Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OWA Zertifikat unter Server 2008

Anleitung Microsoft Exchange Server

Mitglied: ollembyssan

ollembyssan (Level 2) - Jetzt verbinden

26.04.2009, aktualisiert 27.04.2009, 57275 Aufrufe, 3 Kommentare, 6 Danke

HOW TO
- Zertifikat unter Server 2008 mit vorhandener ROOT CA installieren
- OWA Konfiguration am Server und am Client
- SSL Konfiguration

ZERTIFIKAT INSTALLATION

Eine Stammzertifizierungsstelle wurde bereits installiert und hat den Namen "INT ROOT CA"

Ich starte den IIS-Manager, wähle meinen Server (S1) und wechsel im "Bereich IIS" zu "Serverzertifikate".
a812b90d750e5215d30f0cabf2c6923d-cs_1 - Klicke auf das Bild, um es zu vergrößern

Hier sehe ich nun meine ROOT CA (INT ROOT CA)
7e9ca9c70307c376b0914e0442607440-cs_2 - Klicke auf das Bild, um es zu vergrößern

Als erstes wähle ich die Aktion "Domänenzertifikat erstellen"
Hier gebe ich den "CNAMEN" ein, das ist die URL, die später von den Clients aufgerufen wird, um auf OWA zuzugreifen.
Ich wähle hier den FQDN vom Server aus. Man kann natürlich (ist sogar besser) einen "CNAME Alias" erstellen und den dann auswählen, aber das mache ich jetzt nicht, da ich keinen erstellt und den benötigten Registry-Wert auch nicht gesetzt habe.
ee8e496df5b300ca6b3dc4dfe70b23fa-cs_3 - Klicke auf das Bild, um es zu vergrößern

Als nächstes wähle ich die Onlinezertifizierungsstelle aus, dies ist natürlich meine Interne Zertifizierungsstelle "INT ROOT CA"
Als "Anzeigenamen" nehme ich den CNAME.
4f2b659dd117c84459acacca691d97a0-cs_4 - Klicke auf das Bild, um es zu vergrößern

Ist der Vorgang abgeschlossen, wird mir das Domänenzertifikat unter meiner ROOT CA angezeigt.
8442cb9a430437784801e499d7f6575c-cs_5 - Klicke auf das Bild, um es zu vergrößern

Der weitere Schritt ist sehr wichtig!
Ich wechsle zur "Default Web Site" und wähle die Aktion "Bindungen" aus.
Dort erstelle ich eine neue Sitebindung mit folgenden Werten unter Verwendung meines eben erstellten Domänenzertifikats:
3caf75e7461da649973b27677404ee6b-cs_6 - Klicke auf das Bild, um es zu vergrößern

Danach habe ich eine neue Sitebindung, die unter Server 2008 sehr wichtig ist!
e49d9aae16a1264024791a1a3b4d0c5f-cs_7 - Klicke auf das Bild, um es zu vergrößern

CLIENT KONFIGURATION

Nun, da wir für eine Grundkonfiguration am Server die "nötigen" Schritte eingeleitet haben.
Will ich noch zeigen, welche Konfiguration der Client noch benötigt.
Mein Client ist nicht an der Domäne angemeldet, wäre das der Fall, könnte ich das Zertifikat direkt aus dem AD importieren
Ich benutze deswegen hier und jetzt die Webregistrierung.

Dazu öffne ich im IE die URL " https://s1.mydomain.local/certsrv "
(Jetzt seht Ihr warum es so wichtig ist, darauf zu achten, dass bei der Konfiguration des Domänenzertifikats, der "CNAME" richtig angegeben worden ist. Übrigens: da hätte ich auch einen DYNDNS Namen verwenden können, um jetzt auf meinen Server zuzugreifen)
992d9c5794a978bac271c68ce1d354e1-cs_8 - Klicke auf das Bild, um es zu vergrößern

Natürlich lade ich die Seite trotz der Sicherheitswarnung.
Zuerst lade ich das Zertifizierungsstellenzertifikat, um es später zu den "Vertrauenswürdigen Stammzertifizierungsstellen" zu importieren.
b6a6e8c0c8a34bf2c7b6ca2617c19345-cs_9 - Klicke auf das Bild, um es zu vergrößern

Danach lade ich das Benutzerzertifikat, indem ich auf "Zertifikat anfordern" klicke und danach auf Benutzerzertifikat.
6845ac1493bffbe0653fc5a8a28cb83b-cs_10 - Klicke auf das Bild, um es zu vergrößern

Weiter geht es mit dem auswählen von "Weitere Optionen"
f04f6f408c90c64013746bc71fa3e073-cs_11 - Klicke auf das Bild, um es zu vergrößern

Danach auf "Erweiterte Zertifikatsanforderung"
a923640407e0269dad2d0824c237c096-cs_12 - Klicke auf das Bild, um es zu vergrößern

