Exchange 2007 SSL Administration

Download PDF

Valg af DNS-navne til et Exchange SAN SSL-certifikat

 

Exchange anvender flere DNS-navne, der skal beskyttes af et SSL-certifikat. Derfor anbefaler Microsoft at anvende et Subject Alternative Name (SAN) / Unified Communication (UC) kompatibelt SSL-certifikat. Disse certifikater kan beskytte flere adresser på et SSL-certifikat.

Exchange er designet til at bruge et enkelt SAN SSL-certifikat, indeholdende alle DNS-navne serveren anvender internt og eksternt. Selv om det er muligt at få en Exchange til at virke med et Wildcard eller standard enkeltnavnscertifikat, vil det være på bekostning af funktionalitet og kræve ekstra opsætning.

Ved anvendelses af et wildcard, selvom det er blevet aktiveret, bruger exchange det ikke på SMTP, POP3 og IMAP, da SAN navnet ikke findes i certifikatet, så den vil automatisk skifte over til det interne certifikat.

For at serveren fungerer optimalt, skal alle DNS-navne som peger på serveren og som anvendes til at kommunikere med den fra internettet og lokalt være i SSL-certifikatet. Derudover skal der tilføjes autodiscover.fairssl.dk, for hvert domæne som en bruger anvender i deres udgående afsender e-mail.

Dvs.:

  • De DNS-navne serveren tilgås på fra internettet. F.eks. mail.fairssl.dk
  • De DNS-navne serveren tilgås på fra lokalt netværk. F.eks. exch01.fairssl.dk eller mail.fairssl.dk
  • autodiscover.fairssl.dk for hvert af de e-mail domæner der anvendes af brugerne som deres primære (udgående) e-mail adresse

 

Autodiscover adressen tillader klienten at automatisk hente konfigurationen til Exchange og derved gøre opsætningen af klienter både internt og eksternt lettere. Der skal være en autodiscover adresse for hvert e-mail domæne som brugeren anvender som afsenderadresse, dvs. deres primære e-mail adresse.

 

Det er vigtigt at blive ved med at forny det interne exchange certifikat da serveren vil blive ved med at bruge dette, bl.a. til den interne SMTP, også selvom der er lagt et eksternt certifikat på.

 

Standard - 1 e-mail domæne

 

Dette er en typisk opsætning med et enkelt domæne til udgående post og et DNS navn der bruges både internt og eksternt til at nå serveren.

Følgende adresser tilføjes SSL-certifikatet:

  • mail.fairssl.dk
  • autodiscover.fairssl.dk

 

Fordi der kun anvendes adresser på ét offentligt domæne kan et domæne valideret SSL certifikat anvendes

 

Udvidet - Flere e-mail domæner eller servernavne

 

For en virksomhed med flere udgående e-mail domæner, fx ..@fairssl.dk og ..@fairssl.net, skal der tilføjes et autodiscover DNS-navn per udgående domæne

Det kunne også være en server der tilgås internt på exchange01.intern.fairssl.dk og eksternt på webmail.fairssl.dk

Følgende adresser tilføjes SSL-certifikatet:

  • webmail.fairssl.dk
  • exchange01.intern.fairssl.dk
  • autodiscover.fairssl.dk
  • autodiscover.fairssl.net

 

Fordi der anvendes adresser på flere domæner (fairssl.dk og fairssl.net), skal SAN certifikatet understøtte dette.

 

Skift fra interne til internetgyldige servernavne

 

Når Exchange serveren installeres er standardopsætningen, at den anvender et internt servernavn for intern kommunikation. Det er dog ikke længere muligt at bruge interne servernavne i offentligt udstedte SSL-certifikater. Da Exchange ikke kan bruge flere certifikater på hver service, bliver vi derfor nødt til kun at anvende eksternt gyldige DNS-navne i certifikatet.

