Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OWA und Zertifikate - Server 2003 und Exchange 2007

Anleitung Microsoft Exchange Server

Mitglied: ollembyssan

ollembyssan (Level 2) - Jetzt verbinden

25.04.2009, aktualisiert 26.04.2009, 44941 Aufrufe, 19 Kommentare, 3 Danke

HOW TO
- Erstellen von einer Stammzertifizierungstelle
- Erstellen von einem Zertifikat
- Einrichten von OWA am Server und Client
- OWA mit Hilfe von DYNDNS

Erstellen der Zertifikatdienste und der Stammzertifizierungstelle (ROOT CA)

Zuerst installieren wir die Zertifikatdienste unter Software.
493578af637ccbcaaba8ebfd88a06e8a-cs_1 - Klicke auf das Bild, um es zu vergrößern

Nun installieren wir eine Stammzertifizierungstelle, da dies die Erstinstallation ist.
7744cc2dad343d91fbfd09e3c1072211-cs_2 - Klicke auf das Bild, um es zu vergrößern

Dann muss der Kryptografiedienstanbieter, ein Hashalgorithmus und die Einstellungen für das Schlüsselpaar ausgewählt werden.
(Ich übernehme hier die vorgegebenen Werte)

Danach werden wir nach dem Allgemeinen Namen für die Zertifizierungstelle gefragt, dort habe ich wie im "HOWTO zu Server 2008" den Namen "Interne Zertifizierungstelle" gewählt. Zudem kann man auch die Gültigkeitsdauer festlegen. Der vorgegebene Wert von 5 Jahren reicht allerdings zunächst einmal aus.
d7cc2fdc1d059e5c5a39c19b73dad1ab-cs_4 - Klicke auf das Bild, um es zu vergrößern

Im nächsten Schritt können wir den Speicherort der Zertifikatdatenbank und -Protokoll bestimmen und uns bis zum Fertigstellen der Installation klicken.


Erstellen vom Zertifikat

Im IIS-Manager unter Standardwebsite - Eigenschaften, klicken wir auf Serverzertifikat und erstellen mit Hilfe vom Assistent das erste Zertifikat.
1243b5de7bce70cae7f2f95ba3be2bbd-ca_1 - Klicke auf das Bild, um es zu vergrößern
bb35fa69829969cedb6f996ecd1f49d3-ca_2 - Klicke auf das Bild, um es zu vergrößern


Wir entscheiden uns dafür, die Anforderung sofort an eine Onlinezertifizierungstelle zu senden.
b8421e0b04a95ac6bf0b66c26b9e2b44-ca_3 - Klicke auf das Bild, um es zu vergrößern

Danach geben wir den Namen für das Zertifikat ein und können auch die Bitlänge des Schlüssels bestimmen.
3d7ed9d9514fcc507c9888d0c2c2d83e-ca_4 - Klicke auf das Bild, um es zu vergrößern

Als nächstes werden wir nach der Organisation und der Organisationseinheit gefragt.

Hier geben wir den CNAME ein:
ACHTUNG: In diesem Beispiel gebe ich den Namen vom Dyndns an, da ich später von extern auf diese Seite zugreifen will, um OWA zu nutzen.
e355f312fbb59005ced9a68e4f5d9653-ca_7 - Klicke auf das Bild, um es zu vergrößern

Falls die Seite NUR im Intranet genutzt werden soll, kann man hier den CNAME vom Server angeben.
Der CNAME muss allerdings im DNS-Server eingetragen werden:
(hier würde der CNAME "owa.myescp.local" heißen)
442fe56ffc582d73400e6b1291efcf14-dns_cname_alias - Klicke auf das Bild, um es zu vergrößern


Danach wird noch nach dem SSL Port für die Webseite gefragt. Es gibt keinen Grund den Port von 443 zu ändern.
Am Ende wird das Ganze noch einmal angezeigt und wir können die Zertifikatsanforderung senden.

