Land/Sprache: 

Sichern von Microsoft Exchange 2010

Tipps für die Sicherung Ihres E-Mail-Servers mit SSL-Zertifikaten und Subject Alternative Names

Einleitung: Für die sichere Online-Kommunikation ist SSL ein Muss.
Der Umstieg auf Microsoft Exchange Server 2010 bietet sich derzeit aus mehreren Gründen an, u. a. wegen der zahlreichen Verbesserungen in puncto Verwaltung und Sicherheit. Wie schon bei Exchange Server 2007 gewährleisten auch in Version 2010 SSL-Zertifikate die Sicherheit aller Verbindungen zum E-Mail-Server. Dieser Leitfaden erläutert, wie Sie SSL für Exchange 2010 einrichten. Er bietet Anleitungen dazu, wie Sie an das für eine sichere Exchange-Implementierung erforderliche SSL-Zertifikat gelangen und praktische Funktionen wie Subject Alternative Names (SAN) nutzen.

Wie SSL die Kommunikation mit Exchange 2010 absichert
Dass SSL E-Commerce-Transaktionen absichert, ist allgemein bekannt. Doch es kommt auch bei vielen Kommunikationstechnologien, etwa E-Mail, Instant Messaging (IM) oder Voice-over-IP (VoIP) zum Einsatz. SSL weist Sie als rechtmäßigen Eigentümer Ihres Exchange-Servers und Ihres Dienstes aus und startet bei jedem Verbindungsaufbau eines Benutzers mit Ihrer Exchange-Umgebung eine verschlüsselte Sitzung. Wenn Sie ein SSL-Zertifikat anfordern, überprüft ein unabhängiger Anbieter (etwa die Symantec Authentifizierungsdienste) die Daten Ihres Unternehmens und stellt ein eindeutiges Zertifikat mit diesen Daten für Sie aus. Diesen Vorgang nennt man Authentifizierung.

Nach der Authentifizierung Ihres Servers wird eine sichere SSL-Verbindung aufgebaut, über die sich verschlüsselte Daten zwischen dem E-Mail- oder Web-Client und Ihrem Exchange-Server austauschen lassen. Die Vertraulichkeit und Integrität aller Datenübertragungen ist dabei sichergestellt.

Exchange 2010: die richtigen SSL-Zertifikate
Sie können Ihre Exchange-Infrastruktur mit drei Arten von SSL-Zertifikaten schützen: von Ihnen selbst erstellte und signierte Zertifikate, Windows-PKI-Zertifikate (Public Key Infrastructure) und Zertifikate einer zuverlässigen und unabhängigen Zertifizierungsstelle (auch öffentliche Zertifikate genannt). Microsoft empfiehlt bei Inbetriebnahme neuer E-Mail-Server die Verwendung von SSL-Zertifikaten einer zuverlässigen und unabhängigen Zertifizierungsstelle (CA). Mit Zertifikaten einer renommierten CA ersparen Sie sich die Installation von Root-Zertifikaten auf jedem einzelnen Client, der mit dem Exchange-Server kommunizieren wird. (Ihr Helpdesk wird das Ihnen danken, da dies weniger Konfigurationsanfragen im Zusammenhang mit der Einwahl neuer mobiler oder Browser-Clients bedeutet.) Beachten Sie auf jeden Fall, dass das Outlook-Anywhere-Protokoll mit selbstsignierten SSL-Zertifikaten nicht funktioniert.

Benennungen für Ihren Exchange-Server
Bevor Sie SSL-Zertifikate kaufen und installieren, müssen Sie für Ihren Server einen vollständig qualifizierten Domainnamen (FQDN, manchmal auch als URL bezeichnet) vergeben und diesen in Active Directory in die Liste vertrauenswürdiger Server eintragen. Ein möglicher FQDN wäre beispielsweise:

mail.ihrserver.com

Wahrscheinlich brauchen Sie mehr als einen FQDN für Ihren Server, da er vermutlich für mehrere Dienste zuständig sein wird, und Sie müssen jeden Domainnamen, der von einem anderen Server oder Client zum Verweis auf Ihren Exchange Server verwendet werden kann, identifizieren können. In manchen Fällen müssen Sie den FQDN als gemeinsamen Namen (Common Name, CN) verwenden - etwa bei der Sicherung eines Edge-Transport-Servers, der SMTPS (Simple Mail Transfer Protocol) über SSL verwendet. In diesem Fall müssen Sie den FQDN exakt so verwenden, wie er im sogenannten A-Record dieses Servers auf dem öffentlichen DNS-Internetserver eingetragen ist. Ist die Verwendung eines FQDN nicht möglich oder nicht gewünscht, greifen manche Administratoren auf die kürzere Domainnamensform des FQDN für ihre CNs zurück.

