Exchange 2013: SAN Zertifikat mit eigener Zertifizierungsstelle (CA)

Exchange 2013: SAN Zertifikat mit eigener Zertifizierungsstelle (CA)

Du hast einen Exchange 2013 und brauchst ein SAN Zertifikat?
Dann könnte dir diese Beschreibung weiterhelfen.

[warning]ACHTUNG:
Diese Beschreibung ist nicht für eine produktive Umgebung gedacht – bitte TESTE sorgfältig![/warning]

In meiner Testumgebung sind 3 (virt.) Server vorhanden:
– Domänencontroller (DC) / Windows Server 2012 R2
– Applikationserver (AS) / Windows Server 2012 R2
– Exchange 2013 (EX) / Windows Server 2012 R2

Installation der Zertifikatsstelle (CA)

Als erstes installiere die Zertifizierungsstelle auf einem geeigneten Server (bei mir der AS). Bedenke: für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein.

Dies ist über die „Rollen und Features“ durchzuführen. Wähle dann hierbei die „Active Directory Zertifikatsdienste“ aus.

SAN CA
SAN CA

Es genügt zunächst der Rollendienst „Zertifizierungsstelle“

SAN CA
SAN CA

Anschließend erfolgt die Installation

SAN CA
SAN CA

Ist die Rolle installiert, erscheint ein Hinweis im Server-Manager hinsichtlich der erforderlichen Konfiguration.

SAN-CA04
SAN-CA04

Die Konfiguration sollte als Administrator erfolgen.

SAN-CA05
SAN-CA05

Da bist jetzt nur die Zertifizierungsstelle installiert wurde, kann auch nichts weiteren konfiguriert werden.

 

SAN-CA06
SAN-CA06

Jetzt kann entschieden werden, welche CA-Art installiert werden soll – ich nehme die AD-integrierte Unternehmenszertifizierungsstelle.

SAN-CA07
SAN-CA07

Da es sich hierbei um die erste (oberste) CA-Stelle handelt, wähle ich die „Stammzertifizierungsstelle“.

SAN-CA08
SAN-CA08

Nun muss noch ein neuer Schlüssel erstellt werden.

SAN-CA09
SAN-CA09

Bzgl. der Verschlüsselungsoptionen belasse ich alles bei den Standardwerten.

SAN-CA10
SAN-CA10

Nun kann der Name vergeben werden – bitte nutze hier eine allgemeinen Namen.

SAN-CA11
SAN-CA11

Lege nun die Gültigkeitsdauer fest. Diese sollte höher sein, als das auszustellende Zertifikat. Daher nehme ich jetzt einfach mal 20 Jahre.

SAN-CA12
SAN-CA12

Wo sollen die Daten abgespeichert werden? Ich nutze die Standardeinstellungen …

SAN-CA13
SAN-CA13

Kurz noch eine Zusammenfassung, anschließend mit „konfigurieren“ das ganze bestätigen.

SAN-CA14
SAN-CA14

Fertig – zumindest mit diesem Teil!

 

SAN-CA15
SAN-CA15

 

Zertifikatsvorlage für SAN Zertifikat

Erstelle eine neue Vorlage über die Zertifikatsvorlagen und gehe mit einem Rechtsklick auf „Verwalten“.

SAN-CA-20
SAN-CA-20

Suche nun die Vorlage „Webserver“ und wähle „Vorlage duplizieren“.

SAN-CA-21
SAN-CA-21

Als Namen für mein 2 Jahres Zertifikat wähle ich „Exchange-Server-Zertifikat“

SAN-CA-22
SAN-CA-22

Damit später auch alle DNS-Namen erfasst werden können, muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Soll das Zertifikat später exportiert werden, der solle außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

SAN-CA-23
SAN-CA-23

Über die „Sicherheit“ sollte die Gruppe „Exchange Server“ Vollzugriff haben.

Über die Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”.
Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate L*” ausgewählt und hinzugefügt.

SAN-CA-24
SAN-CA-24

 

SAN Zertifikat für den Exchangeserver beantragen

Wir wechseln nun auf den Exchangeserver (EX).

Bevor wir starten, aktualisieren wir noch die Gruppenrichtlinien, damit auch das Stammzertifikat installiert wird.

SAN-CA-30
SAN-CA-30

Öffne nun über die Verwaltung die „Zertifikate“.
Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

SAN-CA-31
SAN-CA-31

Siehst du nun die Active Directory-Registrierungsrichtlinie – dann passt es 😉

SAN-CA-32
SAN-CA-32

Klicke nun auf “Weiter”, es wird jetzt die eben erstellte Vorlage angezeigt. Setzte den Haken und klicke auf “Es werden zusätzliche Informationen…”

SAN-CA-33
SAN-CA-33

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.<domäne>.de)

 

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

SAN-CA-34
SAN-CA-34

Vergebe nun noch unter „Allgemein“ einen Namen

SAN-CA-35
SAN-CA-35

Nun kann das Zertifikat beantragt werden.

SAN-CA-36
SAN-CA-36

Das Zertifikat sieht nun wie folgt aus – mit allen angegebenen Namen.

SAN-CA-37
SAN-CA-37

 

Neues Zertifikat im Exchange hinterlegen

Damit auch die UM Dienste von Exchange 2013 das Zertifikat akzeptieren,
muss vor dem Zuweisen der Dienste der Startmodus geändert werden.
Der Startmodus kann über die Exchange Management Shell geändert werden

  Get-UMservice | Set-UMService -UMStartupMode dual
  Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen,
diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden.

SAN-CA-40
SAN-CA-40

Nun noch alle Exchange Dienste zuweisen.

SAN-CA-41
SAN-CA-41

Nun erscheint eine Warnung, das das Zertifikat getauscht wird -> mit JA bestätigen.

Zum Schluss noch die Dienste “

– Microsoft Exchange Unified Messaging   und

– Microsoft Exchange Unified Messaging Call Router

neustarten, damit auch dort die Änderungen wirksam werden.

 

Soll das Zertifikat manuell z.B. auf einem Smartphone installiert werden, so Stammzertifizierungsstellenzertifikat installiert werden.

Dies findest du im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

 

Viel Spass beim Testen …