8
Outlook Anywhere Zertifikat
Hallo,
ich bin gerade etwas am ausprobieren und habe einen Windows Server 2008 R2 mit Exchange 2010 SP1 installiert (ein einziger virtualisierter Server als DC und Exchange Server, ist ja nur zum testen).
Ich hatte ein paar Probleme mit Outlook Anywhere also sozusagen RPC over HTTPS für Anbindung zum Exchange Server. Inzwischen funktioniert es, aber ich würde gerne erfahren ob das wirklich so notwendig war und ob das auch so stimmt.
Die Verbindung bei Outlook zu Exchange von einem entfernten PC (also nicht in Domäne und auch kein VPN) hat nicht funktioniert, da anscheinend das Zertifikat nicht mit dem Namen übereingestimmt hat.
Standardmäßig stellt der Exchange Server ein Zertifikat aus VON "meinServerName" für "meinServerName". Allerdings ist ja die externe Adresse für OWA bzw. RPC eine öffentliche Adresse also "exchange.meineDomain.de".
=> Dieses Zertifikat bringt mir für den externen Outlook Anywhere Gebrauch nichts und ich werde somit auch keine Verbindung ohne VPN von einem entfernten Ort bekommen (Outlook Web Access mal außgenommen. Das hat zwar geklappt, es kam allerdings dennoch die Meldung, dass das Zertifikat nicht vertrauenswürdig ist). Stimmt das so?
Nun ja, ich hab dann also in der Exchange Konsole eine Zertifikat Anforderung gestartet. Dort habe ich für mehrere DNS Namen reingepackt, also für alle Anwendungen die ich brauche wie intern/extern OWA, Web Access, ActiveSync. Das Zertifikat bzw. die Anforderung enthält also nun gemischt interne und externe Adressnanmen (also meinServerName und exchange.meineDomain.de).
=> Sollte man das so machen?
Da ich noch keine CA hatte, habe ich auf dem selben Server eine Zertifizierungsstelle installiert.
=> Auf welchen Server sollte man in der Praxis die CA installieren? Auf dem DC, auf dem Exchange Server oder ganz wo anders?
Die Zertifikat Anforderung habe ich nun der CA gegeben und ein Zertifikat bekommen. Dieses Zertifikat auch beim Exchange eingespielt und die Dienste an das Zertifikat geknüpft. Soweit alles OK.
Outlook Anywhere hat jetzt aber nur unter folgender Bedingung funktioniert: Ich musste manuell das Zertifikat für Exchange und das CA Zertifikat einzeln an meinem PC importieren. Von der einen Seite verstehe ich es, da es ja selbst signiert ist. Aber Outlook hat mir nur das Exchange Zertifikat übermittelt und nicht das Zertifikat von der CA.
=> Ist das wirklich notwendig, dass ich es manuell importieren muss? Kann ich das Exchange Zertifikat nicht sozusagen als Kette angeben, also ein Zertifikat der die CA auch enthält? Es wäre nämlich recht nervig, dass ich von jedem Rechner erstmal die Zertifikate herbekommen muss und diese importiere.
Wie gesagt, nach dem Import geht alles. Es wird nun RPC über HTTPS genutzt, allerdings ist dort zwar SSL aktiviert aber "Standardauthentifizierung" eingestellt.
=> Werden die Passwörter dennoch verschlüsselt übermittelt oder sollte man das auf etwas anderes umstellen?
Stimmt die Vorgehensweise soweit, damit man Exchange auch extern nutzen kann (also über Outlook)?
Wäre erfreut über Ratschläge und Anregungen.
Vielen Dank
Gruß
vBurak
ich bin gerade etwas am ausprobieren und habe einen Windows Server 2008 R2 mit Exchange 2010 SP1 installiert (ein einziger virtualisierter Server als DC und Exchange Server, ist ja nur zum testen).
