natali_mis - stock.adobe.com

Outlook on the web: Zertifikatsbasierte Authentifizierung

Mit Exchange 2016/2019 lassen sich Dienste wie ActiveSync und OWA auch mit zertifikatsbasierter Authentifizierung nutzen. Wir zeigen, wie man das einrichtet und einsetzt.

Bei der zertifikatsbasierten Authentifizierung müssen sich die Anwender nicht mit Benutzername und Kennwort an Exchange anmelden, um Outlook Web App oder Exchange ActiveSync zu nutzen. Bei dieser Art der Authentifizierung wird das Zertifikat genutzt, das Benutzern und ihren Geräten zugeordnet sind.

Diese Art der Authentifizierung ist ein bequemer Weg, um Anwendern Zugriff zu gestatten, ohne sich auf andere Art und Weise anmelden zu müssen. Natürlich müssen in diesem Fall die Zertifikate besonders geschützt werden.

Die Möglichkeiten zu dieser Authentifizierung bestehen in Windows Server 2012/2012 R2 und Windows Server 2016/2019 sowie Exchange 2016/2019.

Active-Directory-Zertifikatsdienste nutzen

Damit die Zertifizierung über Zertifikate genutzt werden kann, ist es sinnvoll, auf die Active-Directory-Zertifikatsdienste zu setzen. Diese ermöglichen es in Active-Directory-Umgebungen relativ einfach, Zertifikate den Benutzern zur Verfügung zu stellen, so dass jeder Benutzer sein eigenes Zertifikat nutzen kann.

In Verbindung mit Exchange ist das ideal. Wichtig ist in diesem Zusammenhang, dass der UPN-Anmeldename (User Principal Name) der Anwender mit dem Namen des Zertifikats übereinstimmt, zum Beispiel: thomas.joos@joos.de. Die UPN-Suffixe, die bei den Benutzerkonten zur Verfügung stehen, werden im Snap-In Active Directory-Domänen und Vertrauensstellungen in den Eigenschaften des obersten Eintrags Active Directory-Domänen und Vertrauensstellungen gepflegt.

Abbildung 1: Der UPN der Anmeldekonten muss zur E-Mail-Domäne, der Anmeldung und den Zertifikaten passen, um Warnmeldungen zu unterbinden.
Abbildung 1: Der UPN der Anmeldekonten muss zur E-Mail-Domäne, der Anmeldung und den Zertifikaten passen, um Warnmeldungen zu unterbinden.

Die Zertifikate erhalten ebenfalls den Namen der Domäne, in diesem Fall joos.de. Wichtig ist, dass die beteiligten Server und Arbeitsstationen der Zertifizierungsstelle und deren Zertifikate vertrauen. Das ist beim Einsatz der Active-Directory-Zertifikatsdienste automatisch der Fall, wenn die Mitgliedscomputer Bestandteil des Active Directory sind. Wenn sie das nicht sind, muss das Zertifizierungsstellen-Zertifikat der Zertifizierungsstelle auf den Computern installiert werden. Das lässt sich am einfachsten mit certlm.msc verwalten.

Server für zertifikatbasierte Authentifizierung konfigurieren

Für die Verwendung der zertifikatbasierten Authentifizierung muss der Webserver auf den Exchange-Servern für die Verwendung von Zertifikaten vorbereiten werden. Das erfolgt im Bereich Authentifizierung hier muss die Option Active Directory-Clientzertifikatauthentifizierung aktiviert sein.

Abbildung 2: Die entsprechende Authentifizierung muss auf dem Exchange-Server aktiviert werden.
Abbildung 2: Die entsprechende Authentifizierung muss auf dem Exchange-Server aktiviert werden.

Im Server-Manager muss außerdem auf den Servern mit Verwalten/Rollen und Features hinzufügen bei Webserver/Sicherheit der Rollendienst Authentifizierung über Clientzertifikatzuordnung aktiviert sein. Danach wird der Server neu gestartet.

Im Exchange Admin Center findet die anschließende Konfiguration bei Server und dann bei Virtuelle Verzeichnisse statt. Der Ordner Microsoft-Server-ActiveSync des Servers, steuert den Zertifikatezugriff für Exchange ActiveSync, zum Beispiel für Smartphones und Tablets.

Im Bereich Authentifizierung gibt es dazu die Option Clientzertifikate anfordern. Im IIS-Manager muss noch der virtuelle Ordner Microsoft-Server-ActiveSync bearbeitet werden. Im Konfigurations-Editor im unteren Bereich wird zu system.webServer/security/authentication/clientCertificateMappingAuthentication navigiert. Der Wert muss auf „True“ beziehungsweise „Wahr“ gesetzt werden. 

Abbildung 3: Die entsprechende Authentifizierung muss auf dem Exchange-Server aktiviert werden.
Abbildung 3: Die entsprechende Authentifizierung muss auf dem Exchange-Server aktiviert werden.

OWA mit Zertifikatauthentifizierung nutzen

Damit die Authentifizierung funktioniert, müssen die Anwender über ein Zertifikat verfügen. Im IIS-Manager muss für die einzelnen Websites auf dem Exchange-Server noch die SSL-Verbindung aktiv und Zertifikate hinterlegt sein. Auch im Exchange Admin Center muss das OWA-Zertifikat korrekt angezeigt werden, das auf den Servern genutzt wird.

Die formularbasierte Authentifizierung in Outlook Web App kann zusammen mit der zertifikatbasierten Authentifizierung genutzt werden. Für die OWA-Webseite in IIS (Internet Information Server) und im Exchange Admin Center muss SSL aktiviert und die formularbasierte Authentifizierung deaktiviert sein. Außerdem muss die integrierte Authentifizierung für OWA aktiviert werden.

Im IIS-Manager muss bei Default Website\OWA doppelt auf SSL-Einstellungen geklickt werden. Hier ist die Aktivierung von SSL erforderlich, genauso wie bei Clientzertifikate. Für das OWA-Web im Bereich Exchange Back End muss ebenfalls entsprechend vorgegangen werden. Danach wird das Tool appcmd.exe verwendet:

Appcmd unlock config /section:clientCertificateMappingAuthentication

Appcmd set config "Default Web Site/OWA" -section:clientCertificateMappingAuthentication /enabled:true

Danach wird die virtuelle OWA-Seite über den folgenden Befehl angepasst:

Set-OwaVirtualDirectory -Identity "<Servername>\OWA (Default Web Site)" -WindowsAuthentication:$false -BasicAuthentication:$false -FormsAuthentication:$False

Mit dem Befehl Iisreset /noforce wird der IIS neu gestartet. Anwender können über die Webseite der Zertifizierungsstelle Benutzerzertifikate anfordern, oder die Zertifikate werden mit Gruppenrichtlinien zugewiesen. Melden sich die Anwender an OWA an, können sie das Zertifikat entsprechend auswählen.

Nächste Schritte

So richtet man Active-Directory-Zertifikatsdienste ein

Den E-Mail-Fluss in Exchange Online absichern

Gratis-eBook: Die Migration zu Exchange planen

Erfahren Sie mehr über Collaboration-Software

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close