Nice 2 Know IT

Zur Verwendung dieses Kontos müssen sie ein digitales Zertifikat ...

Zur Verwendung dieses Kontos müssen sie ein digitales Zertifikat auf diesem PC installieren.

Diese Fehlermeldung wird ausgegeben, wenn die Windows 8 MailApp Outlook.com auf einem PC als Mailclient für Microsoft Exchange eingerichtet werden soll, der nicht Mitglied einer Domäne ist und der IIS der Gegenstelle mit selbstsignierten Zertifikaten konfiguriert ist. Die Reaktion des Clients ist an dieser Stelle auch vollkommen richtig, da ein selbstsigniertes Zertifikat von einer Stammzertifizierungsstelle ausgegeben ist, die nicht vertrauenswürdig ist. Wäre der betreffende Client Mitglied der Domäne, würde er natürlich vertrauen.

Um dieses kleine Dilemma etwas genauer zu verdeutlichen habe ich mal ein kleines bisschen am meinem Heimnetzwerk gespielt. Als Server verwende ich den kleinen Windows Small Business Server 2008, der mit AD und Exchange 2007 standardmäßig ausgeliefert wird. Als Client ein Windows 8 Pro (x64), welcher nicht Mitglied der Domäne ist. Nach der fertigen Konfiguration sämtlicher Dienste auf dem Server habe ich die Verbindung zu meinem Remotearbeitsplatz über den Internet Explorer hergestellt und folgende Meldung erhalten.

 

Es besteht ein Problem mit dem Sicherheitzertifikat dieser Webseite

 

Nach Fortsetzung dieser Warnung erhalte ich den mein Remoteweb.

Es besteht ein Problem mit dem Sicherheitzertifikat dieser Webseite

 

Wie in der Explorer Leiste gut zu erkennen ist, wird diese Webseite als unsicher eingestuft, obwohl sie über ein SSL-Zertifikat verfügt. Genau an dieser Stelle beginnt das Problem mit der Windows 8 Outlook.com Mail App, da dieses Zertifikat von einer Zertifizierungsstelle ausgestellt wurde, die für unseren Client unbekannt ist. Wenn unserem Computer eine Zertifizierungsstelle unbekannt ist, dann wird das SSL-Zertifikat der Betreiberseite auch als unsicher eingestuft. Den Anwender soll es darauf aufmerksam machen, dass die besuchte Webseite nicht vertrauenswürdig ist und Daten gegebenfalls ausspähen möchte.

Bekannte bzw. vertrauenswürdige Zertifizierungsstellen (sogenannte Trusted CA’s) werden bei der Installation des Betriebssystems und bei Updates über Microsoft in das System integriert. Bekannte Anbieter hierfür sind VerSign, GeoTrust oder Thawte. Die Stammzertifikate der Trusted CA’s befinden sich im Zertifikatsspeicher auf dem PC in dem Container Vertrauenswürdige Herausgeber.

Die Windows 8 Outlook.com Mail App nutzt für den ActiveSync den Outlook Web Access Service von Exchange und lässt nur Verbindungen zu Vertrauenswürdigen Servern zu. Damit man als Nicht-Domain-Mitglied das Stammzertifikat importieren kann, muss es zunächst von der Zertifizierungsstelle exportiert werden. Da mein Server ein Domänencontroller ist, habe ich auch eine Zertifizierungsstelle.

Um das Stammzertifikat vom Server zu exportieren gibt es drei Möglichkeiten. Erstens, direkt über den Zertifikatmanager des Servers.

Zweitens über den Zertifizierungsstellen-Webregistrierungsdienst des Servers. (Über diesen lassen sich Zertifikate über einen Webbrowser exportieren oder Registrierungsanfragen einsenden und SSL-Zertifikate ausstellen.) Bei dem Zertifizierungsstellen-Webregistrierungsdienst handelt es sich um einen Rollendienst der Rolle „Zertifikatsdienste“.

Drittens, über den Webbrowser, in den Eigenschaften der SSL-Zertifikates. Diese Methode eignet sich für Clients, welche keinen Zugriff auf eine Zertifizierungsstelle haben. Die genaue Vorgehensweise ist im Anschluss beschrieben.

