5
Iphone zugriff auf OWA nur, wenn ein bestimmtes SSL Zertifikat nachgewiesen werden kann!
Hallo Community, bitte bekommt keinen dicken Hals wenn Ihr schon wieder was von Iphone und OWA lest. Der Sync an sich funktioniert wunder bar, aber ich habe eine spezielle Anforderung.
Iphone 4 soll nur zugriff auf den Exchange bekommen, wenn es ein bestimmtes SSL Zertifikat (was dem Benutzer zugeordnet) nachweisen kann.
Bei dem aktuellen Szenario handelt es sich um eine Laborumgebung
Also, wie ich bereits erwähnte funktioniert der Exchange-Active-Sync mit dem Iphone an sich soweit ganz gut und sehr Zuverlässig. Was mich daran stört, dass ich den OWA veröffentlichen muss, was an sich kein Problem darstellt jedoch ist diese Seite somit auch einfach für jeden Arsch schon mal erreichbar. Jetzt werdet Ihr lachen und meinen, dass das egal ist, weil es ja sowieso schon ssl verschlüsselt ist, aber das reicht mir nicht um es in die Produktivumgebung zu integrieren.
Was ich möchte:
Bei Kontaktaufnahme wird der Client gebeten ein Zertifikat nachzuweisen, welches logischerweise mit dem Server übereinstimmt. Hat er kein übereinstimmendes, wird die Seite auch nicht angezeigt. Mein Frage ist, bekomme ich den ganzen Spaß auch ohne ISA Server hin (also mit reinen IIS 6.0 Boardmitteln)
Daten zu meiner umgebung:
SBS2003
-EXchange 2003
-IIS 6.0
Im IIS selbst habe ich ja die Möglichkeit, zu bestimmen, dass ich Clientzertifikate voraussetze. Das Zertifikat muss auch einem AD Benutzer zugeordnet werden, damit dieser es am Ende auch zur Authetifizierung nutzen kann.
Ich bedanke mich schon mal im Voraus an alle Ideengeber.
MFG Knut
PS: Da es sich wie erwähnt um eine Laborumgebung handelt, bin ich für Experimente durchaus bereit.
Was ich möchte:Bei Kontaktaufnahme wird der Client gebeten ein Zertifikat nachzuweisen, welches logischerweise mit dem Server übereinstimmt. Hat er kein übereinstimmendes, wird die Seite auch nicht angezeigt. Mein Frage ist, bekomme ich den ganzen Spaß auch ohne ISA Server hin (also mit reinen IIS 6.0 Boardmitteln)
Daten zu meiner umgebung:SBS2003
-EXchange 2003
-IIS 6.0
Im IIS selbst habe ich ja die Möglichkeit, zu bestimmen, dass ich Clientzertifikate voraussetze. Das Zertifikat muss auch einem AD Benutzer zugeordnet werden, damit dieser es am Ende auch zur Authetifizierung nutzen kann.
Ich bedanke mich schon mal im Voraus an alle Ideengeber.
MFG Knut
PS: Da es sich wie erwähnt um eine Laborumgebung handelt, bin ich für Experimente durchaus bereit.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 155826
Url: https://administrator.de/contentid/155826
Printed on: April 18, 2024 at 05:04 o'clock
5 Comments
Latest comment
Hallo,
Du kannst die Einstellung der Sicherheit im IIS so konfigurieren, dass ein Benutzerzertifikat zur Authentifizierung nötig ist. Das heißt, dass sich nicht nur der Server gegenüber dem Benutzer authentifiziert, sondern auch der Benutzer gegenüber dem Server (Gegenseitige Authentifizierung).
Dazu musst du allerdings dem Benutzer ein entsprechendes Zertifikat zuweisen oder der Benutzer hat das Recht selbst eine Anforderung und installiert das Benutzerzertifikat. Wie du das handhaben wirst, ist dir überlassen.
Du hast die Möglichkeit im IIS ja schon selbst erläutert, im Prinzip ist das keine schlechte Idee, wenn der Exchange direkt im Internet veröffentlicht ist, was natürlich nicht umbedingt ratsam ist aber jeder weiß, dass dies viele Firmen so handhaben und dementsprechend andere Sicherheitsvorkehrungen treffen müssen. Um aus deiner Sicht mehr Sicherheit zu gewährleisten, wenn kein ISA/TMG eingesetzt wird.
Gruß,
Ole
Du kannst die Einstellung der Sicherheit im IIS so konfigurieren, dass ein Benutzerzertifikat zur Authentifizierung nötig ist. Das heißt, dass sich nicht nur der Server gegenüber dem Benutzer authentifiziert, sondern auch der Benutzer gegenüber dem Server (Gegenseitige Authentifizierung).
Dazu musst du allerdings dem Benutzer ein entsprechendes Zertifikat zuweisen oder der Benutzer hat das Recht selbst eine Anforderung und installiert das Benutzerzertifikat. Wie du das handhaben wirst, ist dir überlassen.
