Veröffentlichen von Outlook Web Access per SSL - Teil 1 - Installieren einer eigenen Zertifizierungsstelle
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
- Microsoft Windows 2000 Server
Sobald Daten über das Internet versendet werden, ist es nicht auszuschließen,
dass
Dritte diese abhören und mitlesen. Handlungsbedarf besteht, sobald Sie vertrauliche oder
geheime Daten über das Internet versenden.
Stellen Sie sich vor, sie geben die PIN Ihres Bankkontos in der Eingabemaske des
Onlinebankings ein und jeder könnte diese lesen und somit seinen Kontostand auf
Ihre Kosten verbessern.
Wie kann man in so einem Fall Abhilfe schaffen?
Das Stichwort hierfür heißt SSL (Secure Sockets Layer). Durch die Verwendung von SSL
werden Ihre Daten verschlüsselt über das Internet transportiert und sind somit nur schwer
bzw. nur mit immensen Zeitaufwand zu entschlüsseln.
Eine Webanwendung für die es interessant ist, die Daten verschlüsselt zu übertragen ist
Outlook Web Access. Hier werden immerhin Ihre persönlichen E-Mails über das
Internet zugänglich gemacht.
Was ist nötig und was sind die einzelnen Schritte um Outlook Web Access per SSL
zu veröffentlichen? Um Outlook Web Access zu veröffentlichen sind mehrere Arbeitsschritte
notwendig, in die diese Anleitung unterteilt ist.
Kapitelübersicht
1. Installieren einer eigenen Zertifizierungsstelle (CA)
Als erstes wird ein Serverauthentifizierungszertifikat benötigt. Dieses bekommen Sie entweder von öffentlichen Zertifizierungsstellen, wie z.B. VeriSign, oder von einer eigenen Zertifizierungsstelle.Bevor Sie allerdings mit der Installation der Zertifizierungsstelle anfangen, sollten Sie sich Gedanken über Ihre Infrastruktur machen, da es in den Zertifizierungsstellen Unterschiede gibt.
Die Microsoft Zertifikatsdienste unterstützen zwei Arten von Zertifizierungsstellen.
Der Unterschied besteht darin, dass die Unternehmens Zertifizierungsstelle in das Active Directory integriert ist und die Alleinstehende nicht. Beide Arten unterstützen aber alle Sicherheitsfeatures, mit der Ausnahme der Smartcardunterstützung, diese benötigt eine im Active Directory integrierte Zertifizierungsstelle, da die Zertifikate mit den Benutzern verknüpft werden. Eine Alleinstehende Zertifizierungsstelle hat den Vorteil, dass Sie Zertifikate für Objekte außerhalb Ihrer Windows 2000 Umgebung erstellen können, z.B. ein Unix Webserver oder Benutzer. Wir entscheiden uns in unserer Anleitung für eine im Active Directory integrierte Stammzertifizierungsstelle.
Beginnen wir nun mit der Installation.
Hierzu öffnen Sie über Start -> Einstellungen -> Systemsteuerung -> Software den Menüpunkt Windowskomponeten hinzufügen und wählen die Zertifikatsdienste aus. Es erscheint ein Hinweis, dass der Server nach Abschluss der Installation nicht mehr umbenannt werden kann.
Anschließend muss der Typ der Zertifizierungsstelle ausgewählt werden. Wie schon erwähnt wählen wir, in dieser Anleitung, die Stammzertifizierungsstelle des Unternehmens aus. Das Schlüsselpaar und das Zertifikat für die Zertifizierungsstelle lassen wir auch erstellen.
Es erscheint nun obiges Fenster in dem verschiedene Verschlüsselungsdienstanbieter und Haschalgorithmen zur Auswahl stehen. Wählen Sie hier einen Kryptographieanbieter und Hashalgorithmus Ihrer Wahl aus. Eine Erklärung der einzelnen Unterschiede zwischen den Anbietern würde diese Anleitung zu sehr in die Länge ziehen (ein Appendix ist in Arbeit). Was Sie aber verändern sollten, ist die Schlüssellänge, hierbei ist zu beachten, dass diese mindestens eine Länge von 1024 hat, denn kürzere Schlüssel sind nicht mehr so sicher. Wir wählen in unserer Installation eine Länge von 4096, was ein ziemlich sicherer Schlüssel ist.
Nun müssen Sie der Zertifizierungsstelle einen Namen geben, wir nennen diese Interne Zertifizierungsstelle und setzen den Gültigkeitszeitraum auf 10 Jahre fest.
Anschließend wird der Schlüsselsatz für die Zertifizierungsstelle erstellt.
Jetzt müssen Sie noch angeben, wo die Datenbank und die Logfiles für die Zertifizierungsstelle gespeichert werden sollen. Die Konfigurationseinstellungen sichern Sie, in dem Sie den Haken unter Konfigurationseinstellungen in einen freigegebenen Ordner speichern anklicken und einen geeigneten Ordner dafür auswählen.
! Beachten Sie, falls Sie die Speicherorte ändern, dass die Dateien dann noch vor unberechtigtem Zugriff geschützt sind !
Anschließend werden Sie darauf hingewiesen, dass die Internetinformationsdienste beendet werden müssen um die Installation abzuschließen.
Nach Abschluss der Installation öffnen Sie den Internet Explorer und geben unter Adresse http://servername.meinedomain.de/certsrv ein, um zu überprüfen ob die Installation erfolgreich war. Wenn alles Funktioniert hat, bekommen Sie die obige Webseite zu sehen.
Beachten Sie:
Als Servername tragen Sie bitte den Namen des Servers ein, auf dem Sie die Zertifikatsdienste installiert haben und als Domainnamen verwenden Sie den Ihrer Domäne.
Somit wäre die Installation der Zertifikatsdienste abgeschlossen und Sie können mit dem nächsten Kapitel, der Zertifikatsanforderung fortfahren.
Stand: Friday, 28. August 2009/CG.
