ollembyssan
Goto Top

OWA Zertifikat unter Server 2008

HOW TO
- Zertifikat unter Server 2008 mit vorhandener ROOT CA installieren
- OWA Konfiguration am Server und am Client
- SSL Konfiguration

ZERTIFIKAT INSTALLATION

Eine Stammzertifizierungsstelle wurde bereits installiert und hat den Namen "INT ROOT CA"

Ich starte den IIS-Manager, wähle meinen Server (S1) und wechsel im "Bereich IIS" zu "Serverzertifikate".
a812b90d750e5215d30f0cabf2c6923d-cs_1

Hier sehe ich nun meine ROOT CA (INT ROOT CA)
7e9ca9c70307c376b0914e0442607440-cs_2

Als erstes wähle ich die Aktion "Domänenzertifikat erstellen"
Hier gebe ich den "CNAMEN" ein, das ist die URL, die später von den Clients aufgerufen wird, um auf OWA zuzugreifen.
Ich wähle hier den FQDN vom Server aus. Man kann natürlich (ist sogar besser) einen "CNAME Alias" erstellen und den dann auswählen, aber das mache ich jetzt nicht, da ich keinen erstellt und den benötigten Registry-Wert auch nicht gesetzt habe.
ee8e496df5b300ca6b3dc4dfe70b23fa-cs_3

Als nächstes wähle ich die Onlinezertifizierungsstelle aus, dies ist natürlich meine Interne Zertifizierungsstelle "INT ROOT CA"
Als "Anzeigenamen" nehme ich den CNAME.
4f2b659dd117c84459acacca691d97a0-cs_4

Ist der Vorgang abgeschlossen, wird mir das Domänenzertifikat unter meiner ROOT CA angezeigt.
8442cb9a430437784801e499d7f6575c-cs_5

Der weitere Schritt ist sehr wichtig!
Ich wechsle zur "Default Web Site" und wähle die Aktion "Bindungen" aus.
Dort erstelle ich eine neue Sitebindung mit folgenden Werten unter Verwendung meines eben erstellten Domänenzertifikats:
3caf75e7461da649973b27677404ee6b-cs_6

Danach habe ich eine neue Sitebindung, die unter Server 2008 sehr wichtig ist!
e49d9aae16a1264024791a1a3b4d0c5f-cs_7

CLIENT KONFIGURATION

Nun, da wir für eine Grundkonfiguration am Server die "nötigen" Schritte eingeleitet haben.
Will ich noch zeigen, welche Konfiguration der Client noch benötigt.
Mein Client ist nicht an der Domäne angemeldet, wäre das der Fall, könnte ich das Zertifikat direkt aus dem AD importieren face-smile
Ich benutze deswegen hier und jetzt die Webregistrierung.

Dazu öffne ich im IE die URL " https://s1.mydomain.local/certsrv "
(Jetzt seht Ihr warum es so wichtig ist, darauf zu achten, dass bei der Konfiguration des Domänenzertifikats, der "CNAME" richtig angegeben worden ist. Übrigens: da hätte ich auch einen DYNDNS Namen verwenden können, um jetzt auf meinen Server zuzugreifen)
992d9c5794a978bac271c68ce1d354e1-cs_8

Natürlich lade ich die Seite trotz der Sicherheitswarnung.
Zuerst lade ich das Zertifizierungsstellenzertifikat, um es später zu den "Vertrauenswürdigen Stammzertifizierungsstellen" zu importieren.
b6a6e8c0c8a34bf2c7b6ca2617c19345-cs_9

Danach lade ich das Benutzerzertifikat, indem ich auf "Zertifikat anfordern" klicke und danach auf Benutzerzertifikat.
6845ac1493bffbe0653fc5a8a28cb83b-cs_10

Weiter geht es mit dem auswählen von "Weitere Optionen"
f04f6f408c90c64013746bc71fa3e073-cs_11

Danach auf "Erweiterte Zertifikatsanforderung"
a923640407e0269dad2d0824c237c096-cs_12

Hier wähle ich die Zertifikatvorlage "Benutzer" aus und klicke abschließend auf "einsenden"
Mein Zertifikat kann ich dann nach der Anforderung installieren!
07ee8f252db4dfc9df0c7e29b256689c-cs_13

