Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSL Aktivierung des Exchange OWA 2003 mit Benutzung eines 3rd. Part Zertifikates

Anleitung Microsoft Exchange Server

Mitglied: xsoodom

xsoodom (Level 1) - Jetzt verbinden

07.09.2006, aktualisiert 08.01.2015, 48385 Aufrufe, 17 Kommentare

Ausgehend von einer Gerätesituation eines SBS 2003 Premium Servers, Outlook Clients sowie PDA Clients mit WM 2003 und WM5.

Gehen wir von einer Standard Umgebung aus, wo ein Exchange Server intern die Clients mit dem Namen post.intra.domain.de bedient und extern eine öffentliche IP zugewiesen ist. Der ISP hat in seinen DNS Servern, unserem Server einen A-Eintrag und MX Eintrag spendiert, der post.domain.de lautet.

Um eine SSL Verschlüsselung zu konfigurieren, braucht man eine Stammzertifizierungsstelle, die ein Zertifikat ausstellt. Hat man das Zertifikat erstellt und auf den Mailserver und auf die Clients übertragen, ist eine Verschlüsselung möglich.

Um die Verschlüsselung zu testen, öffnet man mit einem Notebook und einer externen Internetverbindung den Browser und trägt in der Adresszeile https://post.domain.de/exchange ein. Kommt jetzt eine Zertifikatsmeldung, ist eine Synchronisierung per Active Sync nicht möglich. Das Sicherheitszertifikat welches für die Firma erstellt wurde, wird nicht vertraut. Dies wird gemeldet, weil es kein öffentliches Zertifikat ist.

44b7a114bc8a0e14d6451f989c2c4a3c-pic1 - Klicke auf das Bild, um es zu vergrößern

Man kann öffentliche CA Zertifikate kaufen, jedoch ist diese Möglichkeit für kleinere Firmen unakzeptabel, da sich diese Zertifikate im 3stelligen Euro Bereich bewegen.
Hier gibt es eine kostenfreie Lösung einer Firma namens Startcom.
Man kann sich darüber streiten, welcher Anbieter, sei es Verisign oder Startcom usw. sicherer ist.


Vorgehensweise

Auf dem Exchange Server erstellst du unter c: einen Ordner Cert.

Jetzt muss das ca.cer und sub.class1.email.ca.cer auf dem Server und Clients installiert werden.

Root CA Zertifikat
http://cert.startcom.org/ca.crt (PEM encoded)
http://cert.startcom.org/ca.der (DER encoded)
http://cert.startcom.org/ca.cer (For Windows®)

Zwischen Email und CA Zertifikat
http://cert.startcom.org/sub.class1.email.ca.crt (PEM encoded)
http://cert.startcom.org/sub.class1.email.ca.der (DER encoded)
http://cert.startcom.org/sub.class1.email.ca.cer (For Windows®)

Jetzt speicherst du die beiden Zertifikate unter c:cert ab.

Exchange Server

Du öffnest eine leere MMC, mit Start > ausführen mmc und Enter.
Dann unter Datei > Snap-In hinzufügen > Hinzufügen > Zertifikate

Du wirst nach dem Verwalter gefragt, wo Computerkonto ausgewählt wird.
Sollte das Zertifikats Snap-In nicht angezeigt werden, wiederhole die Schritte und wähle Eigenes Benutzerkonto aus.

Jetzt importierst du die beiden Zertifikate in die Vertrauenswürdige Stammzertifizierungsstellen Zertifikate wie folgt:

Menü Vertrauens...Stammzertifikate erweitern, Rechtsklick auf Zertifikate->Alle Tasks->Importieren


Vorbereiten des Exchange OWA Servers

Solltest du ein Front-/Back-End Server Szenario haben, so verfolge die Steps nur auf dem Front-End Server!

Öffne IIS Manager > Menü erweitern > Websites > Standardwebsite > Eigenschaften > Klicke auf Verzeichnissicherheit > Serverzertifikat > Erstelle ein neues Zertifikat, weiter auf Anfrage starten, aber später senden.

  • jetzt wird der Name des Zertifikates angegeben. Es sollte einen Wiedererkennungswert besitzen
  • spezifiziere den Firmennamen und Abteilung sowie den FQDN des OWA Servers, wie er im DNS/Internet aufgelöst wird
  • spezifiziere die Region und den Speicherort und fertig

Ok, jetzt ist es Zeit für die Zertifikatsanfrage bei Startcom. https://cert.startcom.org/
Klicke auf den Certificate Creation Wizard und wähle > Class 1 Certificate, dann Server Certificate(without CSR generation).
Nach einer Registrierung deiner persönlichen Details klicke auf weiter.

