Exchange Server 2013 setzt, wie die Vorgängerversionen, auf SSL-gesicherte Verbindungen und Verschlüsselung. Aus diesem Grund benötigt jeder Exchange-Server ein eigenes Serverzertifikat. Während der Installation stellt sich jeder Exchange-Server ein selbst signiertes Zertifikat aus. In produktiven Umgebungen sollten diese aber gegen das Zertifikat einer internen Zertifizierungsstelle ausgetauscht oder durch ein Zertifikat eines Drittherstellers ersetzt werden.
Daneben haben Unternehmen noch die Möglichkeit, Exchange ActiveSync-Geräte, also Smartphones und Tablets, über zertifikatsbasierte Authentifizierung an den Server anzubinden. Das erspart den Anwendern einiges an Konfigurationsarbeit und der IT-Abteilung den damit verbundenen Support. In diesem Beitrag stellen wir Ihnen einige Möglichkeiten und Tools zur Verfügung, wie Sie solche Konfigurationen vornehmen.
Erste Schritte mit Exchange-Zertifikaten
Sie können bei einer Migration zu Exchange 2013 auch das vorhandene Zertifikat Ihrer Exchange-Server weiterverwenden. Dazu exportieren Sie das Zertifikat in der Zertifikatsverwaltung oder in den Internetinformationsdiensten (IIS) in eine .pfx-Datei. Diese können Sie in Exchange 2013 wieder importieren. In Exchange 2013 haben Sie die Möglichkeit, Serverzertifikate direkt in der webbasierten Exchange-Verwaltungskonsole zu verwalten. Um dem Server ein Zertifikat zuzuweisen, klicken Sie in der Exchange-Verwaltungskonsole auf Server und dann auf Zertifikate. Hier stehen alle notwendigen Optionen zur Verfügung.
Jeder Exchange-Server in der Organisation erhält sein eigenes Zertifikat. Um ein neues Zertifikat zu installieren, klicken Sie in der Konsole zunächst auf das Pluszeichen. Der Assistent erstellt eine Zertifikatsanforderung die Sie dann entweder über die Active-Directory-Zertifikatsdienste oder über das Web-Front-End des Drittherstellers anfordern. Danach importieren Sie das ausgestellte Zertifikat auf dem Server und installieren dieses über den Assistenten.
Exchange Certificate Assistant
Auf der Seite FrankysWeb.de finden Sie ein PowerShell-Skript samt grafischer Anleitung, mit dem Sie schnell und einfach über eine interne Zertifizierungsstelle Zertifikate für Exchange ausstellen können. Sobald Sie das Powershell-Skript konfiguriert und ihm eine passende Zertifikatvorlage zugewiesen haben, rufen Sie es mit .\ExchangeCertificateAssistant.ps1 auf. Danach können Sie über einen Assistenten das Zertifikat für Exchange automatisiert ausstellen und auch gleich mit den Exchange-Diensten verbinden lassen. Die Anleitung auf der Seite erklärt die einfache Vorgehensweise. Der Vorteil des Tools ist, dass Sie mit ihm auch sehr schnell neue Zertifikate ausstellen können, ohne manuell vorgehen zu müssen.
In der Exchange-Verwaltungs-Shell können Sie sich das Zertifikat über get-exchangecertificate anzeigen lassen. Es gibt aber auch die Möglichkeit, über die PowerShell Exchange-Zertifikate des lokalen Zertifikatespeichers zu aktivieren. Dazu verwenden Sie das CMDlet Enable-ExchangeCertificate. Die Syntax dazu ist:
Enable-ExchangeCertificate -Thumbprint <String> [-Server <ServerIdParameter>] <Parameter>
Beispiel:
Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS
Die ausführliche Syntax finden Sie auch im TechNet.
DigiCert SSL Installation Diagnostics Tool - Sicherheitstests
Vermuten Sie Probleme beim externen Zugriff auf Ihre Exchange-OWA-Seite, können Sie diesen über das Unternehmen DigiCert kostenlos online testen lassen.
Foto: Thomas Joos
Sie müssen dazu nur die Adresse des Servers eingeben. Außerdem können Sie mit dem Tool überprüfen, ob das Zertifikat anfällig für eine Heartbleed-Attacke ist.
Sie sehen außerdem die IP-Adresse, die dem Rechnernamen mit dem Zertifikat zugewiesen ist, und wie lange das Zertifikat noch gültig ist. Auch die Protokolle, die das Zertifikat unterstützt, sehen Sie an dieser Stelle. Der Hersteller bietet ferner Tools an, mit denen Sie Namen von internen Servern und von Zertifikaten anpassen können.
Zertifikatsbasierte Authentifizierung mit Exchange ActiveSync
Viele Administratoren kennen das Problem mit der Anmeldung von Smartphones, Tablets oder anderen Geräten über Exchange ActiveSync an Exchange. Arbeiten Anwender nur mit komplexen Kennwörtern und entsprechenden Richtlinien in Active Directory, lässt sich zwar die Sicherheit erhöhen, allerdings besteht hier das Problem, dass für Anwender mehr Konfigurationen notwendig sind. Anwender müssen ihr Kennwort ständig ändern, Konten werden gesperrt, und die Verwaltung ist generell recht kompliziert, vor allem weil sich Anwender Benutzernamen und Kennwort merken müssen.
