Fachartikel

Sicherheit in Exchange (2)

Bei einem Kommunikationsserver wie Exchange spielt die Sicherheit in doppelter Hinsicht eine Rolle: Einerseits gilt es zu verhindern, dass eingehende E-Mails oder sich verbindende Geräte Malware in das Netz einschleppen, andererseits ist auch der Server selbst zu sichern, da die Exchange-Organisation aus dem Internet zu erreichen ist. In der zweiten Folge des Workshops geht es darum, wie Sie eine Zertifikatänderung vorbereiten und wie Sie durch ActiveSync-Postfachrichtlinien für Sicherheit sorgen.
Mit Brief und Siegel – Exchange bringt zahlreiche Bordmittel mit, die das System selbst und den Versand und Empfang sicherer machen.
Vorbereiten der Zertifikatänderung
In Exchange 2016 verwalten Sie Serverzertifikate im EAC. Um dem Server ein Zertifikat zuzuweisen, klicken Sie auf "Server" und dann auf "Zertifikate". Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatanforderung, die Sie dann entweder über die AD-Zertifikatdienste oder über das Webfrontend des Drittherstellers anfordern.

Klicken Sie auf das Pluszeichen im Fenster, um den Assistenten für die Installation von Zertifikaten zu starten. Im nächsten Schritt geben Sie den Namen ein, mit dem das Zertifikat angezeigt werden soll. Auf der nächsten Seite legen Sie fest, dass Sie untergeordnete Domänen mit dem Zertifikat anbinden wollen. Setzen Sie nur eine Domäne ein, ist das nicht notwendig. Danach wählen Sie den Exchange-Server aus, auf dem Sie die Anforderung des Zertifikats speichern wollen. Nun wählen Sie die Serverdienste aus, wobei Sie für jeden Serverdienst auf das Stiftsymbol klicken und für jeden Dienst den vollständigen DNS-Namen angeben, mit dem auf den Server zugegriffen wird.

Danach erhalten Sie eine Zusammenfassung aller DNS-Namen, die mit dem Zertifikat verknüpft werden. Anschließend geben Sie den Namen der Organisation und einige Daten zum Unternehmen ein. Im Anschluss speichern Sie die Anforderung als Textdatei in einer Freigabe im Netzwerk. Mit dieser Datei mit der Endung "REQ" fordern Sie das Zertifikat anschließend an. Sie sehen im EAC den Status des Zertifikats als "Ausstehende Anforderung".
Im nächsten Schritt öffnen Sie das Webfrontend des Zertifikatausstellers. Verwenden Sie die AD-Zertifikatdienste, erreichen Sie diese über die Adresse "https: //<Servername>/certsrv". Klicken Sie "Ein Zertifikat anfordern" und anschließend "Erweiterte Zertifikatanforderung". Nun wählen Sie die Option "Reichen Sie eine Zertifikatanforderung, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein".

Im nächsten Fenster geben Sie im Feld "Gespeicherte Anforderung" den Text der REQ-Datei ein, die Sie im Vorfeld erstellt haben. Sie öffnen die Datei im Editor und kopieren den Inhalt in die Zwischenablage, wobei Sie den kompletten Text der Datei verwenden müssen. Für die Zertifikatvorlage legen Sie nun "Webserver" fest und klicken auf "Einsenden". Anschließend laden Sie das Zertifikat als CER-Datei herunter und speichern diese auf dem Exchange-Server.

Als Nächstes integrieren Sie das neue Zertifikat im EAC in Exchange. Klicken Sie auf "Server / Zertifikate" und wählen Sie das Zertifikat in der Konsole mit dem Status "Ausstehende Anforderung". Hier klicken Sie "Abschließen". Jetzt wählen Sie die heruntergeladene CER-Datei aus und schließen den Vorgang ab. Das Zertifikat wird danach als "Gültig" angezeigt.

Erscheint ein Fehler, überprüfen Sie, ob das Zertifikat der Stammzertifizierungsstelle auf dem Exchange-Server bei den vertrauenswürdigen Stammzertifizierungsstellen hinterlegt ist. Dazu geben Sie Certlm.msc auf der Startseite oder im Startmenü ein und erweitern in der Konsole "Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Zertifikate". Überprüfen Sie an dieser Stelle, ob das Zertifikat der Zertifizierungsstelle hinterlegt ist. Finden Sie das Zertifikat nicht, geben Sie in der Eingabeaufforderung Gpupdate /force ein, damit das Zertifikat der Stammzertifizierungsstelle von der internen Zertifizierungsstelle abgerufen wird.