Die folgenden CNs können beispielsweise einem einzelnen Exchange-Server zugeordnet werden:

  • mail.ihrserver.com
  • owa.ihrserver.com
  • autodiscover.ihrserver.com
  • outlook.ihrserver.com

Sie müssen jeden CN per SSL sichern und authentifizieren, da jedes Gerät beim Verweis auf Ihren Server exakt diese Namen benutzen muss. Inkonsistenzen in Bezug auf den gemeinsamen Namen des Servers sind bei der Einrichtung von Exchange ein häufiges Problem. Richten Sie sich vorab ein sinnvolles Namensschema für Ihre Exchange-2010-Umgebung ein, da dies Probleme im weiteren Verlauf vermeidet.
Gemeinsame Namen und FQDN
Sie können Ihre CNs für Exchange 2010 im FQDN-Format belassen, müssen allerdings ein paar Einschränkungen dabei beachten: Gemeinsame Namen dürfen höchstens 64 Zeichen lang sein und bei zu langem FQDN-Namensschema können Sie nicht den vollständigen FQDN in den CN-Standard einfügen. Gemeinsame Namen unterstützen Unicode, FQDNs hingegen sind auf eine Teilmenge von ASCII-Zeichen beschränkt. Wenn Sie also Ihren FQDN als gemeinsamen Namen verwenden können, erleichtert das die Konfiguration letztlich enorm.

Einfach sicher: Subject Alternative Names
Jeder CN muss separat per SSL authentifiziert werden. Heißt das, dass Sie für jeden einzelnen CN ein eigenes SSL-Zertifikat installieren müssen? Das wäre allerdings recht umständlich und teuer. Keine Angst, es geht wesentlich einfacher! Die Lösung für die Sicherung mehrerer gemeinsamer Namen für einen einzelnen Server, wie dies bei Exchange-Servern erforderlich ist, ist ein Zertifikat mit mehreren sogenannten Subject Alternative Names (SANs). Die SAN-Option für SSL-Zertifikate gehört seit mehr als zehn Jahren zum SSL-Standard. Zertifikate mit SAN-Unterstützung funktionieren im Prinzip so wie reguläre SSL-Zertifikate. Sie bieten denselben Verschlüsselungs- und Authentifizierungsschutz und unterscheiden sich lediglich insofern, als sie über ein Zertifikat mehrere CNs sichern. Die flexible SAN-Erweiterung funktioniert mit praktisch sämtlichen Browsern und Mobilgeräten. Sie können dadurch mit einem Zertifikat verschiedene Domains, IP-Adressen, Servernamen und natürlich auch Exchange-2010-Domainnamen sichern.

Der Kauf von SSL-Zertifikaten: Achten Sie auf die richtige Zertifizierungsstelle
Nach der Festlegung und Zuordnung Ihrer SANs können Sie ein SSL-Zertifikat erwerben. Achten Sie bei der Auswahl des Anbieters vor allem auf Vertrauenswürdigkeit und Zuverlässigkeit. Als erste Zertifizierungsstelle überhaupt boten die Symantec Authentifizierungsdienste SSL bereits im Jahr 1995 an. Heute setzen wir als Branchenführer den Maßstab in puncto Online-Sicherheit. Das Symantec™ Secured-Siegel ist die bekannteste Vertrauensmarke im Internet. Gleichfalls ausschlaggebend bei der Wahl des SSL-Zertifikatsanbieters ist die universelle Browser-Kompatibilität. Viele CAs beanspruchen für sich eine Browser-Kompatibilität von 99 Prozent. Das heißt jedoch nicht zwangsläufig, dass jedes Zertifikat ohne Ausgabe von Sicherheitswarnungen im Browser aktiviert wird. Und längst nicht jeder Browser führt auch alle Zertifikate neuerer oder kleinerer CAs in seinem Root-Speicher. Besonders bei älteren Browsern ist dies ein Problem, das Ihnen mit Symantec SSL jedoch auf jeden Fall erspart bleibt: Alle Browser-Hersteller nehmen bei Freigabe einer neuen Browserversion VeriSign-SSL-Roots in ihren Root-Speicher auf.

