Vorgehensweisen und Tools

Exchange Server 2013 - Exchange-Zertifikate richtig einsetzen

Client Access Server für zertifikatsbasierte Authentifizierung konfigurieren

Damit CAS-Server die zertifikatsbasierte Authentifizierung nutzen, rufen Sie den IIS-Manager auf den Servern auf:

1. Erweitern Sie den Knoten <Servername> und klicken doppelt auf Authentifizierung im Bereich IIS.

2. Aktivieren Sie über das Kontextmenü die Option Active Directory-Clientzertifikatauthentifizierung.

Steht diese Option nicht zur Verfügung, können Sie diese im Servermanager nachinstallieren. Dazu klicken Sie im Servermanager von Windows Server 2012/2012 R2 auf Verwalten\Rollen und Features hinzufügen. Erweitern Sie im IIS-Manager die Rolle Webserver\Sicherheit und stellen Sie sicher, dass der Rollendienst Authentifizierung über Client-Zertifikats-Zuordnung aktiviert ist.

Aktivieren der zertifikatsbasierten Authentifizierung auf dem Client Access Server.
Aktivieren der zertifikatsbasierten Authentifizierung auf dem Client Access Server.
Foto: Thomas Joos

Starten Sie nach der Installation den Server neu. Haben Sie die Authentifizierung aktiviert, müssen Sie den IIS-Admindienst neu starten. Das geht am schnellsten mit restart-Service IISAdmin in der PowerShell.

Klicken Sie danach in der Exchange-Verwaltungskonsole auf Server und dann auf Virtuelle Verzeichnisse. Klicken Sie auf das virtuelle Microsoft-Server-ActiveSync-Verzeichnis des Client-Zugriffs-Servers, den Sie konfigurieren wollen, und rufen Sie dessen Bearbeitung auf. Im Bereich Authentifizierung finden Sie hier die Option Clientzertifikate anfordern. Aktivieren Sie die Option.

Öffnen Sie danach wieder den IIS-Manager und dann das virtuelle Verzeichnis Microsoft-Server-ActiveSync. Öffnen Sie den Konfigurations-Editor im unteren Bereich in der Mitte der Konsole. Klicken Sie rechts im Fenster auf das Dropdown-Menü bei Abschnitt und navigieren Sie zu System.webServer\security\authentication\clientCertificateMappingAuthentication. Setzen Sie den Wert auf True und klicken danach rechts oben auf Übernehmen.

Grundlage für die zertifikatsbasierte Anmeldung von Smartphones über Exchange ActiveSync an Exchange ist die Installation des Benutzerzertifikats auf dem Endgerät. Am einfachsten verteilen Sie die Zertifikate über eine Webseite, auf der Sie die entsprechenden Vorlagen zum Download zur Verfügung stellen.

Sobald ein Smartphone für die Anbindung konfiguriert ist, erkennt es, dass die Authentifizierung über Zertifikate stattfindet. Benutzer müssen, abhängig vom Gerät, das Zertifikat bestätigen und können dann auf ihr Postfach zugreifen, ohne sich mit Benutzername und Kennwort authentifizieren zu müssen. (mje)