Export des SSL Zertifikates auf dem Server

Ich verwende den Manager. Dazu muss folgender Befehl einfach als Administrator ausgeführt werden: certmgr.msc Wenn die Ausführung als Administrator bestätigt wird, erhält man folgendes Programmfenster.

 

Zertifikat Management Konsole certmgr.msc

Bitte beachtet auch die gelbe Markierung. Sie verdeutlicht, dass wir in unserem Manager Zertifikate sehen, welcher der aktuelle Benutzer besitzt. Bei Zertifikaten wird nach Benutzer und Computer unterschieden. Diese Info wirst du am Ende dieses Dokumentes genauer verstehen.

Navigiere nun zu dem Punkt „Vertrauenswürdige Stammzertifizierungsstellen“ und öffne den Ordner Zertifikate und wähle das Stammzertifizierungszertifikat der eigenen Zertifizierungsstelle. Weil mein Server den Namen SRV-home.home.local (FQDN) hat, heißt meine Zertifizierungsstelle SRV-HOME-CA und das Zertifikat dazu folglich home-SRV-HOME-CA, welche sich aus dem NetBios Name von hinten nach vorne (home-SRV), dem Domainnamen (HOME) und der Zertifizierungsebene (CA = Certificate Authority) zusammensetzt.

 

Zertifikat Management Konsole certmgr.msc

 

Klick auf das Zertifikat und wähle im Kontextmenü (rechte Maustaste) Alle Aufgaben und dann exportieren.

Zertifikat Management Konsole certmgr.msc

 

Das gewünschte Exportformat bestätigen.

Zertifikat Management Konsole certmgr.msc

 

Zum Schluss den Speicherpfad der Exportdatei festlegen und die Serverseitigen arbeiten sind damit erledigt.

 

Export des Zertifikats über den Webbrowser

Das Stammzertifikat kann nur über den Webbrowser exportiert werden wenn der Zertifizierungsstelle vertraut wird. Das nenne ich mal Wiederspruch. Mit anderen Worten: Auch hier musst du den Export über den Server vornehmen oder an einem Client, der Mitglied in der Domäne ist. Also öffne den Webbrowser auf dem Server oder auf einem Domänenmitglied und gebe die Adresse des Servers ein, der die Outlook Anywhere Seite bereit stellt. Beachte: Du musst den FQDN (Full Qualified Domain Name)verwenden. (bei mir heißt er remote.home.local).

 

Zertifikat Management Konsole certmgr.msc

 

Klick dazu auf das Schloss der SSL geschützten Webseite und anschließend auf Zertifikat anzeigen.

Ein SSL Zertifikat wird an dieser Stelle dazu verwendet um die Identität des Remotecomputers zu verifizieren. Es ist daher nicht möglich, dieses Zertifikat für einen anderen Computernamen zu verwenden, der sich in derselben Domäne befindet. Der Name des Zertifikates ist hier explizit ausgestellt für den Computer namens remote.home.local. Würde ich mein Outlook-Web-Access über einen anderen Namen aufrufen (bsp.: https://srv-home.home.local/owa was ja möglich ist) würde die Webseite trotzdem als unsicher eingestuft werden, da der Name des Remotecomputer nicht mit dem Namen, welcher im Zertifikat hinterlegt ist übereinstimmt. Die Übereinstimmung ist sehr wichtig.

Um das Stammzertifikat exportieren zu können, navigiert man nun zu dem Reiter Zertifizierungspfad, markiert das Stammzertifikat und lässt es sich anzeigen.

Zertifikat Management Konsole certmgr.msc

 

Über den Reiter Details kann man den Inhalt des Zertifikates betrachten und in eine Datei exportieren. Die Prozedur ist die gleiche wie sie oben bereits erwähnt wurde.

 

SSL Zertifikat importieren

Bevor das Zertifikat am Client importiert wird, sollte überlegt werden, ob dieses Zertifikat für alle Benutzer zur Verfügung stehen soll oder nur einer Auswahl von Benutzern. Ich habe auf meinem Client drei Benutzerkonten eingerichtet. Eins davon verfügt über die Rechte des Administrators (lokal) die anderen zwei sind nur Standardbenutzer und in ihren Rechten sehr beschränkt. Meine zwei Benutzer besitzen außerdem ein Exchangekonto.