Du hast die Möglichkeit im IIS ja schon selbst erläutert, im Prinzip ist das keine schlechte Idee, wenn der Exchange direkt im Internet veröffentlicht ist, was natürlich nicht umbedingt ratsam ist aber jeder weiß, dass dies viele Firmen so handhaben und dementsprechend andere Sicherheitsvorkehrungen treffen müssen. Um aus deiner Sicht mehr Sicherheit zu gewährleisten, wenn kein ISA/TMG eingesetzt wird.
Gruß,
Ole
Hallo Ole,
vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich weiß, dass sich das Serverzertifikat in eine pkc und cer exportieren lässt. Allerdings kann ich mir nicht vorstellen, dass das ausricht bzw. dass das cer das Schlüsselpaar zum pkc ist. Da hätte ja jeder User den gleichen privaten Schlüssel *Nachdenk*
Daher folge Frage:
Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem Server auch zertifikate erstellen und verwalten ?
Welche Auswirkungen hätte der Zertifikatdienst auf das gesamte Netzwerk?
Gruß, Knut
vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich weiß, dass sich das Serverzertifikat in eine pkc und cer exportieren lässt. Allerdings kann ich mir nicht vorstellen, dass das ausricht bzw. dass das cer das Schlüsselpaar zum pkc ist. Da hätte ja jeder User den gleichen privaten Schlüssel *Nachdenk*
Daher folge Frage:
Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem Server auch zertifikate erstellen und verwalten ?
Welche Auswirkungen hätte der Zertifikatdienst auf das gesamte Netzwerk?
Gruß, Knut
Zitat von @knut4linux:
Hallo Ole,
vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage
für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich
Hallo Ole,
vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage
für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich
Die Benutzer-Zertifikate kannst du bei deiner internen Zertifizierungsstelle anfordern.
Das Zertifikat der Zertifizierungsstelle wird standardmäßig über eine Gruppenrichtlinie im AD verteilt, das heißt, dass alle Benutzer deiner Organisation der Zertifizierungsstelle vertrauen, nur nicht jene, die von extern darauf zugreifen, weil die natürlich nicht in die Verteilung des Zertifikats der Zertifizierungsstelle durch das GPO eingeschlossen sind.
Ein Benutzerzertifikat erhältst du u.a. durch die Webregistrierung, auf der Du auch Zertifikate für den Webserver, Exchange etc. anfordern kannst.
Der Unterschied liegt lediglich daran, dass du bei der Anforderung ein "Benutzerzertifikat" auswählst, wodurch sich der Benutzer am Server authentifizieren kann.
Mit dem Serverzertifikat (Exchange) authentifziert sich der Server beim Client.
Mit dem Benutzerzertifikat kann sich der Client am Server authentifizieren.
Du kannst/willst allerdings im IIS einstellen, dass der Benutzer ein Zertifikat benötigt um auf die Inhalte zugreifen zu können. (SSL-Einstellungen)
Daher folge Frage:
Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste
Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem
Server auch zertifikate erstellen und verwalten ?
Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste
Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem
Server auch zertifikate erstellen und verwalten ?
Wenn du die Zertifikatsdienste installierst und anbei auch die Zertifizierungsstelle, dann hast du zunächst einmal die Zertifizierungsstelle und das zugehörige Zertifikat der Zertifizierungsstelle, der alle Clients im AD vertrauen.
Das heißt logischerweise, dass auch allen Zertifikaten, welche diese Zertifizierungsstelle ausstellt, vertraut wird.
Ja, NUR mit installierter Zertifizierungsstelle kannst du Zertifikate erstellen lassen und verwalten.
Siehe:
OWA und Zertifikate - Server 2003 und Exchange 2007
Installieren der Zertifikatdienste, Erstellen der Zertifizierungsstelle, Erstellen von Benutzerzertifikaten über die Webreg.
Gruß,
Ole
Ole, du bist ein echter Fuchs.
Ich danke dir schon mal im voraus und werde das ganze diese Woche mal testen.
Bis später
Ich danke dir schon mal im voraus und werde das ganze diese Woche mal testen.
Bis später
Hey Ole,
noch mals vielen Dank für deine sehr hilfreichen Erläuterungen bzgl. SSL etc. Ich habe es eben in meiner Testumgebung "scharf" geswitch't. Mit anderen Worten, es funktioniert jetzt genauso wie ich das will.
Das Iphone synct wunderbar mit dem Exchange (Zertifikat habe ich aufs Iphone übertragen)!! Rufe ich die Seite mit einem Testuser auf, welcher kein Zertifikat nachweißen kann, schmeist der Server brav eine 403 aus.
Wir lesen uns bestimmt wieder
noch mals vielen Dank für deine sehr hilfreichen Erläuterungen bzgl. SSL etc. Ich habe es eben in meiner Testumgebung "scharf" geswitch't. Mit anderen Worten, es funktioniert jetzt genauso wie ich das will.
Das Iphone synct wunderbar mit dem Exchange (Zertifikat habe ich aufs Iphone übertragen)!! Rufe ich die Seite mit einem Testuser auf, welcher kein Zertifikat nachweißen kann, schmeist der Server brav eine 403 aus.
Wir lesen uns bestimmt wieder