Verwaltung mehrerer Zertifikate
Wenn Sie, wie in Exchange 2010 üblich, mehrere SSL-Zertifikate benötigen, sollten Sie den Kauf und die Verwaltung des Zertifikats über das CertCenter der CertCenter AG erwägen. Die Anmeldung, Ausstellung und Erneuerung von Einzelzertifikaten ist umständlich und zeitaufwendig; über CertCenter erfolgen die Verwaltung, Kauf und Backup der SSL-Zertifikate zentral, was das gesamte Prozedere vereinfacht.

Der neue Zertifikatsassistent in Microsoft Exchange
Das Einrichten von Domainnamen für Ihren Exchange-Server ist in Version 2010 dank eines neuen Zertifikatsassistenten einfacher denn je. Das mit einer grafischen Benutzeroberfläche ausgestattete Tool können Sie alternativ zur Power Shell verwenden. Die Beantragung eines SSL-Zertifikats erfolgt dabei unter Zugrundelegung einer von der Exchange-Konfigurationsfunktion festgelegten Standardserverkonfiguration. Dies ist natürlich sehr praktisch. Vergleichen Sie diese Konfiguration trotzdem sorgfältig mit Ihrer derzeitigen Installation, damit Sie nicht am Ende deshalb falsche SANs für Ihr SSL-Zertifikat erhalten, weil die von Ihnen vergebenen Namen nicht mit der Exchange-Standardkonfiguration übereinstimmen.

SSL-Zertifikate mit SAN-Option für Unified Communications
Ein SSL-Zertifikat mit SAN-Option zur Sicherung der gesamten Unternehmenskommunikation - ein sogenanntes UC-Zertifikat oder Unified Communications Certificate (kurz UCC) - wird normalerweise nicht als separates Spezialprodukt ausgegeben. Sie wählen vielmehr Ihr SSL-Zertifikat mit dem gewünschten Authentifizierungs- und Verschlüsselungsschutz aus und legen anschließend fest, welche Namen über dieses Zertifikat gesichert werden sollen. Der Kauf eines SAN-Zertifikats ist nicht kompliziert, allerdings müssen Sie vorher wissen, wie viele SANs Sie für das gewünschte Zertifikat benötigen. Bei einigen Zertifizierungsstellen können Sie Ihre SANs bearbeiten - etwa, wenn eine Namensänderung erforderlich sein sollte. Sie müssen dazu das Zertifikat widerrufen und dann erneut ausstellen und installieren, damit die Änderungen auf Ihrem Server wirksam werden. Achtung: Das Widerrufen und erneute Ausstellen von Zertifikaten ist nicht bei allen Anbietern von SSL-Zertifikaten eine kostenlose Option. Manche CAs bieten nur UCCs eines Typs an. Bei den Symantec Authentifizierungsdiensten erhalten Sie die folgenden Zertifikatstypen mit SAN-Option: Symantec™ Secure Site, Symantec™ Secure Site Pro Symantec™ Secure Site mit EV und Symantec™ Secure Site Pro mit EV. Sie zahlen den Preis für das eigentliche Zertifikat und dazu pro SAN eine weitere Gebühr.
SANs und Wildcard-Zertifikate
Wildcard-Zertifikate unterscheiden sich von SAN-Zertifikaten dahin gehend, dass sie eine unbegrenzte Anzahl von Subdomains schützen.

Mit einem Wildcard-Zertifikat für „*.ihrserver.com“ sichern Sie z. B. die Subdomains info.ihrserver.com und shop.ihrserver.com. Eine Wildcard schützt jedoch nur die auf identischer Stufe befindlichen Sub-domains derselben Domain, und der automatische Ermittlungsdienst von Exchange 2010 lässt sich nicht per Wildcard-Zertifikat schützen.