Eksempler på interne servernavne:

  • server01
  • exch01.fairssl.local
  • srv01.fairssl.lan
  • localhost
  • 192.168.100.10
  • 10.0.0.10

 

Det kræver at der er et eller flere DNS navne der kan tilgås både udefra og internt, som rammer Exchange serveren, og at Exchange serveren opsættes til at være klar over disse navne.

 

Vi foreslår en af følgende to populære løsninger:

 

Split-DNS

Et DNS-navn f.eks. webmail.fairssl.dk giver på lokalt netværk en intern IP-adresse til Exchange serveren, imens den fra internettet giver den offentlige IP-adresse

Hvis man ikke ønsker at oprette hele domænet som en split-DNS zone, kan vi anbefale at oprette selve servernavnet som en underzone og derved kun have split-DNS for det ene navn.

 

Se vejledning til opsætning af Split-DNS

Og konfigurer derefter serverens interne og eksterne URL-adresser til dette ene navn.

 

To DNS-navne

Her anvendes blot et DNS-navn til internt og ekstern adgang. Det er normal praksis for virksomheder der har lavet et underdomæne til deres offentlige, f.eks. intern.fairssl.dk

Det kunne f.eks. være webmail.fairssl.dk som peger på den eksterne IP-adresse og exch01.fairssl.dk, som peger på en interne IP-adresse.

 

Herefter er det blot at konfigurere Exchanges interne og eksterne URL-adresser til disse navne.

 

 

Opsætning af Split-DNS

 

  1. Log ind på Domain controlleren med en administrator konto.

 

  1. Tryk windowstast + r og skriv følgende kommando for at åbne DNS manager:

 

dnsmgmt.msc

 

 

  1. Højreklik på Forward Lookup Zone og klik på New Zone.

 

 

  1. Klik på Next.

Vælg Primary zone og Store the zone in Active Directory hvis denne er tilgængelig.

Klik på Next.

 

 

  1. Vælg To all DNS servers running on domain controllers in this forest.

Klik på Next.

 

 

  1. Skriv det DNS-navn som den interne DNS skal pege på (f.eks.: mail.fairssl.dk).

Du kan også vælge at bruge domænet (f.eks.: fairssl.dk), men så skal der laves en host for hver eneste DNS-navn (se punkt 10).

Klik på Next.

 

 

  1. Vælg Allow only secure dynamic updates.

Klik på Next.

Klik på Finish.

 

 

  1. Højreklik på den nye forward zone og klik på New Host (A or AAAA).

 

 

  1. Efterlad Name blank.

Skriv den interne IP adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

Klik Add Host.

 

 

  1. Hvis du har valgt at lave en zone for hele domænet skal du følge nedenstående, husk at du skal lave en host for alle de DNS-navne I bruger (f.eks.: www.fairssl.dk, vpn.fairssl.dk, login.fairssl.dk).

Skriv DNS-navnet uden domænet i name (f.eks.: mail).

Skriv den interne IP-adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

 

 

Opsætning af interne og eksterne Exchange service URL-adresser

 

For at ændre alle Exchange services interne og eksterne DNS-navn, udfør nedenstående.

 

  1. Log ind på Exchange serveren men en administrator konto.

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

Get-ExchangeServer | fl name

 

 

  1. Kør følgende kommando:

SERVERNAVN er navnet du fandt i punkt 3, INTERNURL er den interne adresse til mail serveren f.eks exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL er den eksterne adresse til mail serveren uden https:// f.eks mail.fairssl.dk. Husk at skrive ”” rundt om servernavn internurl og eksternurl:

 

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL

 

 

  1. Kør følgende kommandoer for at skifte adresserne til de internet gyldige (for fuldt script med alle kommandoerne i en se punkt 6):

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

 

 

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

 

 

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

 

 

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

 

 

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

 

 

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

 

  1. Følgende er alle de ovenstående kommandoer samlet i én for en simpelt copy/paste. Hvis punkt 5 er fulgt er der ingen grund til at bruge dette:

