Vorgehensweisen und Tools
Exchange Server 2013 - Exchange-Zertifikate richtig einsetzen
DigiCert SSL Installation Diagnostics Tool - Sicherheitstests
Vermuten Sie Probleme beim externen Zugriff auf Ihre Exchange-OWA-Seite, können Sie diesen über das Unternehmen DigiCert kostenlos online testen lassen.
Foto: Thomas Joos
Sie müssen dazu nur die Adresse des Servers eingeben. Außerdem können Sie mit dem Tool überprüfen, ob das Zertifikat anfällig für eine Heartbleed-Attacke ist.
Sie sehen außerdem die IP-Adresse, die dem Rechnernamen mit dem Zertifikat zugewiesen ist, und wie lange das Zertifikat noch gültig ist. Auch die Protokolle, die das Zertifikat unterstützt, sehen Sie an dieser Stelle. Der Hersteller bietet ferner Tools an, mit denen Sie Namen von internen Servern und von Zertifikaten anpassen können.
Zertifikatsbasierte Authentifizierung mit Exchange ActiveSync
Viele Administratoren kennen das Problem mit der Anmeldung von Smartphones, Tablets oder anderen Geräten über Exchange ActiveSync an Exchange. Arbeiten Anwender nur mit komplexen Kennwörtern und entsprechenden Richtlinien in Active Directory, lässt sich zwar die Sicherheit erhöhen, allerdings besteht hier das Problem, dass für Anwender mehr Konfigurationen notwendig sind. Anwender müssen ihr Kennwort ständig ändern, Konten werden gesperrt, und die Verwaltung ist generell recht kompliziert, vor allem weil sich Anwender Benutzernamen und Kennwort merken müssen.
Wenn Sie Ihre Anmeldungen von Exchange ActiveSync über Zertifikate abwickeln lassen, müssen sich Benutzer mit ihren Endgeräten und Smartphones nicht mehr an den Servern anmelden und Benutzername und Kennwort eingeben. Die Anmeldung erfolgt über Zertifikate, die auf den Endgeräten installiert sind.
Foto: Thomas Joos
Beim Einsatz der Authentifizierung über Zertifikate muss sichergestellt sein, dass der UPN-Anmeldenamen des Benutzers mit dem allgemeinen Namen des Zertifikats übereinstimmt, das Sie dem Anwender zuordnen. Generell ist es empfehlenswert, dass Sie beim Einsatz von Exchange und der zertifikatsbasierten Authentifizierung die Konfiguration in Active Directory so festlegen, dass der UPN des Anwenders seiner E-Mail-Adresse entspricht.
Die Einstellungen nehmen Sie in den Eigenschaften der Konten im Snap-In Active Directory-Benutzer und -Computer vor. Sie finden den UPN in den Eigenschaften auf der Registerkarte Konto. Sie können die UPN-Suffixe der Active-Directory-Domänen im Snap-In Active Directory und Vertrauensstellungen in den Eigenschaften des obersten Menüpunktes Active-Directory-Domänen und Vertrauensstellungen pflegen.
Es ist wichtig, dass alle beteiligten Server der Zertifizierungsstelle vertrauen, die die Zertifikate für die Anwender ausstellt. Arbeiten Sie mit den Active-Directory-Zertifikatsdiensten und sind alle Server Mitglied der gleichen Gesamtstruktur, vertrauen die Clients automatisch der Zertifizierungsstelle. Wenn einzelne Server kein Mitglied des Active Directory sind, exportieren Sie in der Zertifikateverwaltung eines Servers, der der Zertifizierungsstelle vertraut, das Zertifikat der Zertifizierungsstelle und importieren es auf dem entsprechenden Server.
Das Programm starten Sie am schnellsten durch Eingabe von certlm.msc. Arbeiten Sie mit Forefront Threat Management Gateway oder dem Unified Access Gateway, müssen die Zertifikate auch auf diesen Servern installiert werden. Auch auf den Endgeräten und Smartphones muss das Zertifikat der ausstellenden Zertifizierungsstelle gespeichert sein. Das Zertifikat der Anwender muss außerdem mit dem Benutzerkonto in Active Directory verknüpft sein.