none
Private CA für Exchange 2010 - Verständnisfragen RRS feed

  • Frage

  • Hallo Forengeneinde!

    Im Zuge der Einrichtung meines Exchange-2010-Servers muss ich mich ja auch irgendwann um das Thema Zertifikate kümmern. Ich habe mich dazu entschlossen, zunächst mit einer privaten CA anzufangen, da im ersten Step ohnehin nur intern auf den Exchange-Server zugegriffen wird.

    Also: ADCS installieren und los.

    Aber: Auf welchem Server denn eigentlich?
    Ich habe zwei DCs und einen Member-Server, zusätzlich kommt noch der Exchange-Server als zweiter Member-Server hinzu.
    Mein ursprünglicher Plan war es, die ADCS auf dem ersten Member-Server zu installieren, aber wird das Zertifikat dann auch automatisch (ohne händische GPO) auf den Clients bekannt gemacht oder funktioniert das nur wenn ADCS auf einem DC installiert ist?

    Wenn es auch auf einem Member-Server funktioniert:
    Kann ich ADCS dann auch direkt auf dem Exchange-Member-Server installieren? Oder ergeben sich daraus besondere Probleme?

    Und (eine sicher ganz dumme Frage, aber irgendwie habe ich das noch nicht ganz durchdrungen, seht es mir bitte nach):
    Was passiert denn eigentlich wenn der Server, auf dem ADCS installiert ist, ausfällt? Bricht dann die Kommunikation zwischen Exchange-Server und Clients zusammen?


    Danke im voraus!

    TJ Hooker

    Donnerstag, 2. Juni 2011 12:50

Antworten

  • Moin,

    Das ich das EIGENTLICH so machen müsste ist mir auch aufgegangen,

    ja, ist IMHO aber für eine interne, nicht vertrauenswürdige CA ein wenig
    "oversized".

    Wohin also unter dieser Prämisse mit dem ADCS?

    Das ist egal (bis auf die bereits von Malte genannten einschränken),
    solange Du eine "Unternahmens-PKI machst. Dafür musst Du IMHO "Enterprise
    Admin sein".

    Und selbst falls das nicht klappt: Es dauert maximal 5 Minuten das
    Stamm-Zertifikat zu exportieren und per GPO zu verteilen. ;)

    GPO-Verteilung: Die Verteilung eines Zertifikats von einer intenen CA wird, so weit ich mir das bisher angelesen habe, in einem AD automatisch vorgenommen bzw. wird Zertifikaten einer internen CA in einem AD automatisch vertraut. Ich muss dazu nichts mehr machen. Die Frage war (und ist): Trifft das auch dann zu, wenn ich die CA "nur" auf einem Member-Server und nicht auf einem DC 
    installiere?

    Wie gesagt: Es sollte egal sein.

    Ganz ehrlich: Die Zeit, die Du hier gebaucht hast, die Frage zu stellen,
    war länger, als es auszuprobieren und notfalls die GPO selbst anzupassen.
    :)

    Die letzte Frage ist zugegebenermaßen nicht Exchange-Spezifisch, aber ich dachte ich bringe die hier einfach mal mit unter. U.a. auch deswegen, weil ja mein erster Member-Server als Kandidat für die Installation der ADCS im Raum steht, und ich diesen Server, weil dort sonst keine Dienste laufen, die 24/7 Verfügbar sein müssen, durchaus auch mal kurz außer Betrieb nehme. Würde dann der Outlook-Zugriff nicht mehr oder nur mit Fehlermeldung funktionieren?

    Theoretisch kannst Du die CA danach sogar wieder Deinstallieren. Die
    Zertifikate werden dadurch nicht ungültig.

    Ich "schleppe" bei mir schon seit mind. 5 Jahren die gleichen Root und
    Exchange-Zertifikate mit, die PKI war damals noch Windows 2003, den Server
    gibt es gar nicht mehr.