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

Generering af CSR til certifikat bestilling

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

    • SubjectName:
      • Common Name (CN): Det primære fulde internet domænenavn. F.eks.: www.fairssl.dk
      • Organization Name (O): Det fulde gyldige firmanavn, præcis som det står i CVR. F.eks.: FairSSL A/S
      • Organizational Unit (OU): Afdelingen som skal bruge certifikatet. Må ikke kunne forveksles med et andet firma. Kan anbefales at efterlade den tom, eller at bruge firmanavnet. F.eks.: FairSSL A/S
      • Locality (L): Bynavn. F.eks.: Oerum Djurs
      • State (S): Stat eller kommune, i Danmark anvendes kommunen. F.eks.: Norddjurs
      • Country (C): ISO-standard to-bogstavs landekode, skal være store bogstaver. F.eks.: DK
    • KeySize: antallet af bits der anvendes til kryptering (anvend 2048)
    • PrivateKeyExportable: Hvorvidt certifikatet efterfølgende skal kunne eksporteres til backup

 

$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.fairssl.dk, O=FairSSL A/S, OU=FairSSL A/S, L=Oerum Djurs, S=Norddjurs, C=DK" -KeySize 2048 -PrivateKeyExportable $true

 

 

  1. Du kan nu vælge at kopiere teksten som genereres og indsætte den direkte i certifikatansøgningen, eller skrive følgende kommando for at gemme til en fil:

 

    • Path: Stien til hvor CSR filen skal gemmes

 

Set-Content -Path "c:\mail.fairssl.dk.csr" -value $CSR

 

 

  1. Åben CSR filen med en teksteditor (f.eks notepad www.fairssl.dk.csr), kopier hele teksten, inkl. alle bindestreger før og efter.

Under certifikat bestillingen skal du indsætte teksten i CSR feltet.

følgende er et eksempel på en komplet CSR tekst:

 

 

En CSR indeholder ingen fortrolige oplysninger og der er ingen sikkerhedsrisiko ved f.eks. at sende en CSR via ukrypteret e-mail.

 

Import af mellemudsteder certifikat (Intermediate Certificate Authority)

 

Følgende beskriver hvordan mellemudsteder certifikater importeres på en Microsoft Windows baseret server og derved også en Exchange server. For at sikre at klienter kan godkende mellemudstedere i certifikatet, skal certifikatets mellemudstederes offentlige certifikat installeres på Exchange  serveren.

 

Bemærk at Windows nogle gange automatisk installerer certifikatet, ved installation af servercertifikatet. Det skader dog intet at importere det samme mellemudstedercertifikat flere gange, der kommer blot en advarsel om at det allerede findes.

 

  1. Log ind på serveren med en administrator konto.

Kopier teksten med mellemudstedercertifikatet (Intermediate certificate), fra e-mailen med dit nye certifikat, til en teksteditor (som Notepad). Gem filen på skrivebordet, med filnavnet mellemudsteder.cer

 

  1. Tryk windowstast + r

Skriv mmc.exe

Tryk OK.

 

 

  1. Klik på File og derefter Add/Remove snap-in.

 

 

  1. Vælg Certificates.

Klik på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Sørg for at the står på Local computer.

Klik på Finish.

Klik på OK.

 

 

  1. Udvid Certificates (Local Computer) og Intermediate Certificate Authorities.

Højreklik på Certificates.

Vælg All Tasks og klik på Import.

 

 

  1. Klik på Browse og vælg den fil du gemte på skrivebordet.

Klik på Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik på Next.

Klik på Finish.

 

 

Her kan du finde mellemudstedercertifikater fra de forskellige udstedere.

Vi anbefaler at du bruger det medsendte mellemudstedercertifikat, og kun henter herfra hvis du mister det, da det medsendte altid vil være det korrekte til det bestilte servercertifikat.

 

Mellemudstedercertifikater

 

Import og aktivering af certifikat backup fil (.PFX/PKCS12)

 

Følgende beskriver hvordan en certifikat backup fil importeres og aktiveres i Exchange.