Wenn Sie Ihre Anmeldungen von Exchange ActiveSync über Zertifikate abwickeln lassen, müssen sich Benutzer mit ihren Endgeräten und Smartphones nicht mehr an den Servern anmelden und Benutzername und Kennwort eingeben. Die Anmeldung erfolgt über Zertifikate, die auf den Endgeräten installiert sind.
Foto: Thomas Joos
Beim Einsatz der Authentifizierung über Zertifikate muss sichergestellt sein, dass der UPN-Anmeldenamen des Benutzers mit dem allgemeinen Namen des Zertifikats übereinstimmt, das Sie dem Anwender zuordnen. Generell ist es empfehlenswert, dass Sie beim Einsatz von Exchange und der zertifikatsbasierten Authentifizierung die Konfiguration in Active Directory so festlegen, dass der UPN des Anwenders seiner E-Mail-Adresse entspricht.
Die Einstellungen nehmen Sie in den Eigenschaften der Konten im Snap-In Active Directory-Benutzer und -Computer vor. Sie finden den UPN in den Eigenschaften auf der Registerkarte Konto. Sie können die UPN-Suffixe der Active-Directory-Domänen im Snap-In Active Directory und Vertrauensstellungen in den Eigenschaften des obersten Menüpunktes Active-Directory-Domänen und Vertrauensstellungen pflegen.
Es ist wichtig, dass alle beteiligten Server der Zertifizierungsstelle vertrauen, die die Zertifikate für die Anwender ausstellt. Arbeiten Sie mit den Active-Directory-Zertifikatsdiensten und sind alle Server Mitglied der gleichen Gesamtstruktur, vertrauen die Clients automatisch der Zertifizierungsstelle. Wenn einzelne Server kein Mitglied des Active Directory sind, exportieren Sie in der Zertifikateverwaltung eines Servers, der der Zertifizierungsstelle vertraut, das Zertifikat der Zertifizierungsstelle und importieren es auf dem entsprechenden Server.
Das Programm starten Sie am schnellsten durch Eingabe von certlm.msc. Arbeiten Sie mit Forefront Threat Management Gateway oder dem Unified Access Gateway, müssen die Zertifikate auch auf diesen Servern installiert werden. Auch auf den Endgeräten und Smartphones muss das Zertifikat der ausstellenden Zertifizierungsstelle gespeichert sein. Das Zertifikat der Anwender muss außerdem mit dem Benutzerkonto in Active Directory verknüpft sein.
Client Access Server für zertifikatsbasierte Authentifizierung konfigurieren
Damit CAS-Server die zertifikatsbasierte Authentifizierung nutzen, rufen Sie den IIS-Manager auf den Servern auf:
1. Erweitern Sie den Knoten <Servername> und klicken doppelt auf Authentifizierung im Bereich IIS.
2. Aktivieren Sie über das Kontextmenü die Option Active Directory-Clientzertifikatauthentifizierung.
Steht diese Option nicht zur Verfügung, können Sie diese im Servermanager nachinstallieren. Dazu klicken Sie im Servermanager von Windows Server 2012/2012 R2 auf Verwalten\Rollen und Features hinzufügen. Erweitern Sie im IIS-Manager die Rolle Webserver\Sicherheit und stellen Sie sicher, dass der Rollendienst Authentifizierung über Client-Zertifikats-Zuordnung aktiviert ist.
Foto: Thomas Joos
Starten Sie nach der Installation den Server neu. Haben Sie die Authentifizierung aktiviert, müssen Sie den IIS-Admindienst neu starten. Das geht am schnellsten mit restart-Service IISAdmin in der PowerShell.
Klicken Sie danach in der Exchange-Verwaltungskonsole auf Server und dann auf Virtuelle Verzeichnisse. Klicken Sie auf das virtuelle Microsoft-Server-ActiveSync-Verzeichnis des Client-Zugriffs-Servers, den Sie konfigurieren wollen, und rufen Sie dessen Bearbeitung auf. Im Bereich Authentifizierung finden Sie hier die Option Clientzertifikate anfordern. Aktivieren Sie die Option.
Öffnen Sie danach wieder den IIS-Manager und dann das virtuelle Verzeichnis Microsoft-Server-ActiveSync. Öffnen Sie den Konfigurations-Editor im unteren Bereich in der Mitte der Konsole. Klicken Sie rechts im Fenster auf das Dropdown-Menü bei Abschnitt und navigieren Sie zu System.webServer\security\authentication\clientCertificateMappingAuthentication. Setzen Sie den Wert auf True und klicken danach rechts oben auf Übernehmen.
Grundlage für die zertifikatsbasierte Anmeldung von Smartphones über Exchange ActiveSync an Exchange ist die Installation des Benutzerzertifikats auf dem Endgerät. Am einfachsten verteilen Sie die Zertifikate über eine Webseite, auf der Sie die entsprechenden Vorlagen zum Download zur Verfügung stellen.
Sobald ein Smartphone für die Anbindung konfiguriert ist, erkennt es, dass die Authentifizierung über Zertifikate stattfindet. Benutzer müssen, abhängig vom Gerät, das Zertifikat bestätigen und können dann auf ihr Postfach zugreifen, ohne sich mit Benutzername und Kennwort authentifizieren zu müssen. (mje)