Damit man den CNAME auch aufrufen und verwenden kann, bedarf es noch einer Bearbeitung der Registry:
Unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache" muss ein "REG_MULTI_SZ - Wert" mit dem Namen "AlternateComputerNames" erstellt werden.
Dort schreiben wir den CNAME (hier: owa.mydomain.local) hinein.
Nach dem Neustart vom "Anmeldedienst" kann man den CNAME anstatt dem Servername im IE aufrufen.
52b935b639321dcb6190c109005fdf7e-registry_cname - Klicke auf das Bild, um es zu vergrößern


Achtung
Überprüfe bitte, ob die "Standardauthentifizierung" von OWA im IIS-Manager aktiviert und der "Anonyme Zugriff" deaktiviert ist!
Überprüfe bitte auch, ob "SSL" von OWA im IIS-Manager unter Verzeichnissicherheit \ Sichere Kommunikation aktiviert ist!


Weitere Konfiguration In der EMC (Exchange Management Console) von Exchange 2007

Unter "Serverkonfiguration - Clientzugriff - Outlook Web Access" öffnet man die owa (Standardwebsite) und kann die "Interne URL" und "Externe URL" angeben.
Interne URL: z.B. servername.mydomain.local/owa ( oder unter Verwendung eines CNAME: cname.mydomain.local/owa )
Externe URL: z.B. firma.dyndns.org/owa
52009aa4ba0dd3e75a2ad173247a9d4c-owa_exchange_ex_in - Klicke auf das Bild, um es zu vergrößern
( ich verwende hier für die "Interne URL" den CNAME "owa", sprich "owa.mydomain.local/owa" )


Zertifikat Anforderung am Client (Webregistrierung)

Jetzt muss natürlich auch noch am Client etwas "Arbeit" geleistet werden

Zunächst will ich das Benutzer-Zertifikat von der ROOT CA (Stammzertifizierungsstelle) anfordern.
Im IE rufe ich nun die Interne URL " https://owa.mydomain.local/certsrv " auf ( falls von extern, dann: " https://firma.dyndns.org/certsrv " )
Zunächst muss ich mich authentifizieren, danach kann ich ein "Zertifikat anfordern"
77593d2a8740aa284a0b823b6313bd86-client_1 - Klicke auf das Bild, um es zu vergrößern

Jetzt wähle ich "Benutzerzertifikat" aus.
214c345c507a2cb913ac6c4b23341204-client_2 - Klicke auf das Bild, um es zu vergrößern

Dann auf "Weitere Optionen"
2988697c8a8169457e50cd72d23ed73a-client_3 - Klicke auf das Bild, um es zu vergrößern

Hier klicke ich auf "Erweiterte Zertifikatanforderung", da ich noch entscheiden will, was für eine Zertifikatvorlage ich installieren möchte.
5553efa8befd62acdc129f53265e335f-client_4 - Klicke auf das Bild, um es zu vergrößern

Danach wähle ich nur noch die Zertifikatvorlage "Benutzer" aus und klicke auf "einsenden", um das Zertifikat im abschließenden Schritt zu installieren.
972da83b7f55fffc71c490f49bd904bc-client_5 - Klicke auf das Bild, um es zu vergrößern


Import der "Vertrauenswürdigen Stammzertifizierungsstelle"

Jetzt muss ich dem IE natürlich noch sagen, dass meine "Interne Stammzertifizierungsstelle" auch vertrauenswürdig ist, denn sonst blickt der das nicht
Ich rufe wiederholt (kann man auch in einem Arbeitsgang machen) " https://owa.mydomain.local/certsrv " auf und wähle diesmal "Download eines Zertifizierungsstellenzertifikats"

Hier wird mir das Zertifizierungsstellenzertifikat angezeigt, welches ich herunterladen kann.
2e36a71483fbe0c5136cbc4c0f5abbe0-client_7 - Klicke auf das Bild, um es zu vergrößern

Das zuvor heruntergeladene "Zertifizierungsstellenzertifikat" muss ich nun noch importieren.
Dazu öffne ich die Eigenschaften des IE und wechsel zum Reiter "Inhalte"
Dort klicke ich auf "Zertifikate" und wechsel im sich öffnenden Fenster zum Reiter "Vertrauenswürdige Stammzertifizierungsstellen".
2ead1ace8ef010b51d4e4bffb60a7582-client_8 - Klicke auf das Bild, um es zu vergrößern

