Exchange 2019: Umfangreiches Whitepaper zu Zertifikaten

Ursprünglich hatte ich den Plan aufgegeben noch ein Whitepaper zum Thema “Exchange und Zertifikate” zu schreiben. Jedoch scheint es noch sehr häufig Probleme bei der Konfiguration der Zertifikate in Verbindung mit Exchange Servern zu geben. Ein paar Artikel und Scripte gibt es hier ja bereits, jetzt folgt also doch noch ein umfangreiches Whitepaper zum Thema Zertifikate.

Das Whitepaper “Zertifikate für Exchange Server 2019” richtet sich an alle Admins, welche noch Probleme beim Konfigurieren der SSL Zertifikate für Exchange Server haben. Ich habe ebenfalls versucht, das Thema Verschlüsselung und Zertifikate möglichst einfach zu erklären. Über 70 Seiten zu diesem Thema sind dabei zusammen gekommen, hier daher mal ein kleiner Auszug aus dem Inhaltsverzeichnis:

  • Zertifikate: Einfacher Überblick über die Funktionsweise
    • Privater und Öffentlicher Schlüssel
  • Überblick: Wie funktioniert die HTTPS Verschlüsselung
    • Asymmetrische und symmetrische Verschlüsselung (einfach)
  • Zertifizierungsstellen
    • Was ist eine Zertifizierungsstelle
    • Öffentliche CA
    • Eigene CA / PKI
    • Vor- und Nachteile
  • Let’s Encrypt
    • Automatische Zertifikate für Exchange Server
  • Dateiformate für Zertifikate
    • Welche Formate gibt es
    • Konvertierung zwischen den Formaten
  • Überblick: Zertifikate und Exchange Server 2019
    • Wo verwendet Exchange Zertifikate
    • Abhängigkeiten
  • Exchange 2019 Beispielkonfigurationen für die eigene PKI / öffentliche CA und Let’s Encrypt
  • Besonderheiten wie SSL Offloading und Perfect Forward Secrency
  • Hilfreiche Tools und Links

Exchange 2019: Umfangreiches Whitepaper zu Zertifikaten

Das Whitepaper ist auch größtenteils für Exchange 2016 und Exchange 2013 gültig. Im Whitepaper wird nicht auf die UM-Rolle eingegangen, welche nicht mehr in Exchange 2019 enthalten ist. Sofern die UM Rolle nicht verwendet wird, lässt sich das Whitepaper auch für Exchange 2013 und Exchange 2016 einsetzen.

Fragen, Verbesserungen, Kritik und Anregungen zu diesem Whitepaper nehme ich gerne über das Kontaktformular entgegen. Auch eine kleine Spende ist willkommen:

Das Whitepaper liegt im PDF Format vor und kann hier kostenlos runtergeladen werden:

Bisher gibt es dieses Whitepaper nur als PDF, falls es Bedarf an einer eBook Reader kompatiblen Version gibt, bitte ich um entsprechende Hinweise.

9 Gedanken zu „Exchange 2019: Umfangreiches Whitepaper zu Zertifikaten“

  1. Ja, eine umfangreich Arbeit, welche die meisten Schritte, Konfigurationen und Einzelheiten erläutert. Zwei kleine Dinge sind mir aufgefallen: S. 68 „Es ist also nicht nötig, für jeden Exchange Server innerhalb der Organisation ein eigenes Zertifikat auszustellen oder zu kaufen.“ Wenn die SAN’s der einzelnen Exchange Server in den CERT’s enthalten sind, nicht. Und PFS heisst Perfect Forward Secrecy. Gruss Marcel

    Antworten
    • Hallo Marcel,
      die Namen der einzelnen Exchange Server müssen nicht als SAN auf dem Zertifikat vorhanden sein, solange sich die Exchange Server den gleichen Namensraum teilen. Hast du beispielsweise 10 Exchange Server innerhalb der Organisation, können alle Exchange Server das gleiche Zertifikat nutzen (Es kommt hier natürlich ein bisschen auf die Konfiguration an).
      Ist PFS irgendwo falsch geschrieben?
      Vielen Dank für deinen Hinweis, ich denke das Thema „Mehrere Exchange Server“ werde ich noch etwas genauer beschreiben.

      Beste Grüße,
      Frank

      Antworten
  2. Hallo,

    sehr schönes Dokument.
    Das Thema CRL (Certificate Revocation List) habe ich beim überfliegen nicht gesehen.
    Dies macht bezüglich Zugriff und Responstime gelegentlich Probleme, wenn die interne CA keine gültige CRL bereit stellt (Besonders bei offline CAs :-( ).

    Für Firefox können Zertifikate per GPO vom System importiert werden, so daß die interne CA im FF akzeptiert wird.

    Grüße

    Erik

    Antworten
  3. Hallo Frank
    Wie die erste Version sehr gut und ausführlich. Gratuliere! Eine revocation List habe ich in keinem CERT gefunden. Frage mich, ob ein Hinweis darauf etwas bringt. Der Hinweis „Wichtig: Der IIS Manager wird nicht verwendet um die Zertifikate für einen Exchange Server zu konfigurieren.“ ist für mich unverständlich. Als CERT bindings im Exchange kann man SMTP, POP und IMAP anklicken und der bindet dann das CERT auf die. IIS kann individuell konfiguriert werden. Für Let’s Encrypt-Leute wäre vielleicht eine Fussnote auf https://www.abetterinternet.org/documents/letsencryptCCS2019.pdf noch nützlich und bei den Test könnten M$-Leute einen Hinweis auf deren (Remote) Connectivity Analyzer brauchen, der ActiveSync, Inbound etc. testet. Bei Name Server mit IPv6 Adressen scheint er allerdings zu versagen. Das sind nur ziemlich unwichtige Vorschäge im Sinne einer konstruktiven Antwort zu einem Dokument, das viel Arbeit gegeben hat.
    Mit Gruss Marcel

    Antworten

Schreibe einen Kommentar