Exchange 2013 SSL Administration

Download PDF

Valg af DNS-navne der skal inkluderes i et Exchange SAN SSL

 

Exchange anvender flere DNS-navne, der skal beskyttes af et SSL-certifikat. Derfor anbefaler Microsoft at anvende et Subject Alternative Name (SAN) / Unified Communication (UC) kompatibelt SSL-certifikat. Disse certifikater kan beskytte flere adresser på et SSL-certifikat.

Exchange er designet til at bruge et enkelt SAN SSL-certifikat, indeholdende alle DNS-navne serveren anvender internt og eksternt. Selv om det er muligt at få en Exchange til at virke med et Wildcard eller standard enkeltnavnscertifikat, vil det være på bekostning af funktionalitet og kræve ekstra opsætning.

Ved anvendelses af et wildcard, selvom det er blevet aktiveret, bruger exchange det ikke på SMTP, POP3 og IMAP, da SAN navnet ikke findes i certifikatet, så den vil automatisk skifte over til det interne certifikat.

For at serveren fungerer optimalt, skal alle DNS-navne som peger på serveren og som anvendes til at kommunikere med den fra internettet og lokalt være i SSL-certifikatet. Derudover skal der tilføjes autodiscover.fairssl.dk, for hvert domæne som en bruger anvender i deres udgående afsender e-mail.

Dvs.:

  • De DNS-navne serveren tilgås på fra internettet. F.eks. mail.fairssl.dk
  • De DNS-navne serveren tilgås på fra lokalt netværk. F.eks. exch01.fairssl.dk eller mail.fairssl.dk
  • autodiscover.fairssl.dk for hvert af de e-mail domæner der anvendes af brugerne som deres primære (udgående) e-mail adresse

 

Autodiscover adressen tillader klienten at automatisk hente konfigurationen til Exchange og derved gøre opsætningen af klienter både internt og eksternt lettere. Der skal være en autodiscover adresse for hvert e-mail domæne som brugeren anvender som afsenderadresse, dvs. deres primære e-mail adresse.

 

Det er vigtigt at blive ved med at forny det interne exchange certifikat da serveren vil blive ved med at bruge dette, bl.a. til den interne SMTP, også selvom der er lagt et eksternt certifikat på

 

Standard - 1 e-mail domæne

 

Dette er en typisk opsætning med et enkelt domæne til udgående post og et DNS navn der bruges både internt og eksternt til at nå serveren.

Følgende adresser tilføjes SSL-certifikatet:

  • mail.fairssl.dk
  • autodiscover.fairssl.dk

 

Fordi der kun anvendes adresser på ét offentligt domæne kan et domæne valideret SSL-certifikat anvendes.

 

Udvidet - Flere e-mail domæner eller servernavne

 

For en virksomhed med flere udgående e-mail domæner, fx ..@fairssl.dk og ..@fairssl.net, skal der tilføjes et autodiscover DNS-navn per udgående domæne

Det kunne også være en server der tilgås internt på exch01.fairssl.dk og eksternt på webmail.fairssl.dk

Følgende adresser tilføjes SSL-certifikatet:

  • webmail.fairssl.dk
  • exch01.fairssl.dk
  • autodiscover.fairssl.dk
  • autodiscover.fairssl.net

 

Fordi der anvendes adresser på flere domæner (fairssl.dk og fairssl.net), skal SAN certifikatet understøtte dette.

 

Skift fra interne til internetgyldige servernavne

 

Når Exchange serveren installeres er standardopsætningen, at den anvender et internt servernavn for intern kommunikation. Det er dog ikke længere muligt at bruge interne servernavne i offentligt udstedte SSL-certifikater. Da Exchange ikke kan bruge flere certifikater på hver service, bliver vi derfor nødt til kun at anvende eksternt gyldige DNS-navne i certifikatet.

