von Redaktion IT-A…
Lesezeit
2 Minuten
Sicherheit in Exchange (2)
Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. In der zweiten Folge des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen.
Vorbereiten der Zertifikatänderung
In Exchange 2016 verwalten Sie Serverzertifikate im EAC. Um dem Server ein Zertifikat zuzuweisen, klicken Sie auf "Server" und dann auf "Zertifikate". Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die AD-Zertifikatdienste oder über das Webfrontend des Drittherstellers anfordern.
Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers. Verwenden Sie die AD-Zertifikatdienste, erreichen Sie diese über die Adresse "https: //<Servername>/certsrv". Klicken Sie "Ein Zertifikat anfordern" und anschließend "Erweiterte Zertifikatanforderung". Nun wählen Sie die Option "Reichen Sie eine Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein".
Im nächsten Fenster geben Sie im Feld "Gespeicherte Anforderung" den Text der REQ-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage, wobei Sie den kompletten Text der Datei verwenden müssen. Für die Zertifikatvorlage legen Sie nun "Webserver" fest und klicken auf "Einsenden". Anschließend laden Sie das Zertifikat als CER-Datei herunter und speichern diese auf dem Exchange-Server.
Als Nächstes integrieren Sie das neue Zertifikat im EAC in Exchange. Klicken Sie auf "Server / Zertifikate" und wählen Sie das Zertifikat in der Konsole mit dem Status "Ausstehende Anforderung". Hier klicken Sie "Abschließen". Jetzt wählen Sie die heruntergeladene CER-Datei aus und schließen den Vorgang ab. Das Zertifikat wird danach als "Gültig" angezeigt.
Erscheint ein Fehler, überprüfen Sie, ob das Zertifikat der
Stammzertifizierungsstelle auf dem Exchange-Server bei den
vertrauenswürdigen Stammzertifizierungsstellen hinterlegt ist. Dazu
geben Sie Certlm.msc auf der Startseite oder im Startmenü ein und
erweitern in der Konsole "Zertifikate / Vertrauenswürdige
Stammzertifizierungsstellen / Zertifikate". Überprüfen Sie an dieser
Stelle, ob das Zertifikat der Zertifizierungsstelle hinterlegt ist.
Finden Sie das Zertifikat nicht, geben Sie in der Eingabeaufforderung
Gpupdate /force ein, damit das Zertifikat der Stammzertifizierungsstelle
von der internen Zertifizierungsstelle abgerufen wird.
Nach diesem Vorgang haben Sie das Zertifikat erfolgreich in Exchange integriert. Markieren Sie das Zertifikat, können Sie über das Stift-Symbol jederzeit Einstellungen ändern und dieses auch mit den anderen Diensten in Exchange verbinden. Dazu klicken Sie im neuen Fenster auf "Dienste", markieren die noch nicht ausgewählten Dienste und klicken auf "Speichern". In manchen Fällen werden Sie noch gefragt, ob bereits vorhandene Zertifikate überschrieben werden sollen. Das bestätigen Sie.
Sehr wichtig ist an dieser Stelle, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Name hinterlegen, wenn Sie ein Zertifikat ausstellen. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Namen des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook und Exchange ActiveSync wichtig. Falls ein Zertifikatfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern.
Arbeiten Sie mit den AD-Zertifikatdiensten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der Exchange-Server den Zertifikaten dieser Zertifizierungsstelle vertraut.
Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien
jp/ln/Thomas Joos
[1] www.digicert.com/help/
In Exchange 2016 verwalten Sie Serverzertifikate im EAC. Um dem Server ein Zertifikat zuzuweisen, klicken Sie auf "Server" und dann auf "Zertifikate". Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die AD-Zertifikatdienste oder über das Webfrontend des Drittherstellers anfordern.
Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten. Im nächsten Schritt geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen. Nun wählen Sie die Serverdienste aus, wobei Sie für jeden Serverdienst auf das Stiftsymbol klicken und für jeden Dienst den vollständigen DNS-Namen angeben, mit dem auf den Server zugegriffen wird.
Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein. Im Anschluss speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei mit der Endung "REQ" fordern Sie das Zertifikat anschließend an. Sie sehen im EAC den Status des Zertifikats als "Ausstehende Anforderung".
Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers. Verwenden Sie die AD-Zertifikatdienste, erreichen Sie diese über die Adresse "https: //<Servername>/certsrv". Klicken Sie "Ein Zertifikat anfordern" und anschließend "Erweiterte Zertifikatanforderung". Nun wählen Sie die Option "Reichen Sie eine Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein".
Im nächsten Fenster geben Sie im Feld "Gespeicherte Anforderung" den Text der REQ-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage, wobei Sie den kompletten Text der Datei verwenden müssen. Für die Zertifikatvorlage legen Sie nun "Webserver" fest und klicken auf "Einsenden". Anschließend laden Sie das Zertifikat als CER-Datei herunter und speichern diese auf dem Exchange-Server.
Als Nächstes integrieren Sie das neue Zertifikat im EAC in Exchange. Klicken Sie auf "Server / Zertifikate" und wählen Sie das Zertifikat in der Konsole mit dem Status "Ausstehende Anforderung". Hier klicken Sie "Abschließen". Jetzt wählen Sie die heruntergeladene CER-Datei aus und schließen den Vorgang ab. Das Zertifikat wird danach als "Gültig" angezeigt.
Nach diesem Vorgang haben Sie das Zertifikat erfolgreich in Exchange integriert. Markieren Sie das Zertifikat, können Sie über das Stift-Symbol jederzeit Einstellungen ändern und dieses auch mit den anderen Diensten in Exchange verbinden. Dazu klicken Sie im neuen Fenster auf "Dienste", markieren die noch nicht ausgewählten Dienste und klicken auf "Speichern". In manchen Fällen werden Sie noch gefragt, ob bereits vorhandene Zertifikate überschrieben werden sollen. Das bestätigen Sie.
Sehr wichtig ist an dieser Stelle, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Name hinterlegen, wenn Sie ein Zertifikat ausstellen. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Namen des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook und Exchange ActiveSync wichtig. Falls ein Zertifikatfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern.
Arbeiten Sie mit den AD-Zertifikatdiensten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der Exchange-Server den Zertifikaten dieser Zertifizierungsstelle vertraut.
| Seite 1 von 2 | Nächste Seite >> |
jp/ln/Thomas Joos
[1] www.digicert.com/help/