Generieren von CSR mit dem Exchange-Zertifikatsassistenten
Zur Anmeldung für Ihr SSL-Zertifikat müssen Sie eine Signaturanforderung für ein Zertifikat (Certificate Signing Request, CSR) generieren. Glücklicherweise ist Exchange 2010 mit einem Zertifikatsassistenten ausgestattet, der diesen Vorgang vereinfacht. Die CSR generieren Sie damit in nur sechs Schritten:
  1. Öffnen Sie die Zertifikatsverwaltungskonsole von Exchange über „Start > Programme > Microsoft Exchange 2010 > Exchange-Verwaltungskonsole“. Wählen Sie für Ihren Server „Datenbanken verwalten“.
  2. Wählen Sie im linken Menü „Serverkonfiguration“ und dann im Aktionsbereich rechts „Neues Exchange-Zertifikat“. Wenn Sie um Eingabe eines Anzeigenamens gebeten werden, geben Sie einen leicht merkbaren Namen ein, anhand dessen Sie das Zertifikat später identifizieren können. Dieser Name wird nur zur Identifi-zierung benötigt und ist kein Bestandteil der CSR.
  3. Wenn Sie die CSR für eine Wildcard generieren möchten, aktivieren Sie das Kontrollkästchen unter „Domänenbereich“. Falls nicht, wählen Sie „Weiter“.
  4. Wählen Sie im Exchange-Konfigurationsmenü die zu sichernden Dienste und geben Sie, wenn das System Sie dazu auffordert, die Namen ein, über die Sie mit diesen Diensten die Verbindung herstellen. Im Fall einer Wildcard überspringen Sie diesen Schritt. Im nächsten Bild sehen Sie eine Liste von Namen, die Exchange 2010 für die Aufnahme in Ihre Zertifikatsanforderung vorschlägt.
  5. Auf der Seite „Organisation und Standort“ sollte bei „Organisation“ der vollständige und offizielle Name Ihres Unternehmens stehen und bei „Organisationseinheit“ die für SSL zuständige Abteilung Ihres Unternehmens. Wenn Sie unter „Bundesland/Kanton“ nichts eintragen können, geben Sie nur den Standort Ihres Unternehmens ein.

  6. Klicken Sie auf „Durchsuchen“, um die CSR als REQ-Datei auf Ihrem Computer zu speichern. Klicken Sie anschließend auf „Speichern“, danach auf „Weiter“, dann auf „Neu“ und zum Schluss auf „Fertig stellen“.
Sie können jetzt die CSR mit einem Texteditor (z. B. Notepad) öffnen. Kopieren Sie alles vom ersten Bindestrich (-) der ersten Zeile bis zum letzten Bindestrich der letzten Zeile. Fügen Sie den Inhalt in das Online-Bestellformular ein.

Hinweis: Exchange 2010 verwendet standardmäßig RSA-Schlüssel mit 1024 Bit Länge, wir empfehlen allerdings die Verwendung eines 2048-Bit-Schlüssels. Einen 2048-Bit-Schlüssel müssen Sie grundsätzlich wählen, wenn Sie eine CSR für ein Zertifikat mit Extended Validation (EV) oder ein Zertifikat mit Gültigkeit über den 31. Dezember 2013 hinaus generieren.

Installation eines SSL-Zertifikats
Nach dem Kauf eines SSL-Zertifikats von Symantec™ erhalten Sie eine E-Mail mit zwischen Kopf- und Fußzeile verschlüsselten Daten, die wie unten dargestellt aussieht. Das ist Ihr SSL-Zertifikat.