Eksempler på interne servernavne:

  • server01
  • exch01.fairssl.local
  • srv01.fairssl.lan
  • localhost
  • 192.168.100.10
  • 10.0.0.10

 

Det kræver at der er et eller flere DNS navne der kan tilgås både udefra og internt, som rammer Exchange serveren og at Exchange serveren opsættes til at være klar over disse navne.

 

Vi foreslår en af følgende to populære løsninger:

 

Split-DNS

Et DNS-navn f.eks. webmail.fairssl.dk giver på lokalt netværk en intern IP-adresse til Exchange serveren, imens den fra internettet giver den offentlige IP-adresse

Hvis man ikke ønsker at oprette hele domænet som en split-DNS zone, kan vi anbefale at oprette selve servernavnet som en underzone og derved kun have split-DNS for det ene navn.

 

Se vejledning til opsætning af Split-DNS

Og konfigurer derefter serverens interne og eksterne URL-adresser til dette ene navn.

 

To DNS-navne

Her anvendes blot et DNS-navn til internt og ekstern adgang. Det er normal praksis for virksomheder der har lavet et underdomæne til deres offentlige, f.eks. intern.fairssl.dk

Det kunne f.eks. være webmail.fairssl.dk som peger på den eksterne IP-adresse og exch01.fairssl.dk, som peger på en interne IP-adresse.

 

Herefter er det blot at konfigurere Exchanges interne og eksterne URL-adresser til disse navne.

 

 

Opsætning af Split-DNS

 

  1. Log ind på Domain controlleren med en administrator konto.

 

  1. Tryk på windowstast + r og skriv følgende kommando for at åbne DNS manager:

 

dnsmgmt.msc

 

 

  1. Højreklik på Forward Lookup Zone.

Klik på New Zone.

 

 

  1. Klik på Next.

Vælg Primary zone og Store the zone in Active Directory hvis denne er tilgængelig.

Klik på Next.

 

 

  1. Vælg To all DNS servers running on domain controllers in this forest.

Klik på Next.

 

 

  1. Skriv det DNS-navn som den interne DNS skal pege på (f.eks.: mail.fairssl.dk).

Du kan også vælge at bruge domænet (f.eks.: fairssl.dk), men så skal der laves en host for hver eneste DNS-navn (se punkt 10).

Klik på Next.

 

 

  1. Vælg Allow only secure dynamic updates.

Klik på Next.

Klik på Finish.

 

 

  1. Højreklik på den nye forward zone og Klik på New Host (A or AAAA).

 

 

  1. Efterlad Name blank.

Skriv den interne IP-adresse til Exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

Klik på Add Host.

 

 

  1. Hvis du har valgt at lave en zone for hele domænet skal du følge nedenstående, husk at du skal lave en host for alle de DNS-navne I bruger (f.eks.: www.fairssl.dk, vpn.fairssl.dk, login.fairssl.dk).

Skriv DNS-navnet uden domænet i name (f.eks.: mail).

Skriv den interne IP-adresse til Exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

 

 

Opsætning af interne og eksterne Exchange service URL-adresser

 

  1. Log ind med en administrator konto på Exchange serveren.

 

  1. Højreklik på Exchange Management Shell.

Vælg Run as Administrator.

 

 

  1. Kør følgende kommando:

 

Get-ExchangeServer | fl name

 

 

  1. Kør følgende kommando:

SERVERNAVN er navnet du fandt i punkt 3, INTERNURL er den interne adresse til mail serveren f.eks exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL er den eksterne adresse til mail serveren uden https:// f.eks mail.fairssl.dk. Husk at skrive ”” rundt om servernavn internurl og eksternurl:

 

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL

 

 

  1. Kør følgende kommandoer for at skifte adresserne til de internet gyldige (for fuldt script med alle kommandoerne i en se punkt 6):

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

 

 

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

 

 

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

 

 

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

 

 

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

 

 

Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp”

 

 

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

 

  1. Følgende er alle de ovenstående kommandoer samlet i én for en simpelt copy/paste. Hvis punkt 5 er fulgt er der ingen grund til at bruge dette:

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

Generering af CSR til certifikat bestilling

 

  1. Log ind med en administrator konto på Exchange serveren.

 

  1. Tryk på windowstast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode.

Klik på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server der skal have skiftet certifikat i listen i midten.