Ich hatte ein paar Probleme mit Outlook Anywhere also sozusagen RPC over HTTPS für Anbindung zum Exchange Server. Inzwischen funktioniert es, aber ich würde gerne erfahren ob das wirklich so notwendig war und ob das auch so stimmt.
Die Verbindung bei Outlook zu Exchange von einem entfernten PC (also nicht in Domäne und auch kein VPN) hat nicht funktioniert, da anscheinend das Zertifikat nicht mit dem Namen übereingestimmt hat.
Standardmäßig stellt der Exchange Server ein Zertifikat aus VON "meinServerName" für "meinServerName". Allerdings ist ja die externe Adresse für OWA bzw. RPC eine öffentliche Adresse also "exchange.meineDomain.de".
=> Dieses Zertifikat bringt mir für den externen Outlook Anywhere Gebrauch nichts und ich werde somit auch keine Verbindung ohne VPN von einem entfernten Ort bekommen (Outlook Web Access mal außgenommen. Das hat zwar geklappt, es kam allerdings dennoch die Meldung, dass das Zertifikat nicht vertrauenswürdig ist). Stimmt das so?
Nun ja, ich hab dann also in der Exchange Konsole eine Zertifikat Anforderung gestartet. Dort habe ich für mehrere DNS Namen reingepackt, also für alle Anwendungen die ich brauche wie intern/extern OWA, Web Access, ActiveSync. Das Zertifikat bzw. die Anforderung enthält also nun gemischt interne und externe Adressnanmen (also meinServerName und exchange.meineDomain.de).
=> Sollte man das so machen?
Da ich noch keine CA hatte, habe ich auf dem selben Server eine Zertifizierungsstelle installiert.
=> Auf welchen Server sollte man in der Praxis die CA installieren? Auf dem DC, auf dem Exchange Server oder ganz wo anders?
Die Zertifikat Anforderung habe ich nun der CA gegeben und ein Zertifikat bekommen. Dieses Zertifikat auch beim Exchange eingespielt und die Dienste an das Zertifikat geknüpft. Soweit alles OK.
Outlook Anywhere hat jetzt aber nur unter folgender Bedingung funktioniert: Ich musste manuell das Zertifikat für Exchange und das CA Zertifikat einzeln an meinem PC importieren. Von der einen Seite verstehe ich es, da es ja selbst signiert ist. Aber Outlook hat mir nur das Exchange Zertifikat übermittelt und nicht das Zertifikat von der CA.
=> Ist das wirklich notwendig, dass ich es manuell importieren muss? Kann ich das Exchange Zertifikat nicht sozusagen als Kette angeben, also ein Zertifikat der die CA auch enthält? Es wäre nämlich recht nervig, dass ich von jedem Rechner erstmal die Zertifikate herbekommen muss und diese importiere.
Wie gesagt, nach dem Import geht alles. Es wird nun RPC über HTTPS genutzt, allerdings ist dort zwar SSL aktiviert aber "Standardauthentifizierung" eingestellt.
=> Werden die Passwörter dennoch verschlüsselt übermittelt oder sollte man das auf etwas anderes umstellen?
Stimmt die Vorgehensweise soweit, damit man Exchange auch extern nutzen kann (also über Outlook)?
Wäre erfreut über Ratschläge und Anregungen.
Vielen Dank
Gruß
vBurak
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201876
Url: https://administrator.de/contentid/201876
Printed on: April 23, 2024 at 16:04 o'clock
8 Comments
Latest comment
Hallo,
danke für die Antwort. Die beiden Seiten habe ich mir auch angeguckt. Die Zertifikatanforderung habe ich allerdings über das Webtool durchgeführt, was aber auch geklappt hat.
Ich wollte aber nochmal sicher stellen ob das wirklich soweit in Ordnung war, wie ich vorgegangen bin. Und vllt. auf eine Antwort hoffen auf die andere Fragen, die jetzt nicht schon auf den Seiten beantwortet wird.
