Exchange 2010 SSL Certificaten

Exchange 2007 & 2010 steunen zwaar op web services en om deze diensten te beveiligingen wordt er gebruikt gemaakt van een SSL Certificaat.  Exchange 2007  & 2010 genereren zelf ook een eigen certificaat.

Om naar buiten geen waarschuwing te krijgen dat het SSL certificaat niet vertrouwd wordt er normaal gesproken gewerkt met commerciële vertrouwd SSL certificaat.

Voor de Exchange 2007 & Exchange 2010 worden de volgende volgende URL’s gebruikt:

webmail.wardvissers.nl (MX records,OWA,IMAP/POP3/SMTP en Exchange ActiveSync – plus het is the reverse DNS record voor je statische IP adres)
autodiscover.wardvissers.nl(Voor Autodiscovery)
legacy.wardvissers.nl (Mocht je van Exchange 2003 vanaf komen)
e2k10.wardvissers.local (De Exchange Server interne naam)
e2k10 (De Exchange server NETBIOS naam).

“webmail.wardvissers.nl” is de eerste naam die verschijnt zodra een gebruiker op dit certificaat klikt. En zorgt er voor dat alles extern connect naar de server zonder support voor SAN/UC certificaten.

(SAN is Subject Alternative Name, UC is Unified Communications –Zijn het zelfde).

Het handige is dat dat je een SAN certificaat aanvraag. Met de eerder genoemde url’s.

Stel je hebt maar een certificaat genaamd webmail.wardvissers.nl dan kun je toch alles gebruiken maar daar is een truk voor nodig.

Vereisten:
– Outlook 2007 SP1
– SRV Record ondersteuning bij uw Externe DNS host. Mocht je dat niet hebben dan kun je twee
dingen doen:
1. Andere Domain aanbieder die wel SRV records ondersteund.
2. San Certificaat.
– Commerciële SSL-certificaat
– Split DNS Setup bijvoorbeeld (.local intern & .nl Extern)

DNS configuratie van Autodiscover

1. Verwijder alle host A records die verwijzen naar autodiscover.domain.local

2. Maak een nieuw Service Location (SRV Record aan). Vul de gegevens in zoals afgebeeld op de plaatjes.

3. Webmail.wardvissers.nl moet verwijzen naar de CAS Exchange 2010 server.

image image
image

Exchange URL aanpassingen door voeren:

1. Get-ExchangeCertificate (Lijst met alle Exchange Certificaten)

2. Enable-exchangecertificate -services IMAP, POP, IIS, SMTP -Thumbprint 02B3E404EF76A0A839365C7489B59B1D1278EDCD (Certificaat Nummer)

3. Zet de volgende URL’s goed:
Set-ClientAccessServer -Identity e2k10 -AutoDiscoverServiceInternalUri https://webmail.wardvissers.nl/Autodiscover/Autodiscover.xml

Set-WebServicesVirtualDirectory -Identity “e2k10\EWS (Default Web Site)” -InternalUrl https://webmail.wardvissers.nl/ews/exchange.asmx

Set-OABVirtualDirectory -Identity “e2k10\oab (Default Web Site)” -InternalUrl https://webmail.wardvissers.nl/oab

Enable-OutlookAnywhere -Server e2k10 -ExternalHostname “webmail.wardvissers.nl” -ClientAuthenticationMethod “Basic”-SSLOffloading:$False

Set-ActiveSyncVirtualDirectory -Identity “e2k10\Microsoft-Server-ActiveSync (Default Web Site)” -ExternalURL https://webmail.wardvissers.nl/Microsoft-Server-Activesync

Set-ECPVirtualDirectory –Identity e2k10\ECP (default web site) -ExternalURL https://webmail.wardvissers.nl/ECP

4. Nu werkt verwijst intern en extern naar het zelfde adres.

5. Er zijn nog wel twee dingen waar je op moet letten:
– Het kan zijn dat je een voor IE een url moeten toevoegend dat lokaal blijft resolven als je via
een proxy server naar buiten toe gaat.
– Op elke CAS/HUB server moet Exchange URL’s toegepast worden naar het NLB CAS Load
Balacing

Nieuwe versie van Exchange Remote Connectivity Analyzer is vrijgegeven

Exchange Management team heeft een nieuwe versie van de Exchange Remote Connectivity Analyzer online gezet. Voor degenen onder u niet bekend met deze site, het is een web-based tool die helpt u bij het oplossen van verbindingsproblemen. De tool simuleert verschillende client logon en mail flow scenario’s. Wanneer een test mislukt, bevatten de fouten veel tips om het probleem te verhelpen.

Nieuw / bijgewerkte functies

  • Updated user interface
  • Nieuwe CAPTCHA uitvoering.
  • Beta Verwijderd
  • Aanvullende tests
    • Exchange Web Services – Hiermee kunt u de verbinding testen voor Exchange Web Services-client te voeren, zoals Entourage. Ontwikkelaars kunnen ook gebruik maken van de Service Account Verification test om het mail account te controleren of alle functies zijn geconfigureerd en goed werken voor toegang vanaf een andere account of ExchangeImpersonation.
    • Outbound SMTP – Voert Reverse DNS testen, DNS-RBL controles en SenderID validering tegen een bepaald "Outbound" IP-adres
  • De Outlook Anywhere test bijgewerkt zodat deze werkt met Exchange 2010
  • Een link in de voettekst van de Remote Connectivity Analyzer TechNet forum toegevoegd.
  • Toegevoegd een wachtwoord bevestiging tekst vak om het juiste wachtwoord te waarborgen  voordat u een test.

