Exchange 2010 SSL Administration

Download PDF

Valg af DNS-navne til et Exchange SAN SSL-certifikat

 

Exchange anvender flere DNS-navne, der skal beskyttes af et SSL-certifikat. Derfor anbefaler Microsoft at anvende et Subject Alternative Name (SAN) / Unified Communication (UC) kompatibelt SSL-certifikat. Disse certifikater kan beskytte flere adresser på et SSL-certifikat.

Exchange er designet til at bruge et enkelt SAN SSL-certifikat, indeholdende alle DNS-navne serveren anvender internt og eksternt. Selv om det er muligt at få en Exchange til at virke med et Wildcard eller standard enkeltnavnscertifikat, vil det være på bekostning af funktionalitet og kræve ekstra opsætning.

For at serveren fungerer optimalt, skal alle DNS-navne som peger på serveren og som anvendes til at kommunikere med den fra internettet og lokalt være i SSL-certifikatet. Derudover skal der tilføjes Autodiscover.domæne.dk, for hvert domæne som en bruger anvender i deres udgående afsender e-mail.

Dvs.:

  • De DNS-navne serveren tilgås på fra internettet. F.eks. mail.fairssl.dk
  • De DNS-navne serveren tilgås på fra lokalt netværk. F.eks. exch01.fairssl.dk eller mail.fairssl.dk.
  • Autodiscover.domæne.dk for hvert af de e-mail domæner der anvendes af brugerne som deres primære (udgående) e-mail adresse.

 

Autodiscover adressen tillader klienten at automatisk hente konfigurationen til Exchange og derved gøre opsætningen af klienter både internt og eksternt lettere. Der skal være en autodiscover adresse for hvert e-mail domæne som brugeren anvender som afsenderadresse, dvs. deres primære e-mail adresse.

 

Standard - 1 e-mail domæne

 

Dette er en typisk opsætning med et enkelt domæne til udgående post og et DNS navn der bruges både internt og eksternt til at nå serveren.

Følgende adresser tilføjes SSL-certifikatet:

  • Mail.fairssl.dk
  • Autodiscover.fairssl.dk

 

Fordi der kun anvendes adresser på ét offentligt domæne kan et domæne valideret SSL certifikat anvendes, f.eks. GlobalSign Domain SAN.

 

Udvidet - Flere e-mail domæner eller servernavne

 

For en virksomhed med flere udgående e-mail domæner, fx ..@fairssl.dkog ..@fairssl.net, skal der tilføjes et autodiscover DNS-navn per udgående domæne.

Det kunne også være en server der tilgås internt på exchange01.intern.fairssl.dk og eksternt på webmail.fairssl.dk.

Følgende adresser tilføjes SSL-certifikatet:

  • webmail.fairssl.dk
  • exchange01.intern.fairssl.dk
  • autodiscover.fairssl.dk
  • autodiscover.fairssl.net

 

Fordi der anvendes adresser på flere domæner (fairssl.dk og fairssl.net), skal SAN certifikatet understøtte dette. Det kunne være firmagodkendte certifikater som GlobalSign Organisation SAN, GeoTrust True BID, eller et domænegodkendt certifikat som Comodo PositiveSSL Multi-Domain.

 

Skift fra interne til internetgyldige servernavne

 

Når Exchange serveren installeres er standardopsætningen, at den anvender et internt servernavn for intern kommunikation. Det er dog ikke længere muligt at bruge interne servernavne i offentligt udstedte SSL-certifikater. Da Exchange ikke kan bruge flere certifikater på hver service, bliver vi derfor nødt til kun at anvende eksternt gyldige DNS-navne i certifikatet.

Eksempler på interne servernavne:

  • server01
  • exch01.fairssl.local
  • srv01.domain.lan
  • localhost
  • 192.168.100.10
  • 10.0.0.10

 

Det kræver at der er et eller flere DNS navne der kan tilgås både udefra og internt, som rammer Exchange serveren. Og at Exchange serveren opsættes til at være klar over disse navne.

 

Vi foreslår en af følgende to populære løsninger.

 

Split-DNS

1 DNS-navn f.eks. webmail.fairssl.dk giver på lokalt netværk en intern IP-adresse til Exchange serveren, imens den fra internettet giver den offentlige IP.

Hvis man ikke ønsker at oprette hele domænet som en split-DNS zone, kan vi anbefale at oprette selve servernavnet som en underzone og derved kun have split-DNS for det ene navn.

 

Se vejledning til opsætning af Split-DNS

Og konfigurer derefter serverens interne og eksterne URL-adresser til dette ene navn.

 

To DNS-navne

Her anvendes blot et DNS-navn til internt og ekstern adgang. Det er normal praksis for virksomheder der har lavet et underdomæne til deres offentlige, f.eks. intern.fairssl.dk.

Det kunne f.eks. være webmail.fairssl.dk som peger på den eksterne IP og exchangeint.fairssl.dk, som peger på en interne IP.

 

Herefter er det blot at konfigurere Exchanges interne og eksterne URL-adresser til disse navne.

