Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Iphone zugriff auf OWA nur, wenn ein bestimmtes SSL Zertifikat nachgewiesen werden kann!

Frage Microsoft Exchange Server

Mitglied: knut4linux

knut4linux (Level 1) - Jetzt verbinden

26.11.2010, aktualisiert 18.10.2012, 9408 Aufrufe, 5 Kommentare

Hallo Community, bitte bekommt keinen dicken Hals wenn Ihr schon wieder was von Iphone und OWA lest. Der Sync an sich funktioniert wunder bar, aber ich habe eine spezielle Anforderung.
Iphone 4 soll nur zugriff auf den Exchange bekommen, wenn es ein bestimmtes SSL Zertifikat (was dem Benutzer zugeordnet) nachweisen kann.
Bei dem aktuellen Szenario handelt es sich um eine Laborumgebung

Also, wie ich bereits erwähnte funktioniert der Exchange-Active-Sync mit dem Iphone an sich soweit ganz gut und sehr Zuverlässig. Was mich daran stört, dass ich den OWA veröffentlichen muss, was an sich kein Problem darstellt jedoch ist diese Seite somit auch einfach für jeden Arsch schon mal erreichbar. Jetzt werdet Ihr lachen und meinen, dass das egal ist, weil es ja sowieso schon ssl verschlüsselt ist, aber das reicht mir nicht um es in die Produktivumgebung zu integrieren.


Was ich möchte:
Bei Kontaktaufnahme wird der Client gebeten ein Zertifikat nachzuweisen, welches logischerweise mit dem Server übereinstimmt. Hat er kein übereinstimmendes, wird die Seite auch nicht angezeigt. Mein Frage ist, bekomme ich den ganzen Spaß auch ohne ISA Server hin (also mit reinen IIS 6.0 Boardmitteln)


Daten zu meiner umgebung:
SBS2003
-EXchange 2003
-IIS 6.0


Im IIS selbst habe ich ja die Möglichkeit, zu bestimmen, dass ich Clientzertifikate voraussetze. Das Zertifikat muss auch einem AD Benutzer zugeordnet werden, damit dieser es am Ende auch zur Authetifizierung nutzen kann.

Ich bedanke mich schon mal im Voraus an alle Ideengeber.




Mit freundlichen Grüßen Knut


PS: Da es sich wie erwähnt um eine Laborumgebung handelt, bin ich für Experimente durchaus bereit.
Mitglied: ollembyssan
26.11.2010 um 13:13 Uhr
Hallo,

Du kannst die Einstellung der Sicherheit im IIS so konfigurieren, dass ein Benutzerzertifikat zur Authentifizierung nötig ist. Das heißt, dass sich nicht nur der Server gegenüber dem Benutzer authentifiziert, sondern auch der Benutzer gegenüber dem Server (Gegenseitige Authentifizierung).

Dazu musst du allerdings dem Benutzer ein entsprechendes Zertifikat zuweisen oder der Benutzer hat das Recht selbst eine Anforderung und installiert das Benutzerzertifikat. Wie du das handhaben wirst, ist dir überlassen.

Du hast die Möglichkeit im IIS ja schon selbst erläutert, im Prinzip ist das keine schlechte Idee, wenn der Exchange direkt im Internet veröffentlicht ist, was natürlich nicht umbedingt ratsam ist aber jeder weiß, dass dies viele Firmen so handhaben und dementsprechend andere Sicherheitsvorkehrungen treffen müssen. Um aus deiner Sicht mehr Sicherheit zu gewährleisten, wenn kein ISA/TMG eingesetzt wird.

Gruß,

Ole
Bitte warten ..
Mitglied: knut4linux
29.11.2010 um 07:35 Uhr
Hallo Ole,

vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich weiß, dass sich das Serverzertifikat in eine pkc und cer exportieren lässt. Allerdings kann ich mir nicht vorstellen, dass das ausricht bzw. dass das cer das Schlüsselpaar zum pkc ist. Da hätte ja jeder User den gleichen privaten Schlüssel *Nachdenk*


Daher folge Frage:

Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem Server auch zertifikate erstellen und verwalten ?

Welche Auswirkungen hätte der Zertifikatdienst auf das gesamte Netzwerk?