Wichtig!
Du brauchst für den Registrationsprozess eine Administrator Emailadresse deiner Domain, wie postmaster@domain.de oder webmaster@domain.de.
Ansonsten ist ein Versand des Zertifikates nicht möglich.


Jetzt muss der Text aus der Certreq.txt kopiert und in das Feld auf der Startcom Seite eingefügt werden. Beim Klick auf Continue werden dir ein paar Email Adressen angezeigt. Wähle hier deine Email aus, denn ein paar Minuten später erhältst du eine Verifizierungsmail mit einem Code.
Den verification code kopierst du dir und fügst in auf der Startcom Seite ein und drückst Continue.
Nun kopierst du den Text in eine txt Datei und nennst diese Datei SSL.CRT und speicherst sie in c:cert deines OWA Servers.

Installationsprozess nach der Anfrage

Zurück zum OWA Server öffnest du den IIS Manager > Standardwebsite > Eigenschaften > Registerkarte Verzeichnissicherheit > Server Zertifikat > Weiter und wählst Ausstehende Anforderung verarbeiten und Zertifikat installieren

Den Speicherort der SSL.CRT angeben und weiter > akzeptiere SSL Port 443 > weiter und verifiziere die Zertifikatszusammenfassung

Du öffnest eine leere MMC, mit Start > ausführen mmc und Enter.
Dann unter Datei > Snap-In hinzufügen > Hinzufügen > Zertifikate

Du wirst nach dem Verwalter gefragt, wo Computerkonto ausgewählt wird.
Sollte das Zertifikats Snap-In nicht angezeigt werden, wiederhole die Schritte und wähle Eigenes Benutzerkonto aus.

Nun sollte das eben installierte Zertifikat unter Vertrauenswürdige Stammzertifizierungsstellen Zertifikate angezeigt werden.
Wenn das so ist, wurde alles korrekt ausgeführt.

Installation auf Mobile Geräte

Jetzt muss das Root CA Zertifikat, das "zwischen Email und CA Zertifikat" und das SSL.CRT auf den PDA installiert werden.
Docke ein mobiles Gerät an einen PC an und schiebe die Zertifikate auf das Gerät. Nun müssen alle Zertifikate doppelt angeklickt werden. Nach der Installation sollten alle 3 Zertifikate im Zertifikatsspeicher des mobilen Gerätes auftauchen.
Unter den Servereinstellungen des Active Sync muss noch die SSL Verschlüsselung angehakt werden.

Überprüfung der Zertifikate

Gehe mit dem Internet Explorer des mobilen Gerätes auf deinen OWA Server wie z.B. https://post.domain.de/exchange.

INFO
Der Benutzer sollte ein Open WEP ACCESS aktiviertes Postfach besitzen


Wenn jetzt nur das Anmeldefenster des Benutzers kommt, ist alles korrekt. Es dürfen keine Zertifikats/Sicherheitsmeldungen des Browsers erscheinen.
Ist dies der Fall, kann mit Active Sync eine Synchronisation angestoßen werden, die SSL verschlüsselt
Mitglied: 17169
16.09.2006 um 15:40 Uhr
Danke ! Das hat mir sehr geholfen ! Weiter so !
Bitte warten ..
Mitglied: 17169
12.01.2007 um 18:18 Uhr
bei mir hat er heute etwas rumgesponnen bei der Installation des Zertifikats auf dem PDA.
Es kam "Fehler beim Zugriff auf Zertifikat"

Das hier hat Abhilfe geschaffen.

http://www.synserver.de/support/faq.php?Q631

Vllt. hilft es ja jemand
Bitte warten ..
Mitglied: Tanki
02.02.2007 um 12:53 Uhr
Installation auf Mobile Geräte

Jetzt muss das Root CA Zertifikat, das
"zwischen Email und CA Zertifikat"
und das SSL.CRT auf den PDA installiert
werden.
Docke ein mobiles Gerät an einen PC an
und schiebe die Zertifikate auf das
Gerät. Nun müssen alle Zertifikate
doppelt angeklickt werden. Nach der
Installation sollten alle 3 Zertifikate im
Zertifikatsspeicher des mobilen Gerätes
auftauchen.
Unter den Servereinstellungen des Active
Sync muss noch die SSL Verschlüsselung
angehakt werden.