    Auf dem Exchange Server würde ich die CA wegen der IIS-Komponenten nicht installieren, funktionieren sollte es aber schon.

    Vermtl. wieder eine Anfänger-Frage, aber wie stören sich denn die CA und IIS?

    Die CA installiert eine Web-Schnittstelle, die Du auch für das Einreichen
    und Ausstellen brauchst (Achtung, beim Setup gibt es zwei, die fast
    identisch heißen, nimm die erste!).


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert T.J. Hooker Freitag, 3. Juni 2011 07:00
    Freitag, 3. Juni 2011 06:47

Alle Antworten

  • HI,

    naja, das kommt darauf an. WEnn du es "richtig" machen möchtest brauchst du eigentlich eine Offline Root CA und eine Sub CA die die Zertifikate ausstellt. HIntergrund: Wenn jemand die CA kompromitiert kannst du das Zwischenzertifizierungsstellenzertifikat zurückrufen und eine neue Zwischenzertifizierungsstelle eröffnen. Wenn du nur mit einer CA arbeitest bleibt dir das natürlich verschlossen. Aber das kommt natürlich darauf an wie "groß" dein Laden ist und wie viel Sicherheit du haben möchtest. Um eine ordentliche Datensicherung mit der Möglichkeit die CA auf jeden Fall wiederherstellen zu können im Fehlerfall wirst du aus meiner Sicht nicht herumkommen. Es gibt natürlich noch andere Möglichkeiten, die gehören aber eigentlich nicht ins Exchange-Forum.

    Auf dem Exchange Server würde ich die CA wegen der IIS-KOmponennten nicht installieren, funktionieren sollte es aber schon.

    Was den Clients bekannt gemacht wird und wie du die Zertfikate verteilst sollte per GPO am Besten funkionieren.

    Zu deiner letzten Frage: Wenn die Zertifikatskette nicht zu einer vertrauenswürdigen Stelle zurückverfolgt werden kann wird es einen FEhler geben. OB und wie sich dieser auswirkt hängt davon ab wie du die Zertifikate verteilst. Mach dich doch mal schlau und teste und stell dann konkretere Fragen im richtigen Forum, alles andere führt nur zu mehrseitigen Abhandlungen ;-)

     

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Donnerstag, 2. Juni 2011 18:53
    Moderator
  • Hallo,

    ergänzend zu Walter:

    Nachdem du auf einem Server eine CA installiert hast, kannst du den Servernamen nicht mehr ändern. Wenn es ein DC ist, kannst du diesen nicht herabstufen, solange diese CA dort installiert ist.


    Viele Grüße Malte Schoch
    Donnerstag, 2. Juni 2011 19:40
  • Hallo!

    Danke für Deine Antwort!

    Das ich das EIGENTLICH so machen müsste ist mir auch aufgegangen, im allerersten Step geht es jetzt aber erst mal wirklich nur darum, Exchange 2010 und Outlook 2010 im LAN ohne Fehlermeldungen zu verbinden, es gibt kein Active Sync, kein OWA, kein Outlook Anywhere oder sonst was (das soll alles später mal folgen, dann will ich mir aber eigentlich auch ein richtiges (externes) Zertifikat zulegen).

    NUR für DIESEN Zweck brauche ich erst mal die interne CA, andere zertifikatsbasierte Dienste gibt es nicht.

    Wohin also unter dieser Prämisse mit dem ADCS?

    GPO-Verteilung: Die Verteilung eines Zertifikats von einer intenen CA wird, so weit ich mir das bisher angelesen habe, in einem AD automatisch vorgenommen bzw. wird Zertifikaten einer internen CA in einem AD automatisch vertraut. Ich muss dazu nichts mehr machen. Die Frage war (und ist): Trifft das auch dann zu, wenn ich die CA "nur" auf einem Member-Server und nicht auf einem DC installiere?

