Exchange 2016 SSL Administration

Download PDF

Valg af DNS-navne der skal inkluderes i et Exchange SAN SSL

 

Exchange anvender flere DNS-navne, der skal beskyttes af et SSL-certifikat. Derfor anbefaler Microsoft at anvende et Subject Alternative Name (SAN) / Unified Communication (UC) kompatibelt SSL-certifikat. Disse certifikater kan beskytte flere adresser på et SSL-certifikat.

Exchange er designet til at bruge et enkelt SAN SSL-certifikat, indeholdende alle DNS-navne serveren anvender internt og eksternt. Selv om det er muligt at få en Exchange til at virke med et Wildcard eller standard enkeltnavnscertifikat, vil det være på bekostning af funktionalitet og kræve ekstra opsætning.

For at serveren fungerer optimalt, skal alle DNS-navne som peger på serveren og som anvendes til at kommunikere med den fra internettet og lokalt være i SSL-certifikatet. Derudover skal der tilføjes Autodiscover.domæne.dk, for hvert domæne som en bruger anvender i deres udgående afsender e-mail.

Dvs.:

  • De DNS-navne serveren tilgås på fra internettet. F.eks. mail.fairssl.dk
  • De DNS-navne serveren tilgås på fra lokalt netværk. F.eks. exch01.fairssl.dk eller mail.fairssl.dk.
  • Autodiscover.domæne.dk for hvert af de e-mail domæner der anvendes af brugerne som deres primære (udgående) e-mail adresse.

 

Autodiscover adressen tillader klienten at automatisk hente konfigurationen til Exchange og derved gøre opsætningen af klienter både internt og eksternt lettere. Der skal være en autodiscover adresse for hvert e-mail domæne som brugeren anvender som afsenderadresse, dvs. deres primære e-mail adresse.

 

Standard - 1 e-mail domæne

 

Dette er en typisk opsætning med et enkelt domæne til udgående post og et DNS navn der bruges både internt og eksternt til at nå serveren.

Følgende adresser tilføjes SSL-certifikatet:

  • Mail.fairssl.dk
  • Autodiscover.fairssl.dk

 

Fordi der kun anvendes adresser på ét offentligt domæne kan et domæne valideret SSL certifikat anvendes, f.eks. GlobalSign Domain SAN.

 

Udvidet - Flere e-mail domæner eller servernavne

 

For en virksomhed med flere udgående e-mail domæner, fx ..@fairssl.dkog ..@fairssl.net, skal der tilføjes et autodiscover DNS-navn per udgående domæne.

Det kunne også være en server der tilgås internt på exchange01.intern.fairssl.dk og eksternt på webmail.fairssl.dk.

Følgende adresser tilføjes SSL-certifikatet:

  • webmail.fairssl.dk
  • exchange01.intern.fairssl.dk
  • autodiscover.fairssl.dk
  • autodiscover.fairssl.net

 

Fordi der anvendes adresser på flere domæner (fairssl.dk og fairssl.net), skal SAN certifikatet understøtte dette. Det kunne være firmagodkendte certifikater som GlobalSign Organisation SAN, GeoTrust True BID, eller et domænegodkendt certifikat som Comodo PositiveSSL Multi-Domain.

 

Skift fra interne til internetgyldige servernavne

 

Når Exchange serveren installeres er standardopsætningen, at den anvender et internt servernavn for intern kommunikation. Det er dog ikke længere muligt at bruge interne servernavne i offentligt udstedte SSL-certifikater. Da Exchange ikke kan bruge flere certifikater på hver service, bliver vi derfor nødt til kun at anvende eksternt gyldige DNS-navne i certifikatet.

Eksempler på interne servernavne:

  • server01
  • exch01.fairssl.local
  • srv01.domain.lan
  • localhost
  • 192.168.100.10
  • 10.0.0.10

 

Det kræver at der er et eller flere DNS navne der kan tilgås både udefra og internt, som rammer Exchange serveren. Og at Exchange serveren opsættes til at være klar over disse navne.

 

Vi foreslår en af følgende to populære løsninger.

 

Split-DNS

1 DNS-navn f.eks. webmail.fairssl.dk giver på lokalt netværk en intern IP-adresse til Exchange serveren, imens den fra internettet giver den offentlige IP.

Hvis man ikke ønsker at oprette hele domænet som en split-DNS zone, kan vi anbefale at oprette selve servernavnet som en underzone og derved kun have split-DNS for det ene navn.

 

Se vejledning til opsætning af Split-DNS

Og konfigurer derefter serverens interne og eksterne URL-adresser til dette ene navn.

 

To DNS-navne

Her anvendes blot et DNS-navn til internt og ekstern adgang. Det er normal praksis for virksomheder der har lavet et underdomæne til deres offentlige, f.eks. intern.fairssl.dk.

Det kunne f.eks. være webmail.fairssl.dk som peger på den eksterne IP og exchangeint.fairssl.dk, som peger på en interne IP.