Für mein Szenario habe ich entschieden, dass allen Benutzern dieses Zertifikat zur Verfügung steht, weil beide Benutzer ein Exchange Emailkonto besitzen. Wenn das Zertifikat nur für den Benutzer importiert werden soll, der sich gerade aktiv auf dem System befindet, so muss einfach der Zertifikatsmanager für Benutzer als aktueller Benutzer ausgeführt werden (bitte beachten, AKTUELLER Benutzer, nicht als Administrator öffnen).

Wird der Zertifikatsmanager für Benutzer als Administrator ausgeführt, wird das Zertifikat auch nur für den Administrator installiert und Windows 8 Outlook.com Mail App funktioniert für den Benutzer trotzdem noch nicht.

Import für den aktuellen Benutzer

Um den Zertifikatsmanager für Benutzer zu öffnen können Sie auf dem Startboard einfach das Wort „Zert“ suchen. Im Suchergebnis der Einstellung App wählt man Benutzerzertifikate verwalten.

Es besteht ein Problem mit dem Sicherheitzertifikat dieser Webseite

 

Wenn sich dieses Programm öffnet erhält man die gleiche Ansicht wie auf dem Server. Die Konsolen sind identisch und die Prozedur ist die gleiche, nur dass das Zertifikat jetzt importiert werden muss. Man navigiert dazu auf Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate und initiiert den Import über das Kontextmenü (Rechte Maustaste, Alle Aufgaben -> Importieren).

 

Import für den Computer (für alle Benutzer)

Wie bereits erwähnt, lässt sich der Zertifikatsmanager über das Startboard suchen und öffnen. Da nun das Zertifikat welches importiert werden soll für alle Benutzer ausgeliefert wird, muss statt dem „Benutzerzertifikate verwalten“ nun Computerzertifikate verwalten als Administrator ausgeführt werden.

Achtung! Wenn die Suche auf dem Startboard verwendet wird um Programme zu finden, steht kein Kontextmenü zur Verfügung, welches die Ausführung als Administrator ermöglicht.

Entweder, man lässt sich im Startboard gleich alle Apps anzeigen und navigiert aufwendig zu dem Programm was als Administrator ausgeführt werden soll oder man sucht nach der ausführbaren Programmdatei. In diesem Fall, wäre es der Befehl certlm.msc.

SSL Zertifikatverwaltungskonsole crtmgr.msc

 

Wenn du bis hier hin aufmerksam gelesen hast, dann fällt dir spätestens jetzt auf, dass du jetzt zwei Zertifikatskonsolen kennengelernt hast. Denn wie ich es bereits angekündigt habe, wird zwischen einem Benutzerzertifikat und einem Computerzertifikat unterschieden.

certmgr.msc
Zertifikatverwaltungskonsole für den aktuellen Benutzer.
certlm.msc
Zertifikatverwaltungskonsole für den Computer. Diese Konsole muss als Administrator ausgeführt werden, wenn Änderungen vorgenommen werden sollen.

Auch hier sind die Konsolen im Aussehen und in der Menüführung iedentisch. Die Konsolen werden lediglich über ander Namen aufgerufen. Einfach auf den Container Vertrauenswürdige Zertifizierungsstellen navigieren und über das Kontextmenü (Rechte Maustaste) den Import des Zertifikats initiieren. (Alle Aufgaben -> Importieren). Nach dem Import sollte das Zertifikat auf dem Computer im Container Vertrauenswürdige Stammzertifizierungsstellen hinterlegt sein.

SSL Zertifikatverwaltungskonsole crtmgr.msc

 

Nach dieser einfachen Aufgabe kann man nun prüfen, ob das SSL Zertifikat des Remotecomputers (in meinem Fall RemoteWeb) nun vertrauenswürdig ist. Das Ergebnis sollte nun wie folgt aussehen, egal welcher Benutzer sich nun am PC anmeldet.

SSL Zertifikat vertrauen

 

Jetzt kann Microsoft Windows 8 Outlook.com Mail App für Microsoft Exchange Active Sync unter Verwendung des richtigen Computernamen verwendet werden. Bitte beachtet meinen Hinweis zum Thema SSL und den Computernamen.