Hallo!
Ich habe jetzt erfolgreich ein SSL-Zertifikat auf unserem Exchange eingebunden. Das funktioniert soweit auch ganz gut. Leider ist es mir bisher noch nicht gelungen, das ssl.crt auf dem Windows Mobil 5.0 Client (XDA Trion) zu installieren. Was ist dafür notwendig??

Gruß.
Bitte warten ..
Mitglied: 17169
02.02.2007 um 12:55 Uhr
sollte auch ohne funktionieren. ich konnte ssl.crt auch nicht integrieren weil wm 5 das dateiformat nicht kennt. ging aber auch so.
Bitte warten ..
Mitglied: xsoodom
06.02.2007 um 10:29 Uhr
Exchange Server

Du öffnest eine leere MMC, mit Start > ausführen mmc und Enter.
Dann unter Datei > Snap-In hinzufügen > Hinzufügen > Zertifikate

Du wirst nach dem Verwalter gefragt, wo Computerkonto ausgewählt wird.
Sollte das Zertifikats Snap-In nicht angezeigt werden, wiederhole die Schritte und wähle Eigenes Benutzerkonto aus.

Jetzt importierst du die beiden Zertifikate in die Vertrauenswürdige Stammzertifizierungsstellen Zertifikate.

Menü Vertrauens...Stammzertifikate erweitern, Rechtsklick auf Zertifikate->Alle Tasks->Importieren

Jetzt sollte es klappen
Bitte warten ..
Mitglied: Tanki
08.02.2007 um 09:18 Uhr
sollte auch ohne funktionieren. ich konnte
ssl.crt auch nicht integrieren weil wm 5 das
dateiformat nicht kennt. ging aber auch so.
Hm, kann es sein, dass es bei mir ohne das ssl.crt nicht funktioniert, weil ich den Exchange Server momentan noch nicht über den FQDN anspreche, der im Zertifikat angegeben ist? Ich habe das Zertifikat nämlich bereits auf den Namen ausstellen lassen, über den er später im Internet erreichbar sein soll. Für die Tests ist der Exchange aber noch nicht im Internet publiziert und ich spreche ihn über den internen FQDN an. Der steht aber nicht im Zertifikat.

Könnte darin das Problem liegen?? Kann mir diesbezüglich evt. noch jemand Hilfestellung geben. Ohne SSL funktioniert Direct Push wunderbar. Mit SSL geht auch der OWA und über das WM5 Device kann ich auch OWA im Internet Explorer aufrufen (dann erscheint die Abfrage nach dem Zertifikat, das auf eine andere Domäne ausgestellt ist)...
Ist das verständlich geworden, was mir hier Probleme bereitet??

Gruß.
Bitte warten ..
Mitglied: xsoodom
25.05.2007 um 09:30 Uhr
Das Zertifikat ist nur für den externen Zugang. Mit dem internen FQDN ist dann die Synchronisation per PDA nicht möglich. Das Zertifikat kennt ja nur den externen FQDN.
Bitte warten ..
Mitglied: xsoodom
17.08.2007 um 11:18 Uhr
Hat jemand Erfahrungen mit abgelaufenen Zertifikaten??
Bitte warten ..
Mitglied: maragello
08.11.2007 um 13:59 Uhr
Hallo xsoodom,

Ich komme mit der Seite von Startcom nicht ganz klar. So wie du das beschrieben hast ist es (für mich) schwierig mich auf der Seite zurechtzufinden.

Also nach einer kurzen Registrierung: Ich komme zuerst auf die Unterseite Startssl PKI.
Dort Certificat Wizard

Da jedoch ist kein >class 1 Certificat zu finden, sowie es in deinem Posting geschildert ist.
Kann es sein dass Startcom ihre Seite ein bißchen verändert hat, seit du das hier gepostet hast?