 

Herefter er det blot at konfigurere Exchanges interne og eksterne URL-adresser til disse navne.

 

 

Opsætning af Split-DNS

 

  1. Log in på Domain controlleren med en administrator konto

 

  1. Tryk windowskey + R og skriv følgende kommando for at åbne DNS manager:

 

dnsmgmt.msc

 

 

  1. Højreklik på Forward Lookup Zone og klik på New Zone.

 

 

  1. Klik på Next.

Vælg Primary zone og Store the zone in Active Directory hvis denne er tilgængelig.

Klik på Next.

 

 

  1. Vælg To all DNS servers running on domain controllers in this forest.

Klik på Next.

 

 

  1. Skriv det DNS-navn som den interne DNS skal pege på (f.eks.: mail.fairssl.dk).

Du kan også vælge at bruge domænet (f.eks.: fairssl.dk), men så skal der laves en host for hver eneste DNS-navn (se punkt 9).

Klik på Next.

 

 

  1. Vælg Allow only secure dynamic updates.

Klik på Next.

Klik på Finish.

 

 

  1. Højreklik på den nye forward zone og klik på New Host (A or AAAA).

 

 

  1. Efterlad Name blank.

Skriv den interne IP adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

Klik Add Host.

 

 

  1. Hvis du har valgt at lave en zone for hele domænet skal du følge nedenstående, husk at du skal lave en for alle de DNS-navne I bruger (f.eks.: www.domain.dk, vpn.domain.dk, login.domain.dk).

Skriv DNS-navnet uden domænet i name (f.eks.: mail)

Skriv den interne IP adresse til exchange serveren.

Hvis du har lavet en reverse lookup zone eller planlægger at lave en sæt flueben i Create associated pointer (PTR) record ellers efterlad den tom.

 

 

Opsætning af interne og eksterne Exchange service URL-adresser

 

  1. Log ind på Exchange 2016 serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

 

  1. Start Exchange Management Shell, højreklik på genvejen og vælg Run as Administrator.

 

 

  1. Skriv følgende kommando og tryk på [ENTER]:

 

Get-ExchangeServer | fl name

 

 

  1. Skriv følgende kommando og tryk på [ENTER], SERVERNAVN er navnet du fandt i punkt 3, INTERNURL er den interne adresse til mail serveren f.eks exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL er den eksterne adresse til mail serveren uden https:// f.eks mail.fairssl.dk. Husk at skrive ”” rundt om servernavn internurl og eksternurl:

 

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL

 

 

  1. Kopier eller skriv følgende kommandoer og tryk på [ENTER] for at skifte adresserne til de internet gyldige (for fuldt script med alle kommandoerne i en se punkt 6):

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

 

 

Get-ClientAccessService -Identity $CASserver | Set-ClientAccessService –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

 

 

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

 

 

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

 

 

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

 

 

Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp”

 

 

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

 

  1. Følgende er alle de ovenstående kommandoer samlet i én for en simpelt copy/paste. Hvis punkt 5 er fulgt er der ingen grund til at bruge dette:

 

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessService -Identity $CASserver | Set-ClientAccessService –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

 

Generering af CSR til certifikat bestilling

 

  1. Log ind på Exchange serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

  1. Tryk på windows tast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode

tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server der skal have skiftet certifikat i listen i midten

 

 

  1. Klik på certificates i øverste højre hjørne.

Klik på + ikonet i midten.

 

 

  1. Vælg Create a request for a certificate from a certificate authority.

Klik Next.

 

 

  1. Giv dit certifikat et navn så du kan huske hvad det skal bruges til, f.eks. DNS-navnet.

Klik Next.

 

 

  1. Sørg for at der ikke er markering i Request a wildcard.

Klik Next.

 

 

  1. Klik på Browse og vælg serveren.

Klik Next.

 

 

  1. Her har du mulighed for at ændre på hvilket DNS-navn forskellige services skal tilgår fra internt og eksternt.

Hvis der er nogen der hedder noget med .local eller lignende bør du få det ændret, følg eventuelt Skift fra interne til internetgyldige servernavne. Du kan sagtens vente til du er færdig med CSR file med at ændre dem.

Klik på Next.

 

 

  1. Fjern alle de DNS-navne du ikke skal bruge, og tilføj dem du skal.

Klik på Next.

 

 

  1. Udfyld firmainformationerne.
    • Organization name: Udfyldes præcis som firmanavn står i CVR.dk
    • Department Name: Kan efterlades blank.
    • City/Locatity: Det fulde bynavn, f.eks. København K
    • State/Province: Kommunenavnet f.eks. København
    • Country/Region: Landet firmaet ligger i.

Klik Next.

 

 

  1. Skriv UNC adressen til hvor du vil gemme CSR filen. Nedenstående eksempel gemmer på c:\www.fairssl.dk.csr på EX2016 serveren.

Klik Finish.

