Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Outlook Anywhere Zertifikat

Frage Microsoft Exchange Server

Mitglied: vBurak

vBurak (Level 1) - Jetzt verbinden

16.02.2013 um 23:21 Uhr, 10717 Aufrufe, 8 Kommentare

Hallo,

ich bin gerade etwas am ausprobieren und habe einen Windows Server 2008 R2 mit Exchange 2010 SP1 installiert (ein einziger virtualisierter Server als DC und Exchange Server, ist ja nur zum testen).

Ich hatte ein paar Probleme mit Outlook Anywhere also sozusagen RPC over HTTPS für Anbindung zum Exchange Server. Inzwischen funktioniert es, aber ich würde gerne erfahren ob das wirklich so notwendig war und ob das auch so stimmt.

Die Verbindung bei Outlook zu Exchange von einem entfernten PC (also nicht in Domäne und auch kein VPN) hat nicht funktioniert, da anscheinend das Zertifikat nicht mit dem Namen übereingestimmt hat.

Standardmäßig stellt der Exchange Server ein Zertifikat aus VON "meinServerName" für "meinServerName". Allerdings ist ja die externe Adresse für OWA bzw. RPC eine öffentliche Adresse also "exchange.meineDomain.de".

=> Dieses Zertifikat bringt mir für den externen Outlook Anywhere Gebrauch nichts und ich werde somit auch keine Verbindung ohne VPN von einem entfernten Ort bekommen (Outlook Web Access mal außgenommen. Das hat zwar geklappt, es kam allerdings dennoch die Meldung, dass das Zertifikat nicht vertrauenswürdig ist). Stimmt das so?


Nun ja, ich hab dann also in der Exchange Konsole eine Zertifikat Anforderung gestartet. Dort habe ich für mehrere DNS Namen reingepackt, also für alle Anwendungen die ich brauche wie intern/extern OWA, Web Access, ActiveSync. Das Zertifikat bzw. die Anforderung enthält also nun gemischt interne und externe Adressnanmen (also meinServerName und exchange.meineDomain.de).

=> Sollte man das so machen?


Da ich noch keine CA hatte, habe ich auf dem selben Server eine Zertifizierungsstelle installiert.

=> Auf welchen Server sollte man in der Praxis die CA installieren? Auf dem DC, auf dem Exchange Server oder ganz wo anders?

Die Zertifikat Anforderung habe ich nun der CA gegeben und ein Zertifikat bekommen. Dieses Zertifikat auch beim Exchange eingespielt und die Dienste an das Zertifikat geknüpft. Soweit alles OK.

Outlook Anywhere hat jetzt aber nur unter folgender Bedingung funktioniert: Ich musste manuell das Zertifikat für Exchange und das CA Zertifikat einzeln an meinem PC importieren. Von der einen Seite verstehe ich es, da es ja selbst signiert ist. Aber Outlook hat mir nur das Exchange Zertifikat übermittelt und nicht das Zertifikat von der CA.

=> Ist das wirklich notwendig, dass ich es manuell importieren muss? Kann ich das Exchange Zertifikat nicht sozusagen als Kette angeben, also ein Zertifikat der die CA auch enthält? Es wäre nämlich recht nervig, dass ich von jedem Rechner erstmal die Zertifikate herbekommen muss und diese importiere.

Wie gesagt, nach dem Import geht alles. Es wird nun RPC über HTTPS genutzt, allerdings ist dort zwar SSL aktiviert aber "Standardauthentifizierung" eingestellt.

=> Werden die Passwörter dennoch verschlüsselt übermittelt oder sollte man das auf etwas anderes umstellen?


Stimmt die Vorgehensweise soweit, damit man Exchange auch extern nutzen kann (also über Outlook)?

Wäre erfreut über Ratschläge und Anregungen.


Vielen Dank

Gruß
vBurak
Mitglied: Dani
16.02.2013 um 23:25 Uhr
Moin,
hier steht alles drin:
http://www.frankysweb.de/?p=116
http://www.frankysweb.de/?p=456


Grüße,
Dani
Bitte warten ..
Mitglied: vBurak
18.02.2013 um 19:54 Uhr
Hallo,

danke für die Antwort. Die beiden Seiten habe ich mir auch angeguckt. Die Zertifikatanforderung habe ich allerdings über das Webtool durchgeführt, was aber auch geklappt hat.

Ich wollte aber nochmal sicher stellen ob das wirklich soweit in Ordnung war, wie ich vorgegangen bin. Und vllt. auf eine Antwort hoffen auf die andere Fragen, die jetzt nicht schon auf den Seiten beantwortet wird.

Außerdem: Gibt es noch eine andere Alternative ein Zertifikat zu erstellen ohne eine CA zu installieren? Unter Linux gibt es ja das praktische Tool openssl. Für IIS6 gab es doch auch das SelfSSL. Exchange generiert von selbst ja auch ein Zertifikat, vllt gibt es da ja auch ein Tool?
Bitte warten ..
Mitglied: Dani
18.02.2013 um 20:04 Uhr
Ein öffentliches signiertes Zertifikat kaufen oder eben vom Exchange generieren lassen. Dazu muss das Zertifikat parallel auf jeden Rechner unter "vert. Stammzeritifierungsstellen" installieren. Ist aber nicht wirklich praktisch!

Ein Zertifikat erhälst du schon für 50€ im Jahr. Das sollte es euch Wert sein...

