In this HowTo I describe how to install an internal certification authority and how to have a SAN certificate issued for Exchange. This HowTo is not intended for a productive environment. The implementation of a certification authority must be planned carefully.
In my test environment, I have installed 2 Windows Server 2008 R2 Enterprise, 1 DC + CA and an Exchange Server 2010.
Please note that not all functions of the certification authority are available if the CA is installed on Server 2008 R2 Standard. This HowTo therefore only applies to certification authorities running on Windows Server 2008 R2 Enterprise.
A corresponding HowTo for Server 2008 R2 Standard CAs is in progress.
Installation of the certification authority
Zuerst installieren wir die Zertifizierungsstelle auf einem geeigneten Server, für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein. Über den „Server Manager“ kann die Rolle „Active Directory-Zertifikatsdienste“ hinzugefügt werden
Das Hinzufügen der Rolle wird mit „Weiter“ bestätigt, dann werden die Rollendienste ausgewählt, uns reicht hier „Zertifizierungsstelle“
Bei dem Installationstyp wählen wir „Unternehmen“ aus, so wird die CA in das Active Directory integriert, das macht es beim Ausstellen der Zertifikate später einfacher
Als nächstes wird der Zertifizierungsstellentyp festgelegt. Da dies unsere eigene Root-CA werden soll (im Zertifikatspfad ist diese CA die höchste Instanz) wählen wir hier „Stammzertifizierungsstelle“
In darauf folgenden Dialog erstellen wir einen „neuen privaten Schlüssel“
This is where it gets a little interesting, I have described herethat older smartphones have problems processing a newer hash algorithm than SHA1, so I recommend choosing SHA1 at this point. However, the hash algorithm cannot be changed later. You should therefore be clear about what you choose at this point.
Update: SHA1 will no longer be supported as a signature hash algorithm from 01.01.16. It is better to choose SHA256 straight away.
In the next dialog, we give the CA a meaningful name. I advise against including the server name in the name of the CA, the name of the CA cannot be changed, but you may want to migrate the CA at some point.
Let's move on to the validity period: I personally think that a 5-year validity period for the root CA certificate is a little too short. Although it is easy to extend the certificate later, all clients that are not members of the domain do not automatically receive the updated certificate. Since I do not want to equip all smartphones with a new certificate in 5 years, I choose a higher validity here (I always take the remaining years until retirement + 5, since you never know how long you have to work J) So I choose 43 years L
I leave the database path as the default path. If you want, you can of course customize them
Nach dem wir alle Informationen angegeben haben wird die CA installiert. Nach dem die Installation durchgelaufen ist, öffnen wir die Konsole „Zertifizierungsstelle“ und passen die Zertifikatsvorlage an.
Customize the certificate template for Exchange SAN certificates
Über „Verwaltung“ findet sich nun der Punkt „Zertifizierungsstelle“, diese Konsole starten wir nun.
Mit einem Rechtsklick auf „Zertifikatvorlagen“ öffnen wir das Kontextmenü und klicken auf „Verwalten“. Damit öffnen wir die Konsole „Zertifikatsvorlagen“.
Wir suchen uns nun die Vorlage „Webserver“ und klicken sie wieder mit Rechts an und erstellen eine „Doppelte Vorlage“. Als Eigenschaft können wir in unserem Fall „Windows Server 2008 Enterprise“ wählen.
Jetzt öffnen sich die Eigenschaften der Zertifikatsvorlage, hier müssen wir ein paar Anpassungen vornehmen. Auf dem Reiter „Allgemein“ legen wir zunächst den Vorlagenanzeigennamen und die Gültigkeit fest. Als Name gebe ich „Exchange Server Zertifikat“ an und als Gültigkeit 5 Jahre. Zusätzlich setze ich den Haken bei „Zertifikat im Active Directory veröffentlichen“, damit ist gewährleistet das Exchange sein Zertifikat selbstständig erneuern kann, wenn es abläuft.
Auf dem Reiter „Anforderungsverarbeitung“ setzen wir den Haken bei “ Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen“ da wir ein SAN-Zertifikat erstellen möchten.
Auf dem Reiter „Sicherheit“ geben wir zunächst uns selbst die vollen Berechtigungen auf der Vorlage, zusätzlich tragen wir das Computer Konto oder eine Gruppe welche die Computer Konten der Exchange Server enthält mit ein
Die Eigenschaften der Vorlage können wir jetzt mit OK schließen, in der „Zertifikatsvorlagenkonsole“ sollten wir nun unsere neue Vorlage mit dem Namen „Exchange Server Zertifikat“ angezeigt bekommen.
Die „Zertifikatsvorlagenkonsole“ können wir nun ebenfalls schließen. Jetzt sollten wir wieder die Konsole „Zertifizierungsstelle“ sehen. Unter dem Menüpunkt „Aktion“ wählen wir jetzt „Neu“ und dann „Auszustellende Zertifikatsvorlage“ aus
In der Liste „Zertifikatsvorlagen aktivieren“ wählen wir nun unsere eben erstellte Vorlage „Exchange Server Zertifikat“ aus und bestätigen mit „OK“
In der Konsole „Zertifiezierungsstelle“ wird nun die neue Vorlage angezeigt
The console can now be closed. We continue on the Exchange server. There we now apply for a new certificate.