Nach diesem Vorgang haben Sie das Zertifikat erfolgreich in Exchange integriert. Markieren Sie das Zertifikat, können Sie über das Stift-Symbol jederzeit Einstellungen ändern und dieses auch mit den anderen Diensten in Exchange verbinden. Dazu klicken Sie im neuen Fenster auf "Dienste", markieren die noch nicht ausgewählten Dienste und klicken auf "Speichern". In manchen Fällen werden Sie noch gefragt, ob bereits vorhandene Zertifikate überschrieben werden sollen. Das bestätigen Sie.

Sehr wichtig ist an dieser Stelle, dass Sie den Namen, mit dem der Server aus dem Internet erreichbar ist, als allgemeinen Name hinterlegen, wenn Sie ein Zertifikat ausstellen. Ansonsten erhalten Clients, die aus dem Internet auf den Server zugreifen, eine Fehlermeldung, da der Namen des Zertifikats nicht mit der URL für den Zugriff übereinstimmt. Dieser Bereich ist vor allem für die Verwendung von Outlook und Exchange ActiveSync wichtig. Falls ein Zertifikatfehler in Outlook Web App erscheint, können Anwender diesen ohne große Auswirkungen bestätigen, Outlook verweigert allerdings die Verbindung bei solchen Fehlern.

Arbeiten Sie mit den AD-Zertifikatdiensten, installiert der Exchange-Server das Zertifikat der Vertrauensstellung automatisch über die Gruppenrichtlinien. Das Zertifikat der Stammzertifizierungsstelle muss auf dem Exchange-Server hinterlegt sein, damit der Exchange-Server den Zertifikaten dieser Zertifizierungsstelle vertraut.

Seite 2: Sicherheit durch ActiveSync-Postfachrichtlinien



Seite 1 von 2 Nächste Seite >>
14.12.2020/jp/ln/Thomas Joos

Nachrichten

Intra2net mit neuem Lizenzmodell [19.01.2021]

Der Groupware- und Security-Anbieter Intra2net startet mit einem neuen Lizenzmodell ins Jahr 2021. Kunden sollen fortan von einer übersichtlicheren Preisgestaltung mit festen Benutzerpaketen profitieren. Für den Bereich von fünf bis 100 Benutzer stehen zehn Lizenzpakete in einer besonders kleinschrittigen Staffelung zur Verfügung. [mehr]

Matrix42 kauft FastViewer [14.01.2021]

Matrix42 übernimmt FastViewer, einen Anbieter für Remote Access, Remote Support und Collaboration-Lösungen. Der langjährige Partner von Matrix42 ist mit seiner Fernzugriff- und Fernwartungs-Plattform für PCs, Laptops, mobile Geräte, Server und Cloud-Workload bereits in die Matrix42-Produkte integriert. Mit der FastViewer Akquisition baut der Frankfurter Softwarehersteller für Digital Workspace Management zusätzlich sein Angebot für Edge-, IoT-Computing und Cloud Management aus. [mehr]

Tipps & Tools

Jetzt buchen: "Office 365 bereitstellen und absichern" [11.01.2021]

Die Clouddienste von Office 365 vereinfachen die Bereitstellung der Office-Applikationen für die Anwender und sparen Lizenzgebühren. Doch auf den Admin kommen ganz neue Aufgaben zu, die unser dreitägiges Intensiv-Seminar "Office 365 bereitstellen und absichern" praxisnah adressiert. So widmen wir uns neben der Auswahl der geeigneten Lizenzform der Vorbereitung der Infrastruktur und zeigen die Verwaltung und Absicherung von Exchange und SharePoint Online sowie MS Teams. Die Veranstaltung im März findet sowohl vor Ort als auch parallel online statt. [mehr]

Kommen Sie gut über die stade Zeit! [24.12.2020]

Es fällt nicht leicht, am Ende dieses Jahres frei von der Leber weg die üblichen Weihnachtsgrüße auszusenden – zu viel ist in den vergangenen Monaten passiert. Trotzdem möchten wir uns an dieser Stelle bedanken, dass Sie noch immer zu unseren Lesern gehören. In turbulenten Phasen wie diesen ist das beileibe keine Selbstverständlichkeit. Wir wünschen Ihnen und Ihrer Familie, dass Sie die diesmal wohl besonders stille Zeit zuversichtlich verbringen und freuen uns darauf, Sie im neuen Jahr gesund wieder zu begrüßen! [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen