none
OWA: Authentifizierung per Zertifikat wenn Exchange Zertifikat von öffentlicher CA signiert wurde RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    ich habe bezgl. oben genannter Thematik Fragen. Wie kann in der beschriebenen Konstellation für Benutzer, die sich per Zertifikat in OWA anmelden wollen, Zertifkate erstellen und signieren lassen ?

    Ich vermute die Signierung sollte dann wohl auch über den bisherigen CA Anbieter erfolgen. Aber wie kann ich die Zertifikate erstellen ? Geht das überhaupt oder wird für eine Zertifikatsauthentifizierung zwingend eine eigene ROOT CA benötigt ?

    Gruß

    M. Lang

    P.S.: System ist Exchange 2010 und Windows Server 2008

    • Typ geändert Alex Pitulice Dienstag, 22. Januar 2013 12:46 Warten auf Testen
    Donnerstag, 17. Januar 2013 14:14

Alle Antworten

  • Hi MLang_HSE,

    Hallo zusammen,

    ich habe bezgl. oben genannter Thematik Fragen. Wie kann in der beschriebenen Konstellation für Benutzer, die sich per Zertifikat in OWA anmelden wollen, Zertifkate erstellen und signieren lassen ?

    Irgendwie hatte ich da nie die Notwendigkeit gesehen, da man extern eh kein Cert dabei hat und intern sso genutzt werden kann.

    Ich vermute die Signierung sollte dann wohl auch über den bisherigen CA Anbieter erfolgen. Aber wie kann ich die Zertifikate erstellen ? Geht das überhaupt oder wird für eine Zertifikatsauthentifizierung zwingend eine eigene ROOT CA benötigt ?

    Nein das musst du nicht machen, denn das eine ist "nur" das Website-Cert und das andere dient der Authentifizierung. Wenn du eine AD-Struktur hast, macht es sinn sich seine CA aufzubauen, denn es dient ja zur Auth zwischen den AD-Membern und dafür benötigst du kein öffentliches Cert.

    Hier ist mal eine Anleitung, wie du die Auth umstellen musst:
    http://blogs.technet.com/b/exchange/archive/2008/10/07/3406361.aspx

    Frank hat auch sehr viel geschrieben und das Einrichten einer CA ist auch kein Zauberwerk:
    http://www.msexchangefaq.de/signcrypt/setupca.htm


    Viele Grüße
    Christian

    Freitag, 18. Januar 2013 06:19
    Moderator
  • Hi,

    das eine hat mit dem anderen nichts/wenig zu tun. Das Exchange - Zertifikat im Webserver verschlüsselt die Datenübertragung. Das Zertifikat das der User auf dem Client haben muß um sich an OWA anmelden zu können muß den Zweck "Clientauthentifizerung" haben und soll die Echtheit des Benutzers garantieren. Das geht auch mit einer eigenen CA der der Exchange vertraut (selbe Domäne, anderer Server, Datensicherung beachten). Die Zertifikate könntest du per Gruppenrichtlinie ausrollen.

    Hilft das weiter?


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/ Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer"; if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread. If a answer or remark helps you to cope with your problem you can "mark it as helpful".

    Freitag, 18. Januar 2013 09:39
    Moderator
  • Hallo,

    erstmal vielen dank euch beiden. Wir werden die Schritte durchgehen und  ich werde mich auf jeden Fall nochmal diesbezüglich melden ... entweder bei Problemen oder wenn es erfolgreich abgeschlossen wurde.

    Gruß M. Lang

    Freitag, 18. Januar 2013 09:49