Applying for a SAN certificate for Exchange
Auf dem Exchange Server müssen wir zunächst eine MMC mit dem Snap-In „Zertifikate“ öffnen um ein neues Zertifikat zu beantragen. Also auf „Start“ und dann auf „Ausführen“ klicken. In dem neuen Fenster dann „mmc.exe“ eintippen und bestätigen
Es öffnet sich eine leere Konsole. Unter „Datei“ -> „Snap-In hinzufügen/entfernen“ wählen wir aus der Liste der verfügbaren Snap-Ins „Zertifikate“ aus und fügen es zu „Ausgewählte Snap-Ins“ hinzu. Es öffnet sich ein Dialog der abfragt welche Zertifikate wir verwalten möchten, wir wählen „Computerkonto“ und danach „Lokalen Computer“ aus.
Nach einen Klick auf „fertigstellen“ und anschließend auf „OK“ sollte das Snap-In in der Konsole zu sehen sein. Nun navigieren wir zu dem Eintrag „Zertifikate“, dort sollte schon das selbstsignierte Zertifikat, welches Exchange automatisch bei der Installation anlegt, zu sehen sein.
Nun starten wir den Assistenten zum Anfordern eines neuen Zertifikats unter „Aktion“ –> „Alle Aufgaben“ -> „Neues Zertifikat anfordern…“
Den Dialog bestätigen wir mit „Weiter“
Auch der nächste Dialog wird mit „Weiter“ bestätigt
Im darauffolgenden Dialog wählen wir unsere Zertifikatsvorlage „Exchange Server Zertifikat“ aus und klicken auf den auf den blauen Link darunter
Now we can configure all the properties of the future certificate. I will briefly summarize the most important values and names for the certificate:
Applicant name:
- Organization (O) = name of the company
- Common name (CN) = The name of the certificate
- Country (C) = The country as an abbreviation
Alternative names:
-
DNS = All names that users can use to access Exchange
access
Beim Typ „DNS“ werden alle Namen eingetragen unter die Exchange oder Dienste von Exchange erreichbar sind. Wenn Benutzer mittels OWA oder Outlook Anywhere über das Internet auf Exchange zugreifen muss auch der externe Name auf dem Zertifikat enthalten sein. Ich gebe also „owa.frankysweb.de“ an. Intern heißt der Server „FWEX01.frankysweb.local“, zu diesem Namen stellt Outlook eine Verbindung her. Des Weiteren lautet meine Autodiscover Konfiguration auf den Alias „autodiscover.frankysweb.local“ im internen Netz und „autodiscover.frankysweb.de“ aus dem Internet. Ruft ein Benutzer im internen Netzwerk OWA auf, kann er das auch über den ShortName „FWEX01“ machen, daher gehört auch er mit auf der Zertifikat. Kurz um, jeder Hostname der zum Zugriff auf Exchange dient gehört hier auf das Zertifikat.
Auf dem Reiter Allgemein können wir noch einen „Anzeigenamen“ und eine „Beschreibung“ angeben, das ist aber nicht Pflicht.
Wenn alle Angaben gemacht wurden, bestätigen wir das Fenster der „Zertifikateigenschaften“ mit OK, der Hinweis unter dem Zertifikat sollte nun verschwunden sein. Jetzt müssen wir nur noch auf „Registrieren“ klicken nun unser Zertifikat erhalten
Nach dem Klick auf „Fertigstellen“ sehen wir unser neues Zertifikat in der MMC
Last but not least, we now have to teach Exchange to use the new certificate.
Bind Exchange services to the new certificate
Das Zuweisen der Dienste für das neue Zertifikat funktioniert über die Exchange Management Shell, sowie über die Exchange Konsole. Zunächst der Weg über die Konsole. Wir navigieren zu dem Punkt „Serverkonfiguration“, dort wählen wir das neue Zertifikat aus und klicken im Aktionsfeld auf „Dem Zertifikat Dienste zuordnen…“ an.
Im darauffolgenden Dialog geben wir die Exchange Server an, die das Zertifikat benutzen sollen. In meinem Fall ist das nur der Server „FWEX01“. Danach wird auf „Weiter“ geklickt
Danach werden die Dienste ausgewählt für die das Zertifikat benutzt werden soll. Ich wähle alle Dienste bis auf „Unified Messaging“ aus (UM ist nicht installiert) und klicke auf „Weiter“
Als letztes noch auf „Zuweisen“ klicken und die Warnung mit „Ja“ bestätigen, damit das Zertifikat zugeordnet wird.
That was all.
Last but not least, the way via the Exchange Management Shell:
To be able to assign services to the certificate, we must first find out the fingerprint (thumbprint). The fingerprint can be found via the certificate
or via the Exchange Management Shell
get-ExchangeCertificate
Wir sehen hier das in der Spalte „Subject“ die Werte stehen, die wir auf dem Zertifikatsantrag angegeben haben, auf dem selbstsignierten Standard Zertifikat hingegen steht nur der Allgemeine Name (CN), in diesem Fall ist das Zertifikat mit dem Fingerabdruck 799A995CC25DB1A6A71E364E7D727561A3A3909A also das richtige.
The following command is sufficient to assign the Exchange services to the certificate
Enable-ExchangeCertificate -Thumbprint 799A995CC25DB1A6A71E364E7D727561A3A3909A -Services IIS,SMTP,POP,IMAP