Bekende problemen

  • Bij de Exchange ActiveSync test kun je aan zetten "trusts negeren voor SSL". Als u deze optie gebruikt vertelt u de test om niet mislukken als u een certificaat gebruikt, dat niet in de lijst van Trusted Root Certificaten … voorkomt. bijvoorbeeld een eigen CA.

Link naar tool: https://www.TestExchangeConnectivity.com

Klein leuk videotje dat gemaakt is door een van de makers:

Creating a Self-Signed SSL Certificate met MakeCert.exe

Waar vind je certificaten op je PC

Ik begin even met de basis Als u toepassingen gaat ontwikkelen die certificaten vereisen, zult u moeten weten waar de certificaten worden opgeslagen, evenals hoe te om de beheersinterface te navigeren. Er is een MMC (Microsoft Management Console) op elke pc aanwezig. Vanuit deze management console kunt u certificaten beheren. Certificaten kunnen opgeslagen worden worden onder Gebruikers Account of op de lokale Machine Opslag.

Voer de volgende stappen uit om Certificaten te laden uit de lokale computer account. Certificaten Management Console Openen.

1. Start à Uitvoeren

2. MMC

3. Bestand à Module Toevoegen / Verwijderen

4. Toevoegen

5. Certificaten

6. Computeraccount

7. De lokale PC waar deze wordt op uitgevoerd. à Voltooien

8. Sluiten à Ok
clip_image002

Je kunt de certificaten management console opslaan. Dit doe je op de volgende manier.
Bestand à Opslaan Als à Noem het certificaten.msc.

Sla het bestand bijvoorbeeld op je Desktop.

Als je Certificaten uit klikt (Lokale Gebruiker, Lokale Computer). Dan zie je certificaten opslagen

Personal. Here you store certificates for which you have the associated private key.

Trusted Root Certification Authorities. This store lists the Third-Party Root Certification Authorities (Thawte, Verisign, etc.), Microsoft root certificates, and your own root certificates for self-signed certificates.

Trusted People. Here you place your trusted certificates (you must also trust the entire chain of certificates).

Hoe kan ik mijn eigen test ssl certificaten aan maken voor websites of voor overige web diensten om het te beveiliging.

Dit is de meest gevraagde vraag die ik heb gehoord. Het is niet altijd gemakkelijk om een beknopte lijst van stappen te vinden om voor het creëren van certificaten te volgen. Er zijn drie populaire benaderingen van het produceren van certificaten voor testende doeleinden:

1.     Vraag een testcertificaat bij een certificaatgezag (CA), zoals Verisign. Deze zijn meestal 90 dagen geldig.

2.     Verstrek CA. uw eigen certificaten van uw Server 2003 Certificaat Server.
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://www.petri.co.il/obtain_digital_certificate_from_online_ca.htm

3.     Produceer certificaten gebruikend makecert.exe.
4. Maak een Self-Signed Certificate gebruik makend van de SSL Diagnostics Tool

Het makkelijkste is makecert.exe te gebruiken. Dit hulpmiddel wordt geïnstalleerd tijdens de installatie van .NET Framework SDK (2.0 en 3.0 beide bevat makecert.exe).

MSDN verteld hoe u certificaat kunt maken (zie http://msdn2.microsoft.com/en-us/library/bfsktky3.aspx).


Het creëren van een SSL Certificaat

Om een Self-Signed SSL Certificate te creëren kunt u het volgende commando makecert.exe gebruiken.

makecert -r -pe -n "CN=www.wardvissers.nl" -b 01/01/2000 -e 01/12/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 c:localhost.cer

The subject name “localhost” makes it possible to browse without errors to http://localhost or any path relative to it. The subject name of the SSL certificate must match the domain or machine name used in the path to access the site. If you used your machine name to browse to Web sites on your machine, for example http://idesign/, you’d create the certificate with the subject name “CN=idesign”. Best use is enter de FQDN like: webmail.wardvissers.nl


makecert.exe opties

Hier onder staat een lijst met opties om een goede Self-Signed SSL Certificaten te maken.


Option

Description

-n certName

The subject name for the certificate. This is a distinguished name following the X.500 specification. It can be as simple as “CN=localhost” or include a richer description of the subject with “CN=localhost, O=IDesign, OU=Architecture, E=mlb@idesign.net”.

-pe

This allows the private key to be exported after generating it. It is a good idea to generate the private key pair and export the certificate to apply password protection, even if it is a test certificate.

-sr

Certificate store location where the key will be generated. It doesn’t matter which store you choose, because you will likely export the key pair, password protect it, and then import it to the correct store for use. Values can be currentuser or localmachine.

-ss

Which logical store will the certificate be installed in? Specify “My” here; this will place it in the Personal logical store.

-sp

The cryptography provider to use. A list of possible providers can be found here: http://windowssdk.msdn.microsoft.com/en-us/library/ms731160.aspx. The “Microsoft RSA SChannel Cryptographic Provider” is not subject to government restrictions for usage.

-sy

Cryptography provider type; an integer representative of the provider setting for the -sp option. Use the value 12 for the “Microsoft RSA SChannel Cryptographic Provider”.

-r

Indicates a self-signed certificate.

-sky certType

Can be signature or exchange. Use exchange for SSL and secure messaging.



Het uitvoeren van het Certificaat

De bedoeling is om .pfx (Certificaat + Wachtwoord) en een cer op te slaan voor later gebruik.

De .cer heb je al opgeslagen tijdens het aanmaken van het certificaat.
Via de Certificaten console kun je .pfx bestand exporteren.

Hoe je dat doet zie je hieronder:

RechterMuis op het Certificaat en dan Alle Taken à Exporteren

clip_image004
clip_image006

clip_image008

clip_image010

clip_image012

clip_image014

clip_image016
clip_image018
Voorbeeldje van de melding die je krijgt.

clip_image019