 

 

  1. Brug din favorit teksteditor til at åbne CSR filen, f.eks. notepad og kopier teksten ind i CSR feltet i bestillingen.

 

 

Import af mellemudsteder certifikat (Intermediate Certificate Authority)

 

Følgende beskriver hvordan mellemudsteder certifikater importeres på en Microsoft Windows baseret server og derved også en Exchange server. For at sikre at klienter kan godkende mellemudstedere i certifikatet, skal certifikatets mellemudstederes offentlige certifikat installeres på Exchange  serveren.

 

Bemærk at Windows nogle gange automatisk installerer certifikatet, ved installation af servercertifikatet. Det skader dog intet at importere det samme intermediate certifikat flere gange, der kommer blot en advarsel om at det allerede findes.

 

  1. Log ind på serveren med en konto der er medlem af gruppen ”Administrators” på den lokale server.

Kopier teksten med mellemudsteder certifikatet (Intermediate certificate), fra e-mailen med dit nye certifikat, til en simpel tekst editor (som Notepad). Gem filen på skrivebordet, med filnavnet mellemudsteder.cer.

 

  1. Tryk windows-key + r.

Skriv mmc.exe.

Tryk OK.

 

 

  1. Klik på File og derefter Add/Remove snap-in.

 

 

  1. Vælg Certificates og klik derefter på Add.

 

 

  1. Vælg Computer account og klik på Next>

 

 

  1. Sørg for at the står på Local computer.

Klik på Finish.

Klik på OK.

 

 

  1. Udvid Certificates (Local Computer) og Intermediate Certificate Authorities

Højreklik på Certificates, vælg All Tasks og klik på Import...

 

 

  1. Klik på Browse... og vælg den fil du gemte på skrivebordet.

Klik på Next

 

 

  1. Vælg Automatically select the certificate store based on the type of certificate

Klik på Next

Klik på Finish

 

 

Installation af certifikat fra CSR

 

Det er vigtigt at installere certifikatet på den server hvor CSR (Certificate Signing Request) blev oprettet, da det er dér hvor certifikatets private nøgle findes.

Den private nøgle blev oprettet som en del af processen med at lave CSR'en og det er nødvendigt at gennemføre denne installationsprocess for at knytte den private nøgle sammen med certifikatet.

 

  1. Gem det nye certifikat som en fil et sted hvor du kan hente det fra serveren via en UNC-sti.

     f.eks. "\\exserver\c$\admin\certnew.cer".

 

  1. Tryk på windows tast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode

tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server certifikatet skal installeres på i midten.

Klik på certificates i øverste højre hjørne.

 

 

  1. Klik på det friendly name du gav da du lavede din CSR, den vil have pending request i status.

Klik complete i højre side.

 

 

  1. Skriv UNC stien til hvor du gemte certifikatet.

Klik OK.

 

 

  1. Certifikatet installeres nu på Exchange serveren og status på certifikatet ændres fra Pending Request til Valid (gyldig) i oversigten over certifikater på serveren.

 

Import af certifikat backup fil (.PFX/PCKS12)

 

  1. Log ind på Exchange serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

  1. Tryk på windows tast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode

tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet skal importeres på.

Klik på certificates i øverste højre hjørne.

 

 

  1. Klik de tre prikker under serveren.

Klik Import Exchange Certificate.

 

 

  1. Skriv UNC stien til pfx filen.

Hvis filen er beskyttet med et password skriv det her. Har du brugt CSR-service har du fået passwordet på SMS.

 

 

  1. Tryk på + ikonet.

Vælg hvilken server det skal importeres til.

Klik Finish.

 

 

Aktiver certifikat for angivne services

 

  1. Log ind på Exchange serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

  1. Tryk på windows tast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode

tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet skal importeres på.

Klik på certificates i øverste højre hjørne.

 

 

  1. Markér det certifikat du vil aktivere services på.

Klik på ikonet.

 

 

  1. Klik på Services i venstre side.

Markér de services du vil aktivere på certifikatet.

Klik Save.

 

 

  1. Hvis du har valgt SMTP vil der nu komme en prompt der spørger om du vil overskrive default SMTP certifikat.

Klik Yes.

 

 

Eksporter certifikat til backup fil (.PFX/PKCS12)

 

  1. Log ind på Exchange serveren som har CAS rollen. Benyt en konto som er medlem af "Exchange Administrators" gruppen samt "Administrators" gruppen på den lokale server.

 

  1. Tryk på windows tast.

Skriv Exchange ad for at søge.

Start Exchange Administrative Center.

 

 

  1. Skriv dit administrator brugernavn og adgangskode

tryk på sign in.

 

 

  1. Klik på servers i venstre side.

Klik på den server Certifikatet skal importeres på.

Klik på certificates i øverste højre hjørne.

 

 

  1. Markér det certifikat du vil eksportere.

Klik på de tre prikker under serveren.

Klik Export Exchange certificate.

 

 

  1. Skriv UNC stien til hvor du vil gemme PFX filen.

Skriv et password til at beskytte filen med, dette skal bruges når det skal importeres et andet sted, så sørg for at du kan huske det.

Klik OK.