglied: Adamantium
Adamantium 15.08.2009 um 11:44:36 Uhr
Goto Top
Servus Scottbull,

ich habe schon alle CD´s durch und nirgends sind die benötigten Files Drauf!
Oder zumindest findet der Installdienst sie nicht.

Mit welcher CD hats bei dir geklappt?

Bin für jede Info Dankbar.

Vielen Dank
MFG Adamantium
Mitglied: Dinkelmeister
Dinkelmeister 21.08.2009 um 15:36:52 Uhr
Goto Top
Hi Ole

Herzlichen Dank für deine Bemühung. Ich hab jetzt in einer Virtuellen Maschine einen Server aufgesetzt, komplett getrennt vom restlichen Netzwerk mit einer neuen Domäne usw. Dann die Zertifizierungsstelle installiert und bin danach nach einer Anleitung mit Powershell Schritt für Schritt vorgegangen. Jetzt läuft alles. Also nochmals herzlichen Dank!

Beste Grüsse,
Dinkelmeister
Mitglied: cyprian
cyprian 19.04.2010 um 13:15:53 Uhr
Goto Top
Hallo,

kurze Frage zum SSL Zertifikat.
Wenn ich über extern auf meinen lokalen Exchange Server 2003 zugreifen möchte, wie muss der CN Name heißen?

mail.meinedomain.de

oder

mail.ath.cx? (Dyndns)

Hintergrund:

Domain bei DomainFactory
meinedomain.de

Ich habe eine Subdomain erstellt:

mail.meinedomain.de --> diese wird auf https://mail.ath.cx/exchange weitergeleitet

*Namen wurde geändert!

Der Exchange Server 2003 läuft, bis auf die Warnungen:

"Es besteht ein Problem mit dem Sicherheitszertifikat der Website.


Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).
Weitere Informationen


Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).
Geben Sie keine persönlichen Informationen auf der Website an, wenn Sie diesen Fehler ignorieren und den Vorgang fortsetzen.

Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe"

P.S.
Ich möchte mir nämlich ein SSL Zertifikat kaufen und will keinen Fehler machen...


LG aus Berlin,
cyprian
Mitglied: Dinkelmeister
Dinkelmeister 19.04.2010 um 13:46:17 Uhr
Goto Top
hi cyprian
der name muss der selbe sein der auch in deiner adressleiste angezeigt wird. in deinem fall würde ich jetzt sagen mail.ath.cx. aber du kannst auch beide namen ins zertifikat integrieren.
gruss dinkelmeister
Mitglied: cyprian
cyprian 19.04.2010 um 13:57:21 Uhr
Goto Top
danke für die schnelle antwort.
gerade ist mir folgendes aufgefallen.

Wenn ich im IE http://www.mail.meinedomain.de/ aufrufen will, klappt die weiterleitung nicht!
Es müsste ja kommen: https://mail.ath.cx/exchange --> die Anmeldemaske vom OWA kommt nicht.

Im Firefox klappt die Weiterleitung...die Anmeldemaske vom OWA wird geladen
In der Adressleiste steht aber http://www.mail.meinedomain.de/

unten links im Browser steht: warten auf https://mail.ath.cx/exchange...

was ist nun richtig?
Mitglied: cyprian
cyprian 19.04.2010 um 13:59:24 Uhr
Goto Top
Zitat von @Dinkelmeister:
hi cyprian
der name muss der selbe sein der auch in deiner adressleiste angezeigt wird. in deinem fall würde ich jetzt sagen
mail.ath.cx. aber du kannst auch beide namen ins zertifikat integrieren.
gruss dinkelmeister

wo kann ich denn beide namen integrieren?
Mitglied: Dinkelmeister
Dinkelmeister 19.04.2010 um 14:12:08 Uhr
Goto Top
wenn du die cert anfrage erstellst. kenne aber exchange 2003 nicht wirklich. nur 2007. kann dir deshalb nichts genaueres sagen.