Außerdem: Gibt es noch eine andere Alternative ein Zertifikat zu erstellen ohne eine CA zu installieren? Unter Linux gibt es ja das praktische Tool openssl. Für IIS6 gab es doch auch das SelfSSL. Exchange generiert von selbst ja auch ein Zertifikat, vllt gibt es da ja auch ein Tool?
danke für die Antwort. Die beiden Seiten habe ich mir auch angeguckt. Die Zertifikatanforderung habe ich allerdings über das Webtool durchgeführt, was aber auch geklappt hat.
Ich wollte aber nochmal sicher stellen ob das wirklich soweit in Ordnung war, wie ich vorgegangen bin. Und vllt. auf eine Antwort hoffen auf die andere Fragen, die jetzt nicht schon auf den Seiten beantwortet wird.
Außerdem: Gibt es noch eine andere Alternative ein Zertifikat zu erstellen ohne eine CA zu installieren? Unter Linux gibt es ja das praktische Tool openssl. Für IIS6 gab es doch auch das SelfSSL. Exchange generiert von selbst ja auch ein Zertifikat, vllt gibt es da ja auch ein Tool?
Ein öffentliches signiertes Zertifikat kaufen oder eben vom Exchange generieren lassen. Dazu muss das Zertifikat parallel auf jeden Rechner unter "vert. Stammzeritifierungsstellen" installieren. Ist aber nicht wirklich praktisch!
Ein Zertifikat erhälst du schon für 50€ im Jahr. Das sollte es euch Wert sein...
Grüße,
Dani
Ein Zertifikat erhälst du schon für 50€ im Jahr. Das sollte es euch Wert sein...
Auf welchen Server sollte man in der Praxis die CA installieren? Auf dem DC, auf dem Exchange Server oder ganz wo anders?
Wir haben unsere auf einem extra Server am Laufen.Ich musste manuell das Zertifikat für Exchange und das CA Zertifikat einzeln an meinem PC importieren.
Logisch oder? Denn dein CA-root-Zerifikat ist bei Windows nicht standardmäßig dabei, wie z.B. Telesec o.a.Wie gesagt, nach dem Import geht alles. Es wird nun RPC über HTTPS genutzt, allerdings ist dort zwar SSL aktiviert aber "Standardauthentifizierung" eingestellt.
Das passt schon.Grüße,
Dani
Hallo,
kriegt man für 50€ auch SAN Zertifikate? Ich habe bei Thawte geguckt und das einfachste Zertifikat für 1 Jahr kostet rund 170€ + Kosten für SAN Option.
Ich verstehe das mein Root-CA Zertifikat nicht bei Windows oder so dabei ist. Ich fand es aber nur merkwürdig, dass das Root-CA Zertifikat bei Outlook nicht angeboten wird aber das Exchange Zertifikat schon. Warum wird nicht beides gleichzeitig angeboten (also mit Anbieten meine ich, die Warnung, dass das Zertifikat nicht vertraulich ist usw und das man es dann importieren kann)? Man kann doch auch normalerweise eine ganze Zertifikat-Kette (also Root-CA Cert + Exchange Cert) anbieten, oder nicht?
Ich will halt abwägen, ob es überhaupt notwendig ist eine CA zu installieren und dafür zu nutzen. Es kommt ja meiner Meinung nach auch immer auf das Einsatzgebiet an. Ich will nicht unbedingt einen DC die CA Rolle hinzufügen und somit irgendwelche Probleme verursachen die dabei entstehen könnten. Allerdings wäre es meiner Meinung nach auch Unsinn NUR für Exchange ein eigenen CA Server aufzustellen (+ die Lizenz Kosten die damit verbunden sind).
kriegt man für 50€ auch SAN Zertifikate? Ich habe bei Thawte geguckt und das einfachste Zertifikat für 1 Jahr kostet rund 170€ + Kosten für SAN Option.