Outlook Mail App Exchangekonfiguration

 

Konfiguration MS Outlook.com Mail App

  • Als Emailadresse ist die primäre SMTP Adresse der Domäne zu verwenden (in meinem beispiel user1.home.local)
  • Als Serveradresse muss die Adresse des Servers angegeben werden, auf dem IIS mit OWA ausgeführt wird. Das SSL Zertifikat muss für diesen Computer ausgestellt sein. In meinem Fall muss ich remote.home.local als Serveradresse verwenden, da für diesen Computer das Zertifikat auch ausgestellt wurde. SRV-Home.local ist in meinem Beispiel als Remoteadresse ungültig.
  • Die Angabe eines Domänenname ist nicht notwendig
  • Als Benutzername muss der UPN (User Prinipal Name) angegeben werden
  • Kennwort = Active Directory Kennwort des Benutzers

 

Hinweis zur Verwendung von Windows 8 Outlook.com Mail App mit Exchange

Wenn du Outlook.com Mail App verwenden möchtest um außerhalb deines Netzwerkes (über Internet) auf dein Exchange E-Mailkonto zuzugreifen, benötigst du ein SSL Zertifikat von einer Public Trusted CA (öffentlich Zertifizierungsstelle). Bei der Verwendung von selbstsignierten Zertifikaten müssen die Zertifikatssperrlisten öffentlich zugänglich gemacht werden. Ich rate aus Sicherheitsgründen dringend davon ab, den OCSPR (Online Certificate Status Protokoll Responder - Server 2008) oder die CRL (Certificate Revocation List - Server 2003) zu publizieren. Wenn du es trotzdem mit Selbstsignierten SSL Zertifikaten umsetzen möchtest, dann stell für den OCSPR oder CRL auf eine seperate Maschine zu Verfügung.

Tipp: Ich verwende Outlook.com Mail App außerhalb meines Netzwerkes über eine VPN-Verbindung und kann deshalb auch mit selbstsignierten Zertifikaten arbeiten ohne dass ich meine OCSPR publizieren muss.

 Bewerte den Beitrag
1 1 1 1 1 1 1 1 1 1 (12 Votes)

Kommentare

 
0 #6 Marcel 2014-07-09 10:18
zitiere tips for panic:
Can I simply just say what a relief to find a person that genuinely understands what they are discussing online.
You certainly realize how to bring an issue to light and
make it important. More people must check this out
and understand this side of the story. I was surprised
you aren't more popular since you definitely possess the gift.
www.cluesite.com



hallo tips 4 panic,

thanks for your comment. Wish i've a lot of more time to create more stuff for every user who needs more detailed help. I'will give my best. Thx
 
 
+1 #5 tips for panic 2014-07-06 22:17
Can I simply just say what a relief to find a person that genuinely understands what they are discussing online.
You certainly realize how to bring an issue to light and
make it important. More people must check this out
and understand this side of the story. I was surprised
you aren't more popular since you definitely possess the gift.
www.cluesite.com
 
 
0 #4 Marcel 2014-01-18 17:17
zitiere Gaby:
Das ist mal eine wirklich großartige Anleitung. Noch hab ich's nicht geschafft, das Zertifikat und der Servername sind noch nicht identisch..., dennoch schon mal RESPEKT und Dank!



Hallo Gaby, es tut mir extrem leid, dass ich dein Kommentar übersehen habe. Ist denn das Problem bei dir noch aktuell?
 
 
+1 #3 Gaby 2013-10-02 00:54
Das ist mal eine wirklich großartige Anleitung. Noch hab ich's nicht geschafft, das Zertifikat und der Servername sind noch nicht identisch..., dennoch schon mal RESPEKT und Dank!
 
 
0 #2 Marcel 2013-07-12 23:50
Hallo Death,

bitte entschuldige zunächst meine späte Reaktion auf deine Frage, aber ich war in den letzten Tagen etwas eingespannt.

Als VPN-Lösung habe ich OpenVpn auf einem Linux-Host (Debian) im Einsatz. OpenVPN gibt es auch für Windows.

Gruß, Marcel
 
 
+1 #1 deathzero 2013-06-25 06:42
Hallo,

danke für die Anleitung. Welche VPN-Lösung setzt du denn ein wenn ich mal Fragen darf?

Gruß, death
 

Das Kommentar wurde entfernt.

Copyright © 2017. All Rights Reserved.