Exchange 2007 Outlook Anywhere ohne CA-SSL

Wo ich jetzt wieder in der Schule bin und immer Laptop mit hab hat mich Outlook Anywhere grad wieder brennend interessiert da es gegenüber Outlook per VPN doch Trafficsparsamer sein sollte und der VPN Tunnel noch weg fällt.

Nach einigen erfolglosen teste (kam immer bis Logindaten eingeben bei NTLM Authentifizierung ohne SSL die er aber nicht akzeptierte) hab ich noch ein Freund gefragt der paar Connections hat und vorhin eine Lösung mit SSL ohne Geld auszugeben bekommen:

Vorraussetzungen:

  • DynDNS oder ähnliches für die externe Erreichbarkeit
  • ActiveDirectory Umgebung (Spart einen Schritt, wird aber hier mit dokumentiert)
  • Funktionierende Exchange 2007 Umgebung
  • Server 2008 / 2003 mit Zertifizierungsstelle (ich gehe davon aus das diese bereits eingerichtet ist)

  • Neuanforderung eines SSL Zertifikates für die externe Adresse im IIS:

Im IIS7 Manager auf den Server und auf der Taskseite dann Serverzertifikate auswählen

Unbenannt01

„Domänenzertifikat erstellen…“ auswählen und die eigenen Daten eintragen, wichtig ist hierbei nur das der „Gemeinsame Name“ der externen Adresse entspricht

Unbenannt02

Zum Einreichen des Zertifikates den internen Zertifizierungsdienst auswählen (dieser muss mit der Rollendienst „Webdienst für die Zertifikatregistrierung“ installiert sein)

Unbenannt03

Namen für das Zertifikat eingeben und das war es schon, hinterher sollte es mit in der Liste auftauchen

Unbenannt04 Unbenannt05

  • Zuweisung des Zertifikates an die Webseite

Rechtsklick auf die betreffende Webseite und „Bindungen bearbeiten…“

Unbenannt06

Für den https Eintrag muss jetzt das ebend erstellte Zertifikat ausgewählt werden

Unbenannt07

Ein simpler Test ob alles so klappt ist wenn jetzt die OWA-Seite über den Externen Hostname aufgerufen wird, hier sollte jetzt kein Zertifikatfehler auftauchen und die Adresszeile in Internetexplorer weiß statt rot hinterlegt sein. Ist dies nicht der Fall aber stimmt der Hostname im Zertifikat mit dem Externen überein bitte weiter unten unter „Zertifikatfehler?“ nachsehen.

  • Outlook Anywhere aktivieren

Im Exchange Manager – Serverkonfiguration – Clientzugriff den entsprechenden Server auswählen, rechts „Outlook Anywhere aktivieren…“ auswählen und den gleichen Externen Hostname eintragen den auch das Zertifikat enthält und sicherstellen das die Authentifizierung auf „Standardauthentifizierung“ gesetzt ist

Unbenannt08

  • Outlook konfigurieren

In Outlook – Kontoeinstellungen – E-Mail die Eigenschaftes des Exchangepostfaches aufrufen, dort unter „Weitere Einstellungen…“ – Verbindung die Verbindung über http aktivieren und die „Exchange-Proxyeinstellungen…“ bearbeiten, auch hier wird wieder der Externe Hostname eingetragen und sichergestellt das die Authentifizierung auf „Standardauthentifizierung“ steht

Unbenannt09

  • Fertig

Jetzt sollte bereits alles funktionieren, einem Test über eine Domain-Externe Verbindung steht nichts mehr im Weg. Wenn in die Outlookverknüpfung der Parameter „/rpcdiag“ mit angehängt wird erscheint noch ein Fenster mit der Verbindungsübersicht, hier lässt sich leicht überprüfen on Outlook über HTTPS geht oder keine Verbindung bekommt.

Einen kleinen Nachteil hat die ganze Sache jedoch, da wir das Zertifikat im IIS ausgetauscht haben wird Outlook bei dem internen Verbindungsaufbau zum Exchange Server eine Fehlermeldung über einen nicht passenden Hostnamen im Zertifikat ausgeben. Ich hab mir dazu schon was überlegt, wenn man einfach die Exchange Client Access Rolle auf einen weiteren Server installiert und nur diese für den Externen Zugriff mit den neuen Zertifikat ausstattet und die CA Rolle auf dem Postfachserver auf nur Intern belässt kann diese weiter das alte Zertifikat verwenden. Diesen Aufbau werde ich nachher noch testen, gibt dann ein Update dazu.

  • Zertifikatfehler?

Sollte das „Vertrauenswürdige Stammzertifizierungsstelle“ Zertifikat nicht erfolgreich verteilt worden sein (ich weiß nicht in welchem Zeitabstand das über die Domäne lauft, der Zertifizierungsserver war schon paar Tage installiert), überprüfbar in den Internetexplorer-Eigenschaften – Inhalte – Zertifikate

Unbenannt10

Lässt sich dieses wie folgt nachinstallieren:

Über die Webseite des Zertifikatservers (http://servername/certsvr) – „Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste“ – Auswahl des Servers und dann „Download des Zertifizierungsstellenzertifikats“ lässt sich das Stammzertifikat herrunterladen und dann im Internetexplorer auf der Seite die wir vorher überprüft haben Importieren

Unbenannt11 Unbenannt12

  • Windows Mobile

Der Import des gleichen Zertifikates ermöglicht es im Übrigen auch bei einem Windows Mobile Gerät die Verbindung wieder per SSL aufzubauen, hierbei muss die .cer Datei nur auf das Gerät kopiert und dort ausgeführt werden.

Die Bilder sind auch alle nochmal Hier in der Gallery zu finden.

Edit:
Ein 2ter Server nur mit der ClientAccess Rolle klappt einwandfrei für den Zugriff mit dem neuen Zertifikat und dem alten auf dem Hauptserver der Intern für Outlook genutzt wird 🙂

7 Gedanken zu „Exchange 2007 Outlook Anywhere ohne CA-SSL“

  1. Hey, eine super Beschreibung mit super Screenshots! Genau das war“s, was mir noch gefehlt hat, jetzt läuft OWA ohne Zertifikatsfehler und Outlook Anywhere funzt auch! SUUUPER!! Vielen vielen Dank. Perfekt!!!

  2. Tolle Beschreibung! Das Problem beim internen Verbindungsaufbau, wo man einen Zertifikatsfehler erhält, lässt sich auch dadurch lösen, in dem man ein sog. SAN-Zertifikat erstellt und hier die internen sowie auch externen Namen angibt. Dies funktioniert auch mit der eigenen Zertifizierungsstelle in 2008 R2. Somit kann man das Zertifikat sowohl für OWA/Anywhere als auch für den internen Zugriff im LAN verwenden. Dadurch lässt sich der 2. Server wo nur die ClientAccess Rolle installiert ist sparen. Also vorhandenes Zertifikat gegen ein SAN-Zertifikat austauschen und fertig. Viel Erfolg beim Probieren wünscht GrimmSystems !!

  3. Hallo GrimmeSystems kannst Du mir bitte erklären wie das mit dem SAN funktioniert. Hatte nach der Anleitung genau das Problem das intern plötzlich die Fehlermeldung kam

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.