IMPORT VOM ROOT CA Zertifikat

Vorhin habe ich das Stammzertifizierungsstellen-Zertifikat angefordert und in unter "Eigene Dateien" gespeichert.
Die kann ich nun mit "Doppelklick" auf das gespeicherte Zertifikat, im Speicherort der "Vertrauenswürdigen Stammzertifizierungsstellen" importieren.
5401724f580e7dd6630e22ae5b427566-cs_14


ZUSATZ

Im "IIS-Manager" unter der Seite "/OWA", kann ich im Bereich "IIS" die SSL-Einstellungen bearbeiten.
Hier kann ich entscheiden, ob Zertifikate beim aufrufen von "/owa" ignoriert bzw. akzeptiert werden oder erforderlich sind.
19d358cf35a1bc7fc963e89d76d94eb2-cs_15_ssl

Bei "Ignorieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, um die Seite aufzurufen.

Bei "Akzeptieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, würde aber akzeptiert werden.
(Man wird zur Auswahl des Zertifikats aufgefordert)
efeeb16c44c9024bc86bfe6d7bb73e70-cs_akzept

Bei "Erforderlich", ist es notwendig ein Zertifikat zu besitzen, ohne wird der Zugriff verweigert!
(Hier habe ich leider kein Zertifikat face-sad face-wink )
ff4385422cc77f8014bb9555712c38cf-cs_erford


Gruß,
Ole

Content-Key: 114693

Url: https://administrator.de/contentid/114693

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: tr3bor
tr3bor 12.10.2009 um 12:40:32 Uhr
Goto Top
Hallo,
ich wollte ein Zertifikat erstellen und habe mich genau an die Anleitung gehalten.
Allerdings wenn ich im IIS das Domänenzertifikat erstellen möchte und nachdem ich alles eingegeben habe auf "Fertig" drücke. Kommt ein Fenster in dem steht das das zertifikat angefordert wurde, aber noch nicht ausgestellt wurde. Wenn ich dieses Zertifikat dann in der Zertifizierungsstelle ausstelle, taucht es nicht in der Liste beim IIS auf. Nun ist mein Problem also das das Zertifikat nicht im IIS auftaucht und ich es somit nicht bei einer Bindung einstellen kann.
Mitglied: computermerlae
computermerlae 11.01.2010 um 11:33:11 Uhr
Goto Top
Hallo ollembyssan
Vielen Dank für deine tolle Anleitung.
Kannst du (oder jemand anderes) sagen, wieso ich kein CA ROOT INT habe?

Ich habe nur folgende:
- Servername.Domäne.local
- Domäne-Servername-CA
- Internetadresse (also remote.Internetdomain.ch)
- Servername
- Sites
- Servername.Internetdomain.ch
- Servername.Domäne.local

Irgendwie komisch, nicht wahr.
Ich habe schon alle versucht in den IE zu importieren damit ich ohne Zertifikatfehler ins OWA komme und auch gemäss deiner ANleitung habe ich die Zertifikate importiert. leider ohne Erfolg.

Kann mir jemand einen Tipp geben.

Liebe Grüsse
computermerlae
Mitglied: ollembyssan
ollembyssan 12.01.2010 um 18:58:12 Uhr
Goto Top
Hallo Computermerlae,

das scheint alles richtig zu sein!

"CA ROOT INT" heißt bei dir "Domäne-Servername-CA".
Beim erstellen einer Stammzertifizierungsstelle, benutzt das System genau diesen Namen => "Domäne-Servername-CA",
den ich allerdings in "CA ROOT INT" umbenannt habe.

Hast du das Stammzertifizierungs-Zertifikat bei dir importiert ?

Um kurz zu erläutern wie das Vertrauen zustande kommt:
"Traut der User der Zertifizierungsstelle (sprich, hat er das Stammzertifzierungs-Zertifikat als vertrauenswürdig eingestuft), traut er auch allen Zertifikaten, welche diese ausstellt oder ausgestellt hat!"

Entweder, du hast nur das ausgestellte Zertifikat importiert aber nicht das der Zertifizierungsstelle. Oder das Stammzertifizierungs-Zertifikat in den falschen "Speicher" geladen
.
Schau doch einmal nach, ob sich das Zertifikat der Zertifizierungsstelle (sprich, "Domäne-Servername-CA") im Zertifikatsspeicher der "vertrauenswürdigen Stammzertifizierungsstellen" befindet!
=> Ausführen => MMC => SNAPIN hinzufügen => Zertifikate => Eigenes Benutzerkonto => Vertrauenswürdige Stammzertifizierungsstellen

Gruß,
Ole