Gruß, Knut
Bitte warten ..
Mitglied: ollembyssan
29.11.2010, aktualisiert 18.10.2012
Zitat von knut4linux:
Hallo Ole,

vielen Dank für deine Antwort. Deine Meinung zum Thema bestärkt mich in meinem vorhaben. Jetzt stellt sich die Frage
für mich, woher ich die Zertifikate bekomme, um den entsprechenden AD Benutzer auch eins zuweisen zu können. Ich

Die Benutzer-Zertifikate kannst du bei deiner internen Zertifizierungsstelle anfordern.
Das Zertifikat der Zertifizierungsstelle wird standardmäßig über eine Gruppenrichtlinie im AD verteilt, das heißt, dass alle Benutzer deiner Organisation der Zertifizierungsstelle vertrauen, nur nicht jene, die von extern darauf zugreifen, weil die natürlich nicht in die Verteilung des Zertifikats der Zertifizierungsstelle durch das GPO eingeschlossen sind.

Ein Benutzerzertifikat erhältst du u.a. durch die Webregistrierung, auf der Du auch Zertifikate für den Webserver, Exchange etc. anfordern kannst.
Der Unterschied liegt lediglich daran, dass du bei der Anforderung ein "Benutzerzertifikat" auswählst, wodurch sich der Benutzer am Server authentifizieren kann.

Mit dem Serverzertifikat (Exchange) authentifziert sich der Server beim Client.
Mit dem Benutzerzertifikat kann sich der Client am Server authentifizieren.
Du kannst/willst allerdings im IIS einstellen, dass der Benutzer ein Zertifikat benötigt um auf die Inhalte zugreifen zu können. (SSL-Einstellungen)

Daher folge Frage:

Wenn ich die Zertifikatsdienste installieren würde, dann hätte ich zumindest einen Server, der die Liste
Vertrauenswürdiger Zertifikate enthält (eigene zertifikate), welchen ich ja im IIS angeben muss. Lassen sich mit diesem
Server auch zertifikate erstellen und verwalten ?

Wenn du die Zertifikatsdienste installierst und anbei auch die Zertifizierungsstelle, dann hast du zunächst einmal die Zertifizierungsstelle und das zugehörige Zertifikat der Zertifizierungsstelle, der alle Clients im AD vertrauen.
Das heißt logischerweise, dass auch allen Zertifikaten, welche diese Zertifizierungsstelle ausstellt, vertraut wird.

Ja, NUR mit installierter Zertifizierungsstelle kannst du Zertifikate erstellen lassen und verwalten.

Siehe:
http://www.administrator.de/wissen/owa-und-zertifikate-server-2003-und- ...
Installieren der Zertifikatdienste, Erstellen der Zertifizierungsstelle, Erstellen von Benutzerzertifikaten über die Webreg.

Gruß,

Ole
Bitte warten ..
Mitglied: knut4linux
29.11.2010 um 10:13 Uhr
Ole, du bist ein echter Fuchs.

Ich danke dir schon mal im voraus und werde das ganze diese Woche mal testen.

Bis später
Bitte warten ..
Mitglied: knut4linux
29.11.2010 um 23:19 Uhr
Hey Ole,

noch mals vielen Dank für deine sehr hilfreichen Erläuterungen bzgl. SSL etc. Ich habe es eben in meiner Testumgebung "scharf" geswitch't. Mit anderen Worten, es funktioniert jetzt genauso wie ich das will.

Das Iphone synct wunderbar mit dem Exchange (Zertifikat habe ich aufs Iphone übertragen)!! Rufe ich die Seite mit einem Testuser auf, welcher kein Zertifikat nachweißen kann, schmeist der Server brav eine 403 aus.

Wir lesen uns bestimmt wieder
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
gelöst Wie bekomme ich ein kostenloses SSL Zertifikat? (13)

Frage von Yanmai zum Thema Verschlüsselung & Zertifikate ...

Hosting & Housing
gelöst SSL-Zertifikat: IP statt FQDN (3)

Frage von mrserious73 zum Thema Hosting & Housing ...

Verschlüsselung & Zertifikate
SSL Zertifikat Verschlüsseln - PKCS12 Erstellung (1)

Frage von cuilster zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (19)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (15)

Link von Penny.Cilin zum Thema Viren und Trojaner ...