Hier klicke ich auf "Importieren", wähle das zuvor gespeicherte Stammzertifizierungszertifikat aus und importiere dieses zu den "Vertrauenswürdige Stammzertifizierungsstellen".
3fd8607ba71b6f4be04934ac3fe69481-client_9 - Klicke auf das Bild, um es zu vergrößern


Ich hoffe das HOWTO ist einigermaßen verständlich, ich habe es so ausgerichtet, dass ich es auch verstehen würde, wenn ich nicht wüsste wie es geht

Gruß,
Ole
Mitglied: Indy06
11.05.2009 um 20:55 Uhr
Hallo Ole!

Gute Anleitung, vielen Dank! Ich würde gerne wissen, was der Unterschied ist, zwischen der Installation der Zertifizierungsdienste mit anschließender Erstellung eines Zertifikats und dem Tool selfssl.exe aus dem IIS 6.0 Resource Kit! Wenn ich das richtig verstehe, erstellt man in beiden Fällen ein selbstsigniertes Zertifikat, spart sich mit selfssl.exe aber den Aufwand zusätzliche Dienste einzurichten. Gibt es andere Vor- bzw. Nachteile?

Gruß,
Indy06
Bitte warten ..
Mitglied: ollembyssan
12.05.2009 um 15:18 Uhr
Hallo Indy06,

mit SelfSSL hat man zwar ein Zertifikat, welches die SSL Verschlüsselung der Daten garantiert,
Dies aber ohne Stamm CA.
Es wird dadurch allerdings nicht garantiert, dass du dich auf dem "richtigen" Webserver befindest.

Gruß,
Ole
Bitte warten ..
Mitglied: Indy06
12.05.2009 um 16:08 Uhr
Zitat von ollembyssan:
mit SelfSSL hat man zwar ein Zertifikat, welches die SSL
Verschlüsselung der Daten garantiert,
Dies aber ohne Stamm CA.
Es wird dadurch allerdings nicht garantiert, dass du dich auf dem
"richtigen" Webserver befindest.

Hm, ich habe es also noch immer nicht verstanden. Ich dachte bisher, dass man erst mit einem Zertifikat von einer vertrauenswürdigen certificate authority (CA wie VeriSign) vor Man-in-the-middle-Attacken geschützt ist (ohne das ich wüste warum und wie genau das gewährleistet wird). Ich kann wohl durch die Installation der Zertifizierungsdienste unter Windows Server eine eigene CA einrichten, aber vertrauenswürdig wird die dadurch doch noch lange nicht, oder? Kannst Du bitte noch eine Spur genauer auf den Unterschied zwischen CA und selfssl.exe eingehen!

Vielen Dank,
Indy06

Gruß,
Ole
Bitte warten ..
Mitglied: ollembyssan
12.05.2009 um 18:18 Uhr
Hallo Indy06,

die Root CA garantiert dir, dass du dich auf dem richtigen Server befindest.
Es kommt beim Aufruf allerdings der Hinweis, dass es sich um eine nicht vertrauenswürdigen Root CA handelt.
Dieses Zertifikat kannst du den "Vertrauenswürdigen Stammzertifizierungsstellen" hinzufügen.
Kommt später dann doch mal eine Rückfrage, dann hat jemand ein neues Zertifikat auf dem gleichen Server oder auf einem anderen Server installiert. Das sollte einen sofort alarmieren...

Der Einsatz von SelfSSL garantiert primär nur die Verschlüsselung, ohne offizielles Zertifikat oder eigene Zertifikatsstelle, sodass SSL überhaupt genutzt werden kann.
Bitte warten ..
Mitglied: Adamantium
17.07.2009 um 06:37 Uhr
Servus ollembyssan,

tolle Anleitung nur leider habe ich ein Problem beim Installieren der Stammzertifizierungstelle.

Mein System

HP Proliant ML 350 G5
Intel Xeon E5430 2.66Ghz
3,5 GB Ram

Windows SBS 2003 R2 SP 2
Exchange 2003

Wenn ich die Stammzertifizierungstelle installieren will verlangt mein Server erst die SP 2 CD da er eine datei certsrv. benötigt.
Leider habe ich diese CD nicht das ist bei mir schon alles auf den Install Discs vom Server.