Da ist nämlich ein dropdown menu und man kann auswählen:
- S/MIME and Client Certifiact (Email Verschlüsselung)
- SSL/TLS Web Server Certificat (Wevserver)
- Domain Controller Certificat (Logon Zertificat für DC´s)
- Windows Logon Client Certificat (Logon Zertificat für Clients)

Ich bin davon ausgegangen, dass hier SSL/TLS Web Server Certificat auszuwählen ist.
Ist das richtig?
Hier will man unbedingt eine Validierung der domain. Ich muss

postmaster@domain.de
hostmaster@domain.de oder
webmaster@domain.de

sein.
Bin ich soweit richtig oder bewege ich mich an falscher Stelle?
Bitte warten ..
Mitglied: xsoodom
08.11.2007 um 16:44 Uhr
Anscheinend hat Startcom ihre Seite verändert.

https://cert.startcom.org/ dann auf

Certificate Creation Wizard (Web Server, Domain Controller, Email,S/MIME and Smartcard Certificates) und Class 1 Certifikate


Richtig ist:
Du musst postmaster@domain.de oder hostmaster@domain.de oder
webmaster@domain.de deiner Domain sein.


Als sehr gute und günstige Alternative kann ich noch RAPIDSSL.com empfehlen.
Dort bekommt man ein Cert für 70€. Für 30 Tage ist ein Cert sogar zum Testen!
Konfiguration ist auch easy!

Gruß
xsoodom
Bitte warten ..
Mitglied: maragello
14.11.2007 um 15:56 Uhr
Hallo xsoodom,

Lob hast du sicher nicht nötig.
Aber trotzdem.
Tolles Tutorial.
Danke.
Bitte warten ..
Mitglied: pyccku
13.03.2008 um 17:31 Uhr
Wo genau liegt der Unterschied zu dieser Vorgehensweise? http://www.msisafaq.de/Anleitungen/2000/Server/Exchange_OWA_SSL_1.htm
Bitte warten ..
Mitglied: xsoodom
13.03.2008 um 17:50 Uhr
Mit der hier beschriebenen Anleitung kann man von der ganzen Welt auf sein OWA zugreifen, da das öffentliche Zertifikat schon in alle möglichen Browserarten integriert ist.(muss daher "gekauft" werden)

Bei der von dir angezeigten Variante klappt dies in einem Firmennetz(Intranet) und nur bei den Browsern, die das Cert importiert haben. An öffentlichen PC´s ohne Admin Rechte wird man nie ein Zertifikat einspielen können.

Gruß

xsoodom
Bitte warten ..
Mitglied: pyccku
13.03.2008 um 17:55 Uhr
Danke für die schnelle und verständliche Antwort.
Bitte warten ..
Mitglied: pyccku
14.03.2008 um 14:44 Uhr
Hallo,

ich habe noch ein paar Fragen.
- Was genau sind eigentlich Snap-Ins?
- Wozu sind die ersten zwei Zertifikate gut? Also die die mann runterlädt...
- Was ist der Unterschied zwischen Fronted und Backend Servern?

Danke im Vorraus
Bitte warten ..
Mitglied: alexanderschuhmann
02.05.2008 um 18:02 Uhr
Hallo,

Hier wird in dem Beispiel StartCom verwendet, ich würde diesen Betreiber nicht empfehlen, da er den privat Key, nicht wie normalerweiße üblich auf dem lokalen Server erstellt, sondern online. Dadurch könnte eine Kopie erstellt werden, welche es ermöglicht sämtlichen SSL Verkehr zu entschlüsseln.

Mit freundlichen Grüßen,

Alexander Schuhmann
Bitte warten ..
Mitglied: Rob-Deg
07.05.2008 um 08:32 Uhr
Hallo finde das Tut sehr gut, aber mit einem Punkt komme ich nicht zu recht.
Denn die Seite von StartSSL wurde umgebaut.
Zwar so zuerst muss der Validation Wizard genommen werden wo man dann
eine Email mit dem Validation Code auf das postmaster@domain.de bekommt, diesen
muss man dann einfügen und auf continue drücken.
Im nächsten Schritt muss man den Certificates Wizard hernehmen und jetzt kommt meine
Frage, wo muss ich den Inhalt der Certreq.txt hinkopieren? ("Jetzt muss der Text aus der Certreq.txt kopiert und in das Feld auf der Startcom Seite eingefügt werden")
In das Feld wo der Privatkey von StartSSL generiert wird? Nicht oder?
Vielleicht könnte mir jemand weiterhelfen.
Besten Dank im Voraus.

Gruß

Rob
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
Exchange OWA Problem Kennwort falsch (15)

Frage von Henere zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Exchange Server
Exchange 2003 auf 2007 Implace Migration (18)

Frage von Herbrich19 zum Thema Exchange Server ...

Exchange Server
Exchange 2013, OWA zeigt unter Android nur die "light" Version

Frage von rickstinson zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...