Zertifikat erstellen in Exchange 2010
In Exchange 2010 hat uns Microsoft einen komfortablen Assistenten spendiert, mit dem Zertifikate z.b. für OWA einfach erstellt werden können.
Meine Aufgabe sah wie folgt aus:
- ein neues Zertifikat für OWA, RPC und Autodiscover erstellen,
- Signatur von der internen PKI reicht,
- da Outlook 2010 getestet wird und dies mit mehrere Exchange Profilen ausgestattet ist, muss Autodiscover für alle diese Mail-Domänen funktionieren. Bei mir waren es Adressen mit unterschiedlichen Mail-Domänen, 2x .de und 1x. info.
Hier das alte Zertifikat. Wie man sehen kann, ausgestellt auf zwei Domänennamen, davon aber nur einmal für Autodiscover. Für die Kommunikation über Exchange Active Sync wird in diesem Fall die Subdomäne RPC verwendet.
Los geht’s mit der Exchange Management Console von 2010:
Es geht den Assistenten durch:
In den nachfolgenden Schritten habe ich mich durch die einzelnen Abschnitte durchgeklickt. Gezeigt wird hier nur, was ich auch ausgefüllt habe.
OWA soll intern und extern erreichbar sein. Die externe URL wird durch den Router auf den CAS geleitet:
EAS wird benutzt und verwendet hierzu eine eigene URL (auch wenn technisch zumindest zur Zeit noch alle URL auf die gleiche IP-Adresse enden):
Auch Outlook Anywhere wird verwendet. Hierbei will ich dann das Problem lösen, dass Outook 2010 zwar endlich mehrere Profile bittet, diese aber alle einzeln abruft. Outlook baut dazu getrennte Verbindungen zu den einzelnen URLs auf. DNS- und IP-technisch war das kein Problem bisher, aber da das alte Zertifikat die zwei zusätzlichen Domänennamen nicht beinhaltet, gab es bei jedem Outlook-Start über Outlook Anywhere zwei Zertifikatswarnungen.
Die einzelnen Abschnitte erleichtern die Eingabe der verschiedenen Domänennamen. Aber technisch sind die Abschnitte eigentlich nicht wichtig. Wichtig ist, was in der nachfolgenden Maske für Domänennamen aufgelistet werden. Hier können dann bei Bedarf auch noch weitere hinzugefügt oder falsche gelöscht oder geändert werden.
Meine Liste sieht so aus und umfasst die folgenden Namen:
- 3x autodiscover mit unterschiedlichen Domänen, für die drei Outlook Profile
- 1x home für OWA
- 1x rpc für die schlussendliche EAS-Kommunikation (auch wenn drei verschiedene Autodiscover “Anrufe” gesehen, so enden alle drei Autodiscover Vorgänge immer in der gleichen RPC-URL.
- 1x interne URL, damit auch die internen Clients beruhigt sind
Nun den Assistenten beenden:
Die Zertifkatsanforderung wurde unter dem Dateinamen “c:\certreq2.req” gespeichert. In der Console taucht nun ein neues Zertifikat auf, dass aber noch nicht benutzt wird.
Nun reichen wir die Anforderung an unsere interne CA ein. Es handelt sich hierbei um eine Windows PKI unter Windows 2008, die auf einem anderen Server läuft. Ich benutze die Dom-Admin Anmeldung, da hier im Standard für diese Konto Autoenrolltment aktiviert ist.
Außerdem unbedingt darauf achten, dass die Webseite in den vertrauswürdigen oder intranet Sites enthalten ist, da sonst ActiveX nicht geht!
Inhalt der REQ-Datei kopieren und in der Web-Anforderung einfügen:
Danach wird das Zertifikat in einer Datei gespeichert, in meinem Fall unter dem Namen c:\certnew2.cer.
Das müssen wir nun importieren:
Danach muss es aktiviert werden. Ich will es nur für die Webdienste benutzen:
Fertig: Das neue Zertifikat wird vom Webserver ausgeliefert.
Mein IPhone hat das geänderte Zertifikat natürlich bemerkt und nach einer Rückfrage dann akzeptiert.
In Outlook intern gab es keine Probleme, auch Outlook extern hat keine Fehlermeldungen mehr angezeigt.
Da es sich um ein intern signiertes Zertifikat handelt, wird es natürlich extern nicht als fehlerfrei akzeptiert, da die signierende CA nicht vertrauenswürdig ist. Hierzu muss entweder das Zertifikat von einer externen Stelle gekauft werden oder das Zertifikat der CA allen Clients bekannt gemacht werden. Intern ginge dies z.B. über eine Gruppenrichtlinie.
Keine Kommentare:
Kommentar veröffentlichen