 

 

  1. Klik på certificates i øverste højre hjørne.

Klik på + ikonet i midten.

 

 

  1. Vælg Create a request for a certificate from a certificate authority.

Klik på Next.

 

 

  1. Giv dit certifikat et navn så du kan huske hvad det skal bruges til, f.eks. DNS-navnet.

Klik på Next.

 

 

  1. Sørg for at der ikke er markering i Request a wildcard.

Klik på Next.

 

 

  1. Klik på Browse og vælg serveren.

Klik på Next.

 

 

  1. Her har du mulighed for at ændre på hvilket DNS-navn forskellige services skal tilgår fra internt og eksternt.

Hvis der er nogen der hedder noget med .local eller lignende bør du få det ændret, følg eventuelt Skift fra interne til internetgyldige servernavne. Du kan sagtens vente til du er færdig med CSR-filen med at ændre dem.

Klik på Next.

 

 

  1. Fjern alle de DNS-navne du ikke skal bruge, og tilføj dem du skal.

Klik på Next.

 

 

  1. Udfyld firmainformationerne:

 

    • Organization name (O): Det fulde gyldige firmanavn, præcis som det står i CVR. F.eks.: FairSSL A/S
    • Department name (OU): Afdelingen som skal bruge certifikatet. Må ikke kunne forveksles med et andet firma. Kan anbefales at efterlade den tom, eller at bruge firmanavnet. F.eks.: FairSSL A/S
    • City/Locality (L): Bynavn. F.eks.: Ørum Djurs
    • State/Province (S): Stat eller kommune, i Danmark anvendes kommunen. F.eks.: Norddjurs
    • Country/Region name (C): Landet firmaet ligger i. F.eks.: Denmark

 

Klik på Next.

 

 

  1. Skriv UNC adressen til hvor du vil gemme CSR-filen. Nedenstående eksempel gemmer på c:\www.fairssl.dk.csr på Exchange serveren.

Klik på Finish.

 

 

  1. Åben CSR-filen med en teksteditor (f.eks notepad), kopier hele teksten, inkl. alle bindestreger før og efter.

Under certifikat bestillingen skal du indsætte teksten i CSR-feltet.

følgende er et eksempel på en komplet CSR-tekst:

 

 

En CSR indeholder ingen fortrolige oplysninger og der er ingen sikkerhedsrisiko ved f.eks. at sende en CSR via ukrypteret e-mail.

 

Import af mellemudstedercertifikat (Intermediate Certificate Authority)

 

Følgende beskriver hvordan mellemudstedercertifikater importeres på en Microsoft Windows baseret server og derved også en Exchange server. For at sikre at klienter kan godkende mellemudstedere i certifikatet, skal certifikatets mellemudstederes offentlige certifikat installeres på Exchange serveren.

 

Bemærk at Windows nogle gange automatisk installerer certifikatet, ved installation af servercertifikatet. Det skader dog intet at importere det samme mellemudstedercertifikat flere gange, der kommer blot en advarsel om at det allerede findes.

 

  1. Log ind med en administrator konto på Exchange serveren.

Kopier teksten med mellemudstedercertifikatet (Intermediate certificate), fra e-mailen med dit nye certifikat, til en tekst editor (som Notepad). Gem filen på skrivebordet, med filnavnet mellemudsteder.cer

 

  1. Tryk på windowstast + r

Skriv mmc.exe

Klik på OK.

 

 

  1. Klik på File og derefter Add/Remove snap-in.

 

 

  1. Vælg Certificates.

Klik på derefter på Add.

 

 

  1. Vælg Computer account.

Klik på Next.

