Selbstsigniertes SSL- Zertifikat für externe und interne Servernamen installieren |
| Posted by Administrator (admin) on Feb 16 2008 at 11:17 |
Soll der Exchange mittels OWA oder Outlook Anywhere vom Internet aus angesprochen werden, so ist die Verbindung aus Sicherheitsgründen mittels SSL abzusichern. Zu diesem Zweck muss ein SSL- Zertifikat erstellt und installiert werden. Es reicht in den meisten Fällen ein internes und nicht von einer externen Zertifizierungsstelle signiertes Zertifikat zu installieren. Leider gibt es dabei ein Problem, dass der Antragsteller der Servername ist, so wie er im Internet erscheint. Werden nun OWA oder Outlook 2007 im internen Netz aufgerufen, so erscheint ein Zertifikatsfehler, dass der Name des Servers auf dem Zertifikat nicht mit dem angefordertem Server entspricht. Es ist aber nicht möglich, 2 Zertifikate zu erstellen. Zu diesem Zweck muss ein Zertifikat mit mehreren DNS-Antragstellernamen erzeugt werden. Um dies zu tun, sind folgende Schritte notwendig :
Voraussetzung ist eine interne Zertifizierungsstelle im Netzwerk !
- Öffnen der Exchange Powershell
- folgenden Befehl eingeben (test.de abändern !!!):
New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=<externe Domain>, cn=<OWA Name aus dem Internet>" -includeAutodiscover -IncludeAcceptedDomains -DomainName <OWA Name aus dem Internet> ,<ExchangeServerName>,<FQDN-ExchangeServerName> -privatekeyexportable $true -Path c:\certrequest.txt
z.B.: New-ExchangeCertificate -GenerateRequest -SubjectName "c=DE, o=test.de, cn=mail.test.de" -includeAutodiscover -IncludeAcceptedDomains -DomainName mail.test.de,XCHG-SRV,XCHG-SRV.intern.test.de -privatekeyexportable $true -Path c:\certrequest.txt
- die Datei c:\certrequest.txt mit dem Editor öffnen und alles zwischen den Markierungszeilen in die Zwischenablage nehmen
- die Webseite der internen Zertifizierungsstelle öffnen (https://<Zertifizierungsserver>/certsrv) und dort den Punkt Request a certificate -> Advanced Certificate Request ->
Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file auswählen - die Zwischenablage in das Feld Saved Request: einfügen und Certificate Template: Webserver wählen
- Zertifikat wird generiert und als C:\certnew.cer herunterladen
- in der Exchange Powershell Zertifikat importieren :
Import-ExchangeCertificate -path c:\certnew.cer -friendlyname "OWA"
- den angezeigten Thumbprint in die Zwischenablage nehmen und das Zertifikat aktivieren :
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
Anschließend kann das Zertifizierungsstellenzertifikat als Datei exportiert werden und auf jedem externen Client zu den vertauenswürdigen Zertifizierungsstellen hinzugefügt werden (damit keine Fehlermeldung kommt). Dies aber nur auf eigenen Clients, nicht im Internetcafe !!! Dort muss die Fehlermeldung nur bestätigt werden.
- die Webseite der internen Zertifizierungsstelle öffnen (https://<Zertifizierungsserver>/certsrv) und dort den Punkt Download a CA certificate, certificate chain, or CRL , dann das Zertifikat und dann Download CA certificate auswählen
- Zertifikat unter dem Namen <Server>.cer abspeichern
- auf jedem in Frage kommenden Client mit Doppelklick installieren
Anhang : Microsoft- Anleitung : http://technet.microsoft.com/en-us/library/aa995942.aspx
Zurück