    Die letzte Frage ist zugegebenermaßen nicht Exchange-Spezifisch, aber ich dachte ich bringe die hier einfach mal mit unter. U.a. auch deswegen, weil ja mein erster Member-Server als Kandidat für die Installation der ADCS im Raum steht, und ich diesen Server, weil dort sonst keine Dienste laufen, die 24/7 Verfügbar sein müssen, durchaus auch mal kurz außer Betrieb nehme. Würde dann der Outlook-Zugriff nicht mehr oder nur mit Fehlermeldung funktionieren?

    > Auf dem Exchange Server würde ich die CA wegen der IIS-Komponenten nicht installieren, funktionieren sollte es aber schon.
    Vermtl. wieder eine Anfänger-Frage, aber wie stören sich denn die CA und IIS?

    DANKE im voraus!

    TJ Hooker

    P.S.: Mein"Laden" ist ca. 300 Postfächer groß und eine Bildunsgeinrichtung. Eine - sagen wir mal - durchschnittliche Sicherheit ist ausreichend.




    Donnerstag, 2. Juni 2011 19:43
  • Moin,

    Das ich das EIGENTLICH so machen müsste ist mir auch aufgegangen,

    ja, ist IMHO aber für eine interne, nicht vertrauenswürdige CA ein wenig
    "oversized".

    Wohin also unter dieser Prämisse mit dem ADCS?

    Das ist egal (bis auf die bereits von Malte genannten einschränken),
    solange Du eine "Unternahmens-PKI machst. Dafür musst Du IMHO "Enterprise
    Admin sein".

    Und selbst falls das nicht klappt: Es dauert maximal 5 Minuten das
    Stamm-Zertifikat zu exportieren und per GPO zu verteilen. ;)

    GPO-Verteilung: Die Verteilung eines Zertifikats von einer intenen CA wird, so weit ich mir das bisher angelesen habe, in einem AD automatisch vorgenommen bzw. wird Zertifikaten einer internen CA in einem AD automatisch vertraut. Ich muss dazu nichts mehr machen. Die Frage war (und ist): Trifft das auch dann zu, wenn ich die CA "nur" auf einem Member-Server und nicht auf einem DC 
    installiere?

    Wie gesagt: Es sollte egal sein.

    Ganz ehrlich: Die Zeit, die Du hier gebaucht hast, die Frage zu stellen,
    war länger, als es auszuprobieren und notfalls die GPO selbst anzupassen.
    :)

    Die letzte Frage ist zugegebenermaßen nicht Exchange-Spezifisch, aber ich dachte ich bringe die hier einfach mal mit unter. U.a. auch deswegen, weil ja mein erster Member-Server als Kandidat für die Installation der ADCS im Raum steht, und ich diesen Server, weil dort sonst keine Dienste laufen, die 24/7 Verfügbar sein müssen, durchaus auch mal kurz außer Betrieb nehme. Würde dann der Outlook-Zugriff nicht mehr oder nur mit Fehlermeldung funktionieren?

    Theoretisch kannst Du die CA danach sogar wieder Deinstallieren. Die
    Zertifikate werden dadurch nicht ungültig.

    Ich "schleppe" bei mir schon seit mind. 5 Jahren die gleichen Root und
    Exchange-Zertifikate mit, die PKI war damals noch Windows 2003, den Server
    gibt es gar nicht mehr.

    Auf dem Exchange Server würde ich die CA wegen der IIS-Komponenten nicht installieren, funktionieren sollte es aber schon.

    Vermtl. wieder eine Anfänger-Frage, aber wie stören sich denn die CA und IIS?

    Die CA installiert eine Web-Schnittstelle, die Du auch für das Einreichen
    und Ausstellen brauchst (Achtung, beim Setup gibt es zwei, die fast
    identisch heißen, nimm die erste!).