Dann habe ich mir das SP 2 geladen und die datei von da Rausgeholt und ihm eingespielt.
Doch danach verlangt er immer mehr datein von anderen CD´s und von meinen Originalen akzeptiert er keine.

Kann mir bitte wer helfen bin am verzweifeln.
Sollten noch mehr Infos zum System benötig werden bitte um kurze Nachricht.

Recht herzlichen dank schon mal im Vorraus.
Bitte warten ..
Mitglied: Scottbull
22.07.2009 um 15:44 Uhr
Hallo,

leider stehe ich vor genau dem gleichen Problem wie Adamantium.
Nur das ich ein anderes System habe.

Eine Antwort wäre super.

Danke und Grüße

UPDATE: Ich habe nun die richtige CD gefunden und konnte es endlich installieren.
Schau am besten nochmal alle CDs durch die mitgeliefert wurden. Die Dateien befinden sich auf der Install. CD vom System.

Grüße
Scottbull
Bitte warten ..
Mitglied: Dinkelmeister
11.08.2009 um 09:05 Uhr
Hallo und erstmal vielen Dank für diese Anleitung. Ich hab noch ne Frage. Wenn ich ein Root Zertifikat für meinen Exchange für EAS ausstellen möchte, muss ich dann diese Zertifizierungsstelle auf dem Exchange installieren oder auf dem DC?
Bitte warten ..
Mitglied: ollembyssan
11.08.2009 um 09:26 Uhr
Hallo Dinkelmeister,

installiere die Root Zertifizierungsstelle auf dem DC, ich denke du willst eine Enterprise CA verwenden und die benötigt nun mal ein AD.

Gruß,

Ole
Bitte warten ..
Mitglied: Dinkelmeister
11.08.2009 um 11:05 Uhr
Ah ok. Also soweit hab ich das schon gemacht. Aber auf die Seite vom Zertifikatsdienst komme ich nicht. Mal eine Grundlegen Frage. Gegeben ist:
- DC-Server (MsSvr2003 Std. mit Zertifikatsstelle und IIS)
- MSX2007-Server (auf MsSvr2003 Std.)

1. MSX2007 wurde neu installiert und hat ein eigenes Zertifikat erstellt welches 1 Jahr gültig ist. Kann ich auf dem Webserver vom MSX2007 deshalbt nicht ein neues zertifikat anforden sondern nur verlängern? Muss ich demnach zuerst das zertifikat löschen? Was passiert dann im Produktiven Bebtrieb während dieser Zeit mit den Outlook2007 Clients?

2. Ich komme nicht auf die Website der Zertifizierungsstelle. Müsste aber mit folgender Adresse draufkommen: https://DC-Server/certsrv/ Ist das richtig oder lieg ich hier falsch?
Bitte warten ..
Mitglied: ollembyssan
14.08.2009 um 10:19 Uhr
1. Löschen
2. Neu anfordern
3. Daten angeben
4. Ganz wichtig, bei "Erweiterte Zertifikatsanforderung" -> Name = entspricht der Adresse, auf welche später über das Internet auf den Exchange Server zugegriffen wird !
.
.
.

Hier wird die Vorgehensweise in deinem Fall genau beschrieben:

http://books.google.de/books?id=INsKK5DK6gYC&pg=PA553&lpg=PA553 ...

Gruß,

Ole
Bitte warten ..
Mitglied: Dinkelmeister
14.08.2009 um 17:50 Uhr
Hi Ole

Also vielen Dank schon mal für deine Hilfe. Ich habs jetzt soweit dass ActiveSync geht. Dafür stimmt das interne Zertifikat nicht mehr. Welchen Service nutzt Outlook2007 für die Verbindung zum Exchange? Weisst du das?
Bitte warten ..
Mitglied: ollembyssan
14.08.2009 um 18:53 Uhr
Das interne Zertifikat zeigt dir einen Fehler an, bzw. die Ungültigkeit der Adresse, richtig?
Ist doch irgendwo klar, weil dein Zertifikat auf die Adresse ausgestellt ist, worauf die User von extern bzw. über das Internet auf OWA zugreifen, oder?