Hier wähle ich die Zertifikatvorlage "Benutzer" aus und klicke abschließend auf "einsenden"
Mein Zertifikat kann ich dann nach der Anforderung installieren!
07ee8f252db4dfc9df0c7e29b256689c-cs_13 - Klicke auf das Bild, um es zu vergrößern

IMPORT VOM ROOT CA Zertifikat

Vorhin habe ich das Stammzertifizierungsstellen-Zertifikat angefordert und in unter "Eigene Dateien" gespeichert.
Die kann ich nun mit "Doppelklick" auf das gespeicherte Zertifikat, im Speicherort der "Vertrauenswürdigen Stammzertifizierungsstellen" importieren.
5401724f580e7dd6630e22ae5b427566-cs_14 - Klicke auf das Bild, um es zu vergrößern


ZUSATZ

Im "IIS-Manager" unter der Seite "/OWA", kann ich im Bereich "IIS" die SSL-Einstellungen bearbeiten.
Hier kann ich entscheiden, ob Zertifikate beim aufrufen von "/owa" ignoriert bzw. akzeptiert werden oder erforderlich sind.
19d358cf35a1bc7fc963e89d76d94eb2-cs_15_ssl - Klicke auf das Bild, um es zu vergrößern

Bei "Ignorieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, um die Seite aufzurufen.

Bei "Akzeptieren" von Zertifikaten, ist es nicht notwendig ein Zertifikat zu besitzen, würde aber akzeptiert werden.
(Man wird zur Auswahl des Zertifikats aufgefordert)
efeeb16c44c9024bc86bfe6d7bb73e70-cs_akzept - Klicke auf das Bild, um es zu vergrößern

Bei "Erforderlich", ist es notwendig ein Zertifikat zu besitzen, ohne wird der Zugriff verweigert!
(Hier habe ich leider kein Zertifikat )
ff4385422cc77f8014bb9555712c38cf-cs_erford - Klicke auf das Bild, um es zu vergrößern


Gruß,
Ole
Mitglied: tr3bor
12.10.2009 um 12:40 Uhr
Hallo,
ich wollte ein Zertifikat erstellen und habe mich genau an die Anleitung gehalten.
Allerdings wenn ich im IIS das Domänenzertifikat erstellen möchte und nachdem ich alles eingegeben habe auf "Fertig" drücke. Kommt ein Fenster in dem steht das das zertifikat angefordert wurde, aber noch nicht ausgestellt wurde. Wenn ich dieses Zertifikat dann in der Zertifizierungsstelle ausstelle, taucht es nicht in der Liste beim IIS auf. Nun ist mein Problem also das das Zertifikat nicht im IIS auftaucht und ich es somit nicht bei einer Bindung einstellen kann.
Bitte warten ..
Mitglied: computermerlae
11.01.2010 um 11:33 Uhr
Hallo ollembyssan
Vielen Dank für deine tolle Anleitung.
Kannst du (oder jemand anderes) sagen, wieso ich kein CA ROOT INT habe?

Ich habe nur folgende:
- Servername.Domäne.local
- Domäne-Servername-CA
- Internetadresse (also remote.Internetdomain.ch)
- Servername
- Sites
- Servername.Internetdomain.ch
- Servername.Domäne.local

Irgendwie komisch, nicht wahr.
Ich habe schon alle versucht in den IE zu importieren damit ich ohne Zertifikatfehler ins OWA komme und auch gemäss deiner ANleitung habe ich die Zertifikate importiert. leider ohne Erfolg.

Kann mir jemand einen Tipp geben.

Liebe Grüsse
computermerlae
Bitte warten ..
Mitglied: ollembyssan
12.01.2010 um 18:58 Uhr
Hallo Computermerlae,

das scheint alles richtig zu sein!

"CA ROOT INT" heißt bei dir "Domäne-Servername-CA".
Beim erstellen einer Stammzertifizierungsstelle, benutzt das System genau diesen Namen => "Domäne-Servername-CA",
den ich allerdings in "CA ROOT INT" umbenannt habe.

Hast du das Stammzertifizierungs-Zertifikat bei dir importiert ?

Um kurz zu erläutern wie das Vertrauen zustande kommt:
"Traut der User der Zertifizierungsstelle (sprich, hat er das Stammzertifzierungs-Zertifikat als vertrauenswürdig eingestuft), traut er auch allen Zertifikaten, welche diese ausstellt oder ausgestellt hat!"

Entweder, du hast nur das ausgestellte Zertifikat importiert aber nicht das der Zertifizierungsstelle. Oder das Stammzertifizierungs-Zertifikat in den falschen "Speicher" geladen
.
Schau doch einmal nach, ob sich das Zertifikat der Zertifizierungsstelle (sprich, "Domäne-Servername-CA") im Zertifikatsspeicher der "vertrauenswürdigen Stammzertifizierungsstellen" befindet!
=> Ausführen => MMC => SNAPIN hinzufügen => Zertifikate => Eigenes Benutzerkonto => Vertrauenswürdige Stammzertifizierungsstellen

Gruß,
Ole
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...