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    • Als Antwort markiert T.J. Hooker Freitag, 3. Juni 2011 07:00
    Freitag, 3. Juni 2011 06:47
  • Hallo Robert!

    Vielen Dank für Deine für mich wieder einmal sehr hilfreiche Antwort!!!

    Ich weiß nun also:
    - Zertifikatsverteilung innerhalb der AD funktioniert (unter normalen Umständen) auch wenn die interne CA nur auf einem Member-Server installiert ist, es muss kein DC sein
    - Der interne CA-Server muss NICHT ständig verfügbar sein, es käme also auch mein erster DC in Frage, der ab und zu "weg" ist

     

    Ganz ehrlich: Die Zeit, die Du hier gebaucht hast, die Frage zu stellen, war länger, als es auszuprobieren und notfalls die GPO selbst anzupassen. :)
    Ich hätte vermutlich sogar gefragt wenn ich es selber ausprobiert hätte, ich gehe da nämlich gerne auf "Nummer Sicher". Ich bin da nur Autodidakt und gerade bei für mich neuen Themen (wie hier Exchange und das Drumherum) und frage ich mir das eine oder andere sicherheitshalber hier im Forum gerne noch mal nach. Sieh es mir bitte nach...

    TJ Hooker
    Freitag, 3. Juni 2011 07:16
  • Moin,

    Ich weiß nun also:
    - Zertifikatsverteilung innerhalb der AD funktioniert (unter normalen Umständen) auch wenn die interne CA nur auf einem Member-Server installiert ist, es muss kein DC sein

    ja, und wenn nicht ist das in fünf Minuten behoben (ich bin nicht so der
    Windows-PKI-Expert, sondern nur ein besserer Anwender durch Exchange).

    - Der interne CA-Server muss NICHT ständig verfügbar sein, es käme also auch mein erster DC in Frage, der ab und zu "weg" ist

    Das definitv. Theoretisch gäbe es zwar ein Problem mit der CRL, die ist
    aber bei einer "Dummy"-CA meist eh nicht richtig kunfiguriert und bisher
    stört sich Windows noch gar nicht an einer CRL, die nicht erreichbar ist-

    Ganz ehrlich: Die Zeit, die Du hier gebaucht hast, die Frage zu stellen, war länger, als es auszuprobieren und notfalls die GPO selbst anzupassen. :)

    Ich hätte vermutlich sogar gefragt wenn ich es selber ausprobiert hätte, ich gehe da nämlich gerne auf "Nummer Sicher". Ich bin da nur Autodidakt und gerade bei für mich neuen Themen (wie hier Exchange und das Drumherum) und frage ich 
    mir das eine oder andere sicherheitshalber hier im Forum gerne noch mal nach. 
    Sieh es mir bitte nach...

    Ist ja kein Problem, da die Antworten auch für andere "archviert" werden
    und das Thema zugegeben für die meisten Admins ziemlich unbekannt ist.

    Aber manchmal ist es lustig Fragen zu sehen (viel einfachere), die der
    Poster in weniger Zeit selbst hätte ausprobieren können. :)


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 3. Juni 2011 07:22
  • Am 03.06.2011 schrieb T.J. Hooker:
    Hi,

    - Der interne CA-Server muss NICHT ständig verfügbar sein, es käme also auch mein erster DC in Frage, der ab und zu "weg" ist

    Bliebe die Frage, warum dein "erster DC" immer mal "weg" ist. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Montag, 6. Juni 2011 05:01
  • Hi!

    Sorry, Fehler meinerseits.
    Meine DCs sind beide immer da, wer mal weg ist ist mein erster MEMBER-SERVER. Auf dem laufen Dienste, die einen Neustart des Servers auch im Tagesbetrieb erlauben. Ich spiele auf diesem Server daher auch tagsüber mal Updates ein und er ist wegen dem ggf. folgenden Restart dann auch mal kurz "weg".

    TJ HOoker

    Montag, 6. Juni 2011 06:02