 

 

Opsætning af Split-DNS

 

  1. Log in på Domain controlleren med en administrator konto

 

  1. Tryk windowskey + R og skriv følgende kommando for at åbne DNS manager:

 

dnsmgmt.msc

 

 

  1. Højreklik på Forward Lookup Zone og klik på New Zone.

 

 

  1. Klik på Next.

Vælg Primary zone og Store the zone in Active Directory hvis denne er tilgængelig.

Klik på Next.

 

 

  1. Vælg To all DNS servers running on domain controllers in this forest.

Klik på Next.

 

 

  1. Skriv det DNS-navn som den interne DNS skal pege på (f.eks.: mail.fairssl.dk).

Du kan også vælge at bruge domænet (f.eks.: fairssl.dk), men så skal der laves en host for hver eneste DNS-navn (se punkt 9).

Klik på Next.

 

 

  1. Vælg Allow only secure dynamic updates.

Klik på Next.

Klik på Finish.

 

 

  1. Højreklik på den nye forward zone og klik på New Host (A or AAAA).

 

 

  1. Efterlad Name blank.

Skriv den interne IP adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

Klik Add Host.

 

 

  1. Hvis du har valgt at lave en zone for hele domænet skal du følge nedenstående, husk at du skal lave en for alle de DNS-navne I bruger (f.eks.: www.domain.dk, vpn.domain.dk, login.domain.dk).

Skriv DNS-navnet uden domænet i name (f.eks.: mail)

Skriv den interne IP-adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

 

 

Opsætning af interne og eksterne Exchange service URL-adresser

 

For at ændre alle Exchange services interne og eksterne DNS-navn, udfør nedenstående.

 

  1. Log ind på Exchange serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. Skriv følgende kommando og tryk på [ENTER]:

 

Get-ExchangeServer | fl name

 

 

  1. Skriv følgende kommando og tryk på [ENTER], SERVERNAVN er navnet du fandt i punkt 3, INTERNURL er den interne adresse til mail serveren f.eks exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL er den eksterne adresse til mail serveren uden https:// f.eks mail.fairssl.dk. Husk at skrive ”” rundt om servernavn internurl og eksternurl:

 

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL

 

 

  1. Kopier eller skriv følgende kommandoer og tryk på [ENTER] for at skifte adresserne til de internet gyldige (for fuldt script med alle kommandoerne i en se punkt 6):

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

 

 

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

 

 

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

 

 

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

 

 

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

 

 

Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp”

 

 

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

 

  1. Følgende er alle de ovenstående kommandoer samlet i én for en simpelt copy/paste. Hvis punkt 5 er fulgt er der ingen grund til at bruge dette:

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

Generering af CSR til certifikat bestilling

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. I Exchange Management Shell skriv følgende kommando efterfulgt af [ENTER], hvor følgende parametre angiver overstående informationer du har indsamlet:

 

    • SubjectName: Firmaoplysninger
    • KeySize: antallet af bits der anvendes til kryptering (anvend 2048)
    • PrivateKeyExportable: Hvorvidt certifikatet efterfølgende skal kunne eksporteres til backup

 

$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.fairssl.dk, O=FairSSL ApS, OU=IT Department, L=Oerum Djurs, S=Oerum Djurs, C=DK" -KeySize 2048 -PrivateKeyExportable $true

 

 

  1. Du kan nu vælge at kopiere teksten som genereres og indsætte den direkte i certifikatansøgningen, eller skrive følgende kommando for at gemme til en fil:
    • Path: Stien til hvor CSR filen skal gemmes

 

Set-Content -Path "c:\mail.fairssl.dk.csr" -value $CSR

 

 

  1. Åben certifikatansøgningen i notepad ved at skrive følgende kommando i Exchange Management Shell, hvor du bruger stien til filen som du lavede ovenfor, efterfulgt af [ENTER]:

 

notepad c:\mail.fairssl.dk.csr

 

  1. Marker og kopier hele teksten fra filen, inklusiv alle bindestreger før og efter.

Indæt teksten i CSR feltet i ansøgningen.

 

 

Import af mellemudsteder certifikat (Intermediate Certificate Authority)

 

Følgende beskriver hvordan mellemudsteder certifikater importeres på en Microsoft Windows baseret server og derved også en Exchange server. For at sikre at klienter kan godkende mellemudstedere i certifikatet, skal certifikatets mellemudstederes offentlige certifikat installeres på Exchange  serveren.

 

Bemærk at Windows nogle gange automatisk installerer certifikatet, ved installation af servercertifikatet. Det skader dog intet at importere det samme intermediate certifikat flere gange, der kommer blot en advarsel om at det allerede findes.

 

  1. Log ind på serveren med en konto der er medlem af gruppen ”Administrators” på den lokale server.

Kopier teksten med mellemudsteder certifikatet (Intermediate certificate), fra e-mailen med dit nye certifikat, til en simpel tekst editor (som Notepad). Gem filen på skrivebordet, med filnavnet mellemudsteder.cer.

 

  1. Tryk windows-key + r.

Skriv mmc.exe.

Tryk OK.