Was meinst du genau mit Service?
Bitte weitere Fragen per PM!
Danke

Gruß,

Ole
Bitte warten ..
Mitglied: Adamantium
15.08.2009 um 11:44 Uhr
Servus Scottbull,

ich habe schon alle CD´s durch und nirgends sind die benötigten Files Drauf!
Oder zumindest findet der Installdienst sie nicht.

Mit welcher CD hats bei dir geklappt?

Bin für jede Info Dankbar.

Vielen Dank
MFG Adamantium
Bitte warten ..
Mitglied: Dinkelmeister
21.08.2009 um 15:36 Uhr
Hi Ole

Herzlichen Dank für deine Bemühung. Ich hab jetzt in einer Virtuellen Maschine einen Server aufgesetzt, komplett getrennt vom restlichen Netzwerk mit einer neuen Domäne usw. Dann die Zertifizierungsstelle installiert und bin danach nach einer Anleitung mit Powershell Schritt für Schritt vorgegangen. Jetzt läuft alles. Also nochmals herzlichen Dank!

Beste Grüsse,
Dinkelmeister
Bitte warten ..
Mitglied: cyprian
19.04.2010 um 13:15 Uhr
Hallo,

kurze Frage zum SSL Zertifikat.
Wenn ich über extern auf meinen lokalen Exchange Server 2003 zugreifen möchte, wie muss der CN Name heißen?

mail.meinedomain.de

oder

mail.ath.cx? (Dyndns)

Hintergrund:

Domain bei DomainFactory
meinedomain.de

Ich habe eine Subdomain erstellt:

mail.meinedomain.de --> diese wird auf https://mail.ath.cx/exchange weitergeleitet

*Namen wurde geändert!

Der Exchange Server 2003 läuft, bis auf die Warnungen:

"Es besteht ein Problem mit dem Sicherheitszertifikat der Website.


Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.
Klicken Sie hier, um diese Webseite zu schließen.
Laden dieser Website fortsetzen (nicht empfohlen).
Weitere Informationen


Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).
Geben Sie keine persönlichen Informationen auf der Website an, wenn Sie diesen Fehler ignorieren und den Vorgang fortsetzen.

Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe"

P.S.
Ich möchte mir nämlich ein SSL Zertifikat kaufen und will keinen Fehler machen...


LG aus Berlin,
cyprian
Bitte warten ..
Mitglied: Dinkelmeister
19.04.2010 um 13:46 Uhr
hi cyprian
der name muss der selbe sein der auch in deiner adressleiste angezeigt wird. in deinem fall würde ich jetzt sagen mail.ath.cx. aber du kannst auch beide namen ins zertifikat integrieren.
gruss dinkelmeister
Bitte warten ..
Mitglied: cyprian
19.04.2010 um 13:57 Uhr
danke für die schnelle antwort.
gerade ist mir folgendes aufgefallen.

Wenn ich im IE http://www.mail.meinedomain.de/ aufrufen will, klappt die weiterleitung nicht!
Es müsste ja kommen: https://mail.ath.cx/exchange --> die Anmeldemaske vom OWA kommt nicht.

Im Firefox klappt die Weiterleitung...die Anmeldemaske vom OWA wird geladen
In der Adressleiste steht aber http://www.mail.meinedomain.de/

unten links im Browser steht: warten auf https://mail.ath.cx/exchange...

was ist nun richtig?
Bitte warten ..
Mitglied: cyprian
19.04.2010 um 13:59 Uhr
Zitat von Dinkelmeister:
hi cyprian
der name muss der selbe sein der auch in deiner adressleiste angezeigt wird. in deinem fall würde ich jetzt sagen
mail.ath.cx. aber du kannst auch beide namen ins zertifikat integrieren.
gruss dinkelmeister

wo kann ich denn beide namen integrieren?
Bitte warten ..
Mitglied: Dinkelmeister
19.04.2010 um 14:12 Uhr
wenn du die cert anfrage erstellst. kenne aber exchange 2003 nicht wirklich. nur 2007. kann dir deshalb nichts genaueres sagen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Exchange Server
Exchange 2003 auf 2007 Implace Migration (18)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...