Auf welchen Server sollte man in der Praxis die CA installieren? Auf dem DC, auf dem Exchange Server oder ganz wo anders?
Wir haben unsere auf einem extra Server am Laufen.

Ich musste manuell das Zertifikat für Exchange und das CA Zertifikat einzeln an meinem PC importieren.
Logisch oder? Denn dein CA-root-Zerifikat ist bei Windows nicht standardmäßig dabei, wie z.B. Telesec o.a.

Wie gesagt, nach dem Import geht alles. Es wird nun RPC über HTTPS genutzt, allerdings ist dort zwar SSL aktiviert aber "Standardauthentifizierung" eingestellt.
Das passt schon.


Grüße,
Dani
Bitte warten ..
Mitglied: vBurak
18.02.2013 um 20:13 Uhr
Hallo,

kriegt man für 50€ auch SAN Zertifikate? Ich habe bei Thawte geguckt und das einfachste Zertifikat für 1 Jahr kostet rund 170€ + Kosten für SAN Option.

Ich verstehe das mein Root-CA Zertifikat nicht bei Windows oder so dabei ist. Ich fand es aber nur merkwürdig, dass das Root-CA Zertifikat bei Outlook nicht angeboten wird aber das Exchange Zertifikat schon. Warum wird nicht beides gleichzeitig angeboten (also mit Anbieten meine ich, die Warnung, dass das Zertifikat nicht vertraulich ist usw und das man es dann importieren kann)? Man kann doch auch normalerweise eine ganze Zertifikat-Kette (also Root-CA Cert + Exchange Cert) anbieten, oder nicht?

Ich will halt abwägen, ob es überhaupt notwendig ist eine CA zu installieren und dafür zu nutzen. Es kommt ja meiner Meinung nach auch immer auf das Einsatzgebiet an. Ich will nicht unbedingt einen DC die CA Rolle hinzufügen und somit irgendwelche Probleme verursachen die dabei entstehen könnten. Allerdings wäre es meiner Meinung nach auch Unsinn NUR für Exchange ein eigenen CA Server aufzustellen (+ die Lizenz Kosten die damit verbunden sind).
Bitte warten ..
Mitglied: Dani
18.02.2013 um 20:58 Uhr
Ich fand es aber nur merkwürdig, dass das Root-CA Zertifikat bei Outlook nicht angeboten wird aber das Exchange Zertifikat schon.
Weil das eine mit dem anderen nichts zu tun hat.

Warum wird nicht beides gleichzeitig angeboten (also mit Anbieten meine ich, die Warnung, dass das Zertifikat nicht vertraulich ist usw und das man es dann importieren kann)?
Kann ich dir nicht sagen... Microsoft fragen.

Ich will nicht unbedingt einen DC die CA Rolle hinzufügen und somit irgendwelche Probleme verursachen die dabei entstehen könnten
http://www.msxfaq.de/signcrypt/setupca2008.htm

Allerdings wäre es meiner Meinung nach auch Unsinn NUR für Exchange ein eigenen CA Server aufzustellen
Richtig, würd ich mir auch nicht antun. WIr haben einfach ein Wild-Card Zertifikat genommen. Wir brauchen es auch für andere Dinge.
http://www.msexchangefaq.de/signcrypt/sancert.htm


Grüße,
Dani
Bitte warten ..
Mitglied: vBurak
18.02.2013 um 21:24 Uhr
Danke für die Links, das werde ich mir mal anschauen. Ich hab ja testweise die CA installiert aber nur "durchgeklickt" bzw. nach Anweisung des Assistenten durchgeführt.


Noch eine Frage: Wenn man vorerst nicht absieht einen Exchange Server von außen zu nutzen, sollte man dann überhaupt andere Zertifikate erstellen oder das Zertifikat nutzen was Exchange mitkonfiguriert?

Könnte man überhaupt auch OpenSSL hierbei nutzen?
Bitte warten ..
Mitglied: Dani
19.02.2013 um 19:19 Uhr
Moin,
theoretisch vllt. möglich... müsste man probieren.

Wenn man vorerst nicht absieht einen Exchange Server von außen zu nutzen, sollte man dann überhaupt andere Zertifikate erstellen oder das Zertifikat nutzen was Exchange mitkonfiguriert?
Ansichtssache... wir sagen uns: Wenn der User einen Warnung erhält, stimmt was nicht. Hat einfach was mit Sensibilisierung zu tun.


Grüße,
Dani
Bitte warten ..
Mitglied: vBurak
19.02.2013 um 20:34 Uhr
Hallo,

das kann man gut verstehen! Das vorinstallierte Exchange Zertifikat kann man ja aber auch intern per GPO verteilen. In dem Fall muss ich mal abwägen was in diesem Fall besser ist (ob mit OpenSSL, eigene CA oder vorinstalliertes Zertifikat nutzen).

Danke!!!

Gruß,
Burak
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
AUTODISCOVER EXCHANGE für OUTlook Anywhere (3)

Frage von pooner zum Thema Exchange Server ...

Exchange Server
Outlook Anywhere läuft auf 2 Rechner nicht (4)

Frage von Leo-le zum Thema Exchange Server ...

Exchange Server
gelöst Oulook 2016 Probleme mit Outlook Anywhere (Autodiscover) (5)

Frage von bandiandi zum Thema Exchange Server ...

Exchange Server
Exchange Server und Outlook Anywhere über DYNDNS (8)

Frage von Guyver zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...