ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
ISA Terminalservice
ISA und SBS
Ping eingehend
Incoming ping response
pcAnyWhere
Terminalserver
TSAC / TSWeb
DNS veröffentlichen
Webserver - Teil 1
Webserver - Teil 2a
Webserver - Teil 2b
Webserver - Teil 3
Webserver mit IP-Zielsatz
Exchange SMTP
Exchange OWA
Exchange OWA mit FP1
OWA SSL Teil 1
OWA SSL Teil 2
OWA SSL Teil 3
OWA SSL Teil 4
OWA SSL Teil 5
Veröffentlichungen einschränken
Exchange RPC
RPC über HTTPS

 

Veröffentlichen von Outlook Web Access per SSL - Teil 1 - Installieren einer eigenen Zertifizierungsstelle


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000
  • Microsoft Windows 2000 Server

 

Sobald Daten über das Internet versendet werden, ist es nicht auszuschließen, dass Dritte diese abhören und mitlesen. Handlungsbedarf besteht, sobald Sie vertrauliche oder geheime Daten über das Internet versenden. Stellen Sie sich vor, sie geben die PIN Ihres Bankkontos in der Eingabemaske des Onlinebankings ein und jeder könnte diese lesen und somit seinen Kontostand auf Ihre Kosten verbessern.

Wie kann man in so einem Fall Abhilfe schaffen?

Das Stichwort hierfür heißt SSL (Secure Sockets Layer). Durch die Verwendung von SSL werden Ihre Daten verschlüsselt über das Internet transportiert und sind somit nur schwer bzw. nur mit immensen Zeitaufwand zu entschlüsseln.

Eine Webanwendung für die es interessant ist, die Daten verschlüsselt zu übertragen ist Outlook Web Access. Hier werden immerhin Ihre persönlichen E-Mails über das Internet zugänglich gemacht.

Was ist nötig und was sind die einzelnen Schritte um Outlook Web Access per SSL zu veröffentlichen? Um Outlook Web Access zu veröffentlichen sind mehrere Arbeitsschritte notwendig, in die diese Anleitung unterteilt ist.

Kapitelübersicht

  • Installieren einer eigenen Zertifizierungsstelle
  • Anforderung eines Zertifikates
  • Export des Zertifikates vom Webserver und Import des Zertifikates am ISA
  • Konfigurieren des Listeners und erstellen einer Webveröffentlichung
  • Abschließender Test und Fehlerbehandlung



  • 1. Installieren einer eigenen Zertifizierungsstelle (CA)

    Als erstes wird ein Serverauthentifizierungszertifikat benötigt. Dieses bekommen Sie entweder von öffentlichen Zertifizierungsstellen, wie z.B. VeriSign, oder von einer eigenen Zertifizierungsstelle.

    Bevor Sie allerdings mit der Installation der Zertifizierungsstelle anfangen, sollten Sie sich Gedanken über Ihre Infrastruktur machen, da es in den Zertifizierungsstellen Unterschiede gibt.

    Die Microsoft Zertifikatsdienste unterstützen zwei Arten von Zertifizierungsstellen.

  • Unternehmens Zertifizierungsstelle

  • Alleinstehende Zertifizierungsstelle


  • Der Unterschied besteht darin, dass die Unternehmens Zertifizierungsstelle in das Active Directory integriert ist und die Alleinstehende nicht. Beide Arten unterstützen aber alle Sicherheitsfeatures, mit der Ausnahme der Smartcardunterstützung, diese benötigt eine im Active Directory integrierte Zertifizierungsstelle, da die Zertifikate mit den Benutzern verknüpft werden. Eine Alleinstehende Zertifizierungsstelle hat den Vorteil, dass Sie Zertifikate für Objekte außerhalb Ihrer Windows 2000 Umgebung erstellen können, z.B. ein Unix Webserver oder Benutzer. Wir entscheiden uns in unserer Anleitung für eine im Active Directory integrierte Stammzertifizierungsstelle.

    Beginnen wir nun mit der Installation.



    Hierzu öffnen Sie über Start -> Einstellungen -> Systemsteuerung -> Software den Menüpunkt Windowskomponeten hinzufügen und wählen die Zertifikatsdienste aus. Es erscheint ein Hinweis, dass der Server nach Abschluss der Installation nicht mehr umbenannt werden kann.



    Anschließend muss der Typ der Zertifizierungsstelle ausgewählt werden. Wie schon erwähnt wählen wir, in dieser Anleitung, die Stammzertifizierungsstelle des Unternehmens aus. Das Schlüsselpaar und das Zertifikat für die Zertifizierungsstelle lassen wir auch erstellen.



    Es erscheint nun obiges Fenster in dem verschiedene Verschlüsselungsdienstanbieter und Haschalgorithmen zur Auswahl stehen. Wählen Sie hier einen Kryptographieanbieter und Hashalgorithmus Ihrer Wahl aus. Eine Erklärung der einzelnen Unterschiede zwischen den Anbietern würde diese Anleitung zu sehr in die Länge ziehen (ein Appendix ist in Arbeit). Was Sie aber verändern sollten, ist die Schlüssellänge, hierbei ist zu beachten, dass diese mindestens eine Länge von 1024 hat, denn kürzere Schlüssel sind nicht mehr so sicher. Wir wählen in unserer Installation eine Länge von 4096, was ein ziemlich sicherer Schlüssel ist.



    Nun müssen Sie der Zertifizierungsstelle einen Namen geben, wir nennen diese Interne Zertifizierungsstelle und setzen den Gültigkeitszeitraum auf 10 Jahre fest.



    Anschließend wird der Schlüsselsatz für die Zertifizierungsstelle erstellt.



    Jetzt müssen Sie noch angeben, wo die Datenbank und die Logfiles für die Zertifizierungsstelle gespeichert werden sollen. Die Konfigurationseinstellungen sichern Sie, in dem Sie den Haken unter Konfigurationseinstellungen in einen freigegebenen Ordner speichern anklicken und einen geeigneten Ordner dafür auswählen.

    ! Beachten Sie, falls Sie die Speicherorte ändern, dass die Dateien dann noch vor unberechtigtem Zugriff geschützt sind !

    Anschließend werden Sie darauf hingewiesen, dass die Internetinformationsdienste beendet werden müssen um die Installation abzuschließen.



    Nach Abschluss der Installation öffnen Sie den Internet Explorer und geben unter Adresse http://servername.meinedomain.de/certsrv ein, um zu überprüfen ob die Installation erfolgreich war. Wenn alles Funktioniert hat, bekommen Sie die obige Webseite zu sehen.

    Beachten Sie:
    Als Servername tragen Sie bitte den Namen des Servers ein, auf dem Sie die Zertifikatsdienste installiert haben und als Domainnamen verwenden Sie den Ihrer Domäne.

    Somit wäre die Installation der Zertifikatsdienste abgeschlossen und Sie können mit dem nächsten Kapitel, der Zertifikatsanforderung fortfahren.

    Stand: Friday, 28. August 2009/CG.


    Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

    Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
    Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
    Stand: Monday, 18. March 2013 / Dieter Rauscher