Ved bestilling af certifikater med CSR-service modtages certifikatet som en backup fil, beskyttet med en unik kode.

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

    • Path: Stien til certifikatfilens placering
    • Services: De services som ønskes aktiveret

 

Import-ExchangeCertificate –Path c:\mail.fairssl.dk.pfx –Password:(Get-Credential).password | Enable-ExchangeCertificate –Services “IIS,POP,IMAP,SMTP,None”

 

Tilføj UM til services hvis Unified Messaging er installeret.

Hvis der vælges services som ikke er installeret vil kommandoen fejle, så vælg kun de services hvor certifikatet skal anvendes.

 

Denne kommando vil først importere certifikatet og vil derefter aktivere de valgte services.

Der vil blive vist en password prompt hvis filen er beskyttet med et password (se punkt 3).

Til sidst bliver du spurgt om du vil skifte default certifikat til SMTP, skriv y og tryk [ENTER].

 

 

  1. Der vises nu en prompt for brugernavn og kode. Bemærk at brugernavnefeltet ikke anvendes, men at der skal stå noget.

Skriv None i brugernavnet, og det password som filen er beskyttet med i password.

 

 

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Import af certifikat backup fil (.PFX/PCKS12)

 

Følgende beskriver hvordan en certifikat backup fil importeres og aktiveres i Exchange.

Ved bestilling af certifikater med CSR-service modtages certifikatet som en backup fil, beskyttet med en unik kode.

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

    • Path: Stien til certifikatfilens placering

 

Import-ExchangeCertificate –Path c:\mail.fairssl.dk.pfx –Password:(Get-Credential).password

 

 

  1. Der vises nu en prompt for brugernavn og kode. Bemærk at brugernavnefeltet ikke anvendes, men at der skal stå noget.

Skriv None i brugernavnet, og det password som filen er beskyttet med i password.

 

 

List alle certifikater installeret i Exchange serveren

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

Get-ExchangeCertificate

 

Alle certifikater i Exchange vil nu blive listet med certifikatets Thumbprint, Services og Subject.

 

 

Tip: Kør følgende kommando for at se flere informationer om de enkelte certifikater:

 

Get-ExchangeCertificate | fl

 

 

Aktiver certifikat for angivne services

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

    • Thumbprint: Certifikatets ID (kan findes med kommandoen Get-ExchangeCertificate)
    • Services: De services certifikatet ønskes aktiveret på

 

Enable-ExchangeCertificate -Thumbprint -Services "IIS, POP, IMAP, SMTP, None"

 

Tilføj UM til services hvis Unified Messaging er installeret.

Hvis der vælges services som ikke er installeret vil kommandoen fejle, så vælg kun de services hvor certifikatet skal anvendes.

Herefter skal der bekræftes at SMTP servicens certifikat skal erstattes, tryk [ENTER] for at acceptere,

 

 

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Eksporter certifikat til backup fil (.PFX/PKCS12)

 

Følgende beskriver hvordan man kan eksportere et installeret certifikat fra en Exchange, den resulterende certifikat backup fil kan anvendes til at installere det samme certifikat på en anden server.

 

  1. Tryk på windowstast og skriv exch for at søge efter Exchange Management Shell.

Højreklik på Exchange Manamgement Shell og klik på Run as administrator.

 

 

  1. Kør følgende kommando:

 

    • Thumbprint: Certifikatets ID (kan findes med kommandoen Get-ExchangeCertificate)

 

$file = Export-ExchangeCertificate -Thumbprint -BinaryEncoded:$true -Password (Get-Credential).password

 

 

  1. Der vises nu en prompt for brugernavn og password.

Skriv None i brugernavnefeltet (anvendes ikke, men der skal stå noget).

Skriv det password som filen skal beskyttes med i password feltet.

Klik på OK.

 

 

  1. Kør følgende kommando:

 

    • Path: Stien til hvor filen skal gemmes

 

Set-Content -Path "c:\mail.fairssl.dk.pfx" -Value $file.FileData -Encoding Byte