Ich verstehe das mein Root-CA Zertifikat nicht bei Windows oder so dabei ist. Ich fand es aber nur merkwürdig, dass das Root-CA Zertifikat bei Outlook nicht angeboten wird aber das Exchange Zertifikat schon. Warum wird nicht beides gleichzeitig angeboten (also mit Anbieten meine ich, die Warnung, dass das Zertifikat nicht vertraulich ist usw und das man es dann importieren kann)? Man kann doch auch normalerweise eine ganze Zertifikat-Kette (also Root-CA Cert + Exchange Cert) anbieten, oder nicht?
Ich will halt abwägen, ob es überhaupt notwendig ist eine CA zu installieren und dafür zu nutzen. Es kommt ja meiner Meinung nach auch immer auf das Einsatzgebiet an. Ich will nicht unbedingt einen DC die CA Rolle hinzufügen und somit irgendwelche Probleme verursachen die dabei entstehen könnten. Allerdings wäre es meiner Meinung nach auch Unsinn NUR für Exchange ein eigenen CA Server aufzustellen (+ die Lizenz Kosten die damit verbunden sind).
Ich fand es aber nur merkwürdig, dass das Root-CA Zertifikat bei Outlook nicht angeboten wird aber das Exchange Zertifikat schon.
Weil das eine mit dem anderen nichts zu tun hat. 
Warum wird nicht beides gleichzeitig angeboten (also mit Anbieten meine ich, die Warnung, dass das Zertifikat nicht vertraulich ist usw und das man es dann importieren kann)?
Kann ich dir nicht sagen... Microsoft fragen. Ich will nicht unbedingt einen DC die CA Rolle hinzufügen und somit irgendwelche Probleme verursachen die dabei entstehen könnten
http://www.msxfaq.de/signcrypt/setupca2008.htmAllerdings wäre es meiner Meinung nach auch Unsinn NUR für Exchange ein eigenen CA Server aufzustellen
Richtig, würd ich mir auch nicht antun. WIr haben einfach ein Wild-Card Zertifikat genommen. Wir brauchen es auch für andere Dinge.http://www.msexchangefaq.de/signcrypt/sancert.htm
Grüße,
Dani
Danke für die Links, das werde ich mir mal anschauen. Ich hab ja testweise die CA installiert aber nur "durchgeklickt" bzw. nach Anweisung des Assistenten durchgeführt.
Noch eine Frage: Wenn man vorerst nicht absieht einen Exchange Server von außen zu nutzen, sollte man dann überhaupt andere Zertifikate erstellen oder das Zertifikat nutzen was Exchange mitkonfiguriert?
Könnte man überhaupt auch OpenSSL hierbei nutzen?
Noch eine Frage: Wenn man vorerst nicht absieht einen Exchange Server von außen zu nutzen, sollte man dann überhaupt andere Zertifikate erstellen oder das Zertifikat nutzen was Exchange mitkonfiguriert?
Könnte man überhaupt auch OpenSSL hierbei nutzen?
Moin,
theoretisch vllt. möglich... müsste man probieren.
Grüße,
Dani
theoretisch vllt. möglich... müsste man probieren.
Wenn man vorerst nicht absieht einen Exchange Server von außen zu nutzen, sollte man dann überhaupt andere Zertifikate erstellen oder das Zertifikat nutzen was Exchange mitkonfiguriert?
Ansichtssache... wir sagen uns: Wenn der User einen Warnung erhält, stimmt was nicht. Hat einfach was mit Sensibilisierung zu tun.Grüße,
Dani
Hallo,
das kann man gut verstehen! Das vorinstallierte Exchange Zertifikat kann man ja aber auch intern per GPO verteilen. In dem Fall muss ich mal abwägen was in diesem Fall besser ist (ob mit OpenSSL, eigene CA oder vorinstalliertes Zertifikat nutzen).
Danke!!!
Gruß,
Burak
das kann man gut verstehen! Das vorinstallierte Exchange Zertifikat kann man ja aber auch intern per GPO verteilen. In dem Fall muss ich mal abwägen was in diesem Fall besser ist (ob mit OpenSSL, eigene CA oder vorinstalliertes Zertifikat nutzen).
Danke!!!
Gruß,
Burak