-----BEGIN CERTIFICATE-----
[verschlüsselte Daten]
-----END CERTIFICATE-----

Mit Notepad oder einem anderen Texteditor können Sie eine Datei mit dem Zertifikatsinhalt der E-Mail erstellen. Achten Sie darauf, dass vor und nach BEGIN CERTIFICATE und END CERTIFICATE jeweils fünf (5) Bindestriche stehen und nicht versehentlich Leerzeichen, Zeilenumbrüche oder sonstige Zeichen eingefügt wurden. Speichern Sie die Datei mit der Erweiterung TXT oder P7B. Führen Sie dann zur Installation Ihres Symantec SSL-Zertifikats die folgenden sechs Schritte aus:
  1. Öffnen Sie die Zertifikatsverwaltungskonsole von Exchange über „Start > Programme > Microsoft Exchange 2010 > Exchange-Verwaltungskonsole“.
  2. Wählen Sie für Ihren Server „Datenbanken verwalten“ und anschließend „Serverkonfiguration“. Wählen Sie das Zertifikat aus dem Menü in der Mitte (nach Anzeigenamen geordnet) aus und klicken Sie anschließend im Aktionsbereich auf „Anstehende Anforderung abschließen“.
  3. Suchen Sie die Zertifikatsdatei und wählen Sie dann „Öffnen > Abschließen“.
  4. Drücken Sie F5, um das Zertifikat zu aktualisieren und prüfen Sie, dass bei „selbstsigniertes Zertifikat“ jetzt „FALSE“ steht. Falls weiterhin „TRUE“ angezeigt wird, haben Sie entweder das falsche Zertifikat ausgewählt oder die Anforderung wurde auf einem anderen Server generiert. Erstellen Sie dann eine neue CSR auf diesem Exchange-Server und lassen Sie das Zertifikat von der CA ersetzen.
  5. Um das Zertifikat zu aktivieren, gehen Sie zurück zur Exchange-Verwaltungs-konsole und klicken auf „Dienste zu Zertifikat zuordnen“. Wählen Sie aus der angezeigten Liste den Server aus und klicken Sie auf „Weiter“.
  6. Wählen Sie die Dienste, für die das Zertifikat aktiviert werden muss, und klicken Sie auf „Nächstes > Zuordnen > Fertigstellen“.
Ihr SSL-Zertifikat ist jetzt installiert und für den Einsatz auf Ihrem Exchange-2010-Server aktiviert.
Hinweis zu Base64-Verschlüsselung
Gelegentlich zeigt Exchange 2010 die Fehlermeldung an: „Die Quelldaten sind fehlerhaft oder nicht ordnungs-gemäß Base64-codiert.“ In der Regel können Sie diese Meldung ignorieren, da das Zertifikat trotzdem korrekt installiert wird.

Ihr SSL-Zertifikat hat viele Vorteile
SSL macht das Internet sicher und vertrauenswürdig, täglich viele Milliarden Mal. Die Symantec Authentifizierungsdienste bieten Lösungen, die Unternehmen und Kunden weltweit bei vertrauensvoller Kommunikation und sicherem Handel unterstützen. Vom Schutz vertraulicher Unternehmensdaten mit SSL-Zertifikaten der Symantec Authentifizierungsdienste profitieren Ihr Geschäft und Ihr guter Ruf. Der Schutz Ihrer Microsoft-Exchange-2010-Umgebung mit Symantec SSL-Zertifikaten lohnt sich.

Die Vorteile:

  • Bewährte Sicherheit, auf die 93 Prozent der Fortune-500-Unternehmen vertrauen
  • Kostenloser technischer Support rund um die Uhr in vielen Sprachen per Chat, E-Mail und Telefon; dazu eine umfassende Online-Wissensdatenbank
  • Skalierbare Verwaltung über ein einziges Online-Portal, wodurch die Kosten der Zertifikatsverwaltung gesenkt und die Komplexität verringert werden
  • Zuverlässige PKI-Infrastruktur einschließlich nach militärischen Maßstäben gesicherter Rechenzentren und Maßnahmen zur Datenwiederherstellung im Notfall – für vertrauensbildende Datensicherheit und optimale Verfügbarkeit
  • Strenge Authentifizierungsverfahren, die jährlich von dem führenden Wirtschaftsprüfungsunternehmen KPMG für eine größere Vertrauenswürdigkeit im Online-Handel überprüft werden
  • Modernste Verfahren, ermöglicht durch die kontinuierliche Investition von Symantec in Forschung und Infrastruktur mit dem Ziel, neuen Sicherheitsrisiken einen Schritt voraus zu sein

Weitere Informationen über SAN-Zertifikate
Der Subject Alternative Name (SAN) ist eine optionale Funktion für Unified Communications zur Sicherung von Microsoft Exchange 2007 Server, Office Communications Server 2007 oder Mobile Device Manager sowie von Servernamen, dem Intranet und lokalen Namen. Jedes Symantec™ SSL-Zertifikat ist mit SAN-Option erhältlich; Sie sind bei der Wahl Ihres Zertifikats also nicht eingeschränkt. Mit SAN-fähigen Symantec™-Zertifikaten sichern Sie bis zu vierundzwanzig zusätzliche Domainnamen. Hierzu geben Sie bei Beantragung Ihres Zertifikats einfach die Namen in das SAN-Feld ein. Mehr dazu unter /ssl/brands/Symantec.

1) Alle Angebote und Preise richten sich ausschließlich an Unternehmen und verstehen sich zzgl. der gesetzlicher Umsatzsteuer.