 

 

  1. Klik på File og derefter Add/Remove snap-in.

 

 

  1. Vælg Certificates og klik derefter på Add.

 

 

  1. Vælg Computer account og klik på Next>

 

 

  1. Sørg for at the står på Local computer.

Klik på Finish.

Klik på OK.

 

 

  1. Udvid Certificates (Local Computer) og Intermediate Certificate Authorities

Højreklik på Certificates, vælg All Tasks og klik på Import...

 

 

  1. Klik på Browse... og vælg den fil du gemte på skrivebordet.

Klik på Next

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate

Klik på Next

Klik på Finish

 

 

Import og aktivering af certifikat backup fil (.PFX/PKCS12)

 

Følgende beskriver hvordan en certifikat backup fil importeres og aktiveres i Exchange 2010. Ved bestilling af domæner med AutoCSR modtages certifikatet som en backup fil, beskyttet med en unik kode.

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. I Exchange Management Shell skriv følgende kommando efterfulgt af [ENTER]:
    • Path: Stien til certifikatfilens placering.
    • Services: De services som ønskes aktiveret.

 

Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path c:\mail.mydomain.dk.pfx –Encoding byte –ReadCount 0)) –password:(Get-Credential).password | Enable-ExchangeCertificate –Services “IIS,POP,IMAP,SMTP,None”

 

Tilføj UM til services hvis Unified Messaging er installeret.

Hvis der vælges services som ikke er installeret vil kommandoen fejle, så vælg kun de services hvor certifikatet skal anvendes.

 

Denne kommando vil først importere certifikatet og vil derefter aktivere de valgte services.

Der vil blive vist en password prompt hvis filen er beskyttet med et password (se punkt 3)

Til sidst bliver du spurgt om du vil skifte default certifikat til SMTP, skriv y og tryk [ENTER]

 

 

  1. Der vises nu en prompt for brugernavn og kode. Bemærk at brugernavnefeltet ikke anvendes, men der skal stå noget.

Skriv None i brugernavnet, og det password som filen er beskyttet med i password.

 

 

Import af certifikat backup fil (.PFX/PCKS12)

 

Følgende beskriver hvordan en certifikat backup fil importeres og aktiveres i Exchange 2010. Ved bestilling af domæner med AutoCSR modtages certifikatet som en backup fil, beskyttet med en unik kode.

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. I Exchange Management Shell skriv følgende kommando efterfulgt af [ENTER]:
    • Path: Stien til certifikatfilens placering.

 

Import-ExchangeCertificate –FileData ([Byte[]]$(Get-Content –Path c:\mail.mydomain.dk.pfx –Encoding byte –ReadCount 0)) –password:(Get-Credential).password

 

 

  1. Der vises nu en prompt for brugernavn og kode. Bemærk at brugernavnefeltet ikke anvendes, men der skal stå noget.

Skriv None i brugernavnet, og det password som filen er beskyttet med i password.

 

 

List alle certifikater installeret i Exchange serveren

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. Skriv følgende kommando efterfulgt af [ENTER]:

 

Get-ExchangeCertificate

 

Alle certifikater i Exchange vil nu blive listet med certifikatets Thumbprint, Services og Subject

 

 

Tip: skriv følgende kommando efterfulgt af [ENTER] for at se flere informationer om de enkelte certifikater:

 

Get-ExchangeCertificate | fl

 

 

Aktiver certifikat for angivne services

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. Skriv følgende kommando efterfulgt af [ENTER]:
    • Thumbprint: Certifikatets ID (kan findes med kommandoen Get-ExchangeCertificate).
    • Services: De services certifikatet ønskes aktiveret på.

 

Enable-ExchangeCertificate -Thumbprint -Services "IIS, POP, IMAP, SMTP, None"

 

Tilføj UM til services hvis Unified Messaging er installeret.

Hvis der vælges services som ikke er installeret vil kommandoen fejle, så vælg kun de services hvor certifikatet skal anvendes.

Herefter skal der bekræftes at SMTP servicens certifikat skal erstattes, tryk [ENTER] for at acceptere.

 

 

Eksporter certifikat til backup fil (.PFX/PKCS12)

 

Følgende beskriver hvordan man kan eksportere et installeret certifikat fra en Exchange 2010, den resulterende certifikat backup fil kan anvendes til at installere det samme certifikat på en anden server.

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. Skriv følgende kommando efterfulgt af [ENTER]:
    • Thumbprint: Certifikatets ID (kan findes med kommandoen Get-ExchangeCertificate)

 

$file = Export-ExchangeCertificate -Thumbprint -BinaryEncoded:$true -Password (Get-Credential).password

 

 

  1. Der vises nu en prompt for brugernavn og password

Skriv None i brugernavnefeltet (anvendes ikke, men der skal stå noget)

Skriv det password som filen skal beskyttes med i password feltet

Klik på OK

 

 

  1. Skriv følgende kommando efterfulgt af [ENTER] for at gemme filen:
    • Path: Stien til hvor filen skal gemmes.

 

Set-Content -Path "c:\mail.mydomain.dk.pfx" -Value $file.FileData -Encoding Byte