 

 

  1. Sørg for at the står på Local computer.

Klik på Finish.

Klik på OK.

 

 

  1. Udvid Certificates (Local Computer) og Intermediate Certificate Authorities.

Højreklik på Certificates.

Vælg All Tasks.

Klik på Import.

 

 

  1. Klik på Browse og vælg den fil du gemte på skrivebordet.

Klik på Next.

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate.

Klik på Next.

Klik på Finish.

 

 

Her kan du finde mellemudstedercertifikater fra de forskellige udstedere.

Vi anbefaler at du bruger det medsendte mellemudstedercertifikat, og kun henter herfra hvis du mister det, da det medsendte altid vil være det korrekte til det bestilte servercertifikat.

 

Mellemudstedercertifikater

 

Installation af certifikat fra CSR

 

Det er vigtigt at installere certifikatet på den server hvor CSR (Certificate Signing Request) blev oprettet, da det er dér hvor certifikatets private nøgle findes.

Den private nøgle blev oprettet som en del af processen med at lave CSR'en og det er nødvendigt at gennemføre denne installationsprocess for at knytte den private nøgle sammen med certifikatet.

 

  1. Gem det nye certifikat som en fil et sted hvor du kan hente det fra serveren via en UNC-sti.

     f.eks. \\EX13\c$\www.fairssl.dk.cer

 

  1. Tryk på windowstast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode.

Tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server certifikatet skal installeres på i midten.

Klik på certificates i øverste højre hjørne.

 

 

  1. Klik på det friendly name du gav da du lavede din CSR, den vil have pending request i status.

Klik på complete i højre side.

 

 

  1. Skriv UNC stien til hvor du gemte certifikatet.

Klik på OK.

 

 

  1. Certifikatet installeres nu på Exchange serveren og status på certifikatet ændres fra Pending Request til Valid (gyldig) i oversigten over certifikater på serveren.

 

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Import af certifikat backup fil (.PFX/PCKS12)

 

  1. Log ind med en administrator konto på Exchange serveren.

 

  1. Tryk på windowstast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode.

Klik på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet skal importeres på.

Klik på certificates i øverste højre hjørne.

 

 

  1. Klik på de tre prikker under serveren.

Klik på Import Exchange Certificate.

 

 

  1. Skriv UNC stien til .PFX filen.

Hvis filen er beskyttet med et password skriv det her. Har du brugt CSR-service har du fået passwordet på SMS.

 

 

  1. Klik på + ikonet.

Vælg hvilken server det skal importeres til.

Klik på Finish.

 

 

Aktiver certifikat for angivne services

 

  1. Log ind med en administrator konto på Exchange serveren.

 

  1. Tryk på windowstast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode.

Klik på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet ligger på.

Klik på certificates i øverste højre hjørne.

 

 

  1. Markér det certifikat du vil aktivere services på.

Klik på ikonet.

 

 

  1. Klik på Services i venstre side.

Markér de services du vil aktivere på certifikatet.

Klik på Save.

 

 

  1. Hvis du har valgt SMTP vil der nu komme en prompt der spørger om du vil overskrive default SMTP certifikat.

Klik på Yes.

 

 

Vi anbefaler at du tester installationen med vores server tester på: https://www.fairssl.dk/ssltest

 

Eksporter certifikat til backup fil (.PFX/PKCS12)

 

  1. Log ind med en administrator konto på Exchange serveren.

 

  1. Tryk på windowstast.

Skriv Exchange ad for at søge

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode.

Klik på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet skal eksporteres fra.

Klik på certificates i øverste højre hjørne.

 

 

  1. Markér det certifikat du vil eksportere.

Klik på de tre prikker under serveren.

Klik på Export Exchange certificate.

 

 

  1. Skriv UNC stien til hvor du vil gemme .PFX filen.

Skriv et password til at beskytte filen med, dette skal bruges når det skal importeres et andet sted, så sørg for at du kan huske det.

Klik på OK.