Exchange 2007: Installation av SSL-certifikat

Komplett guide för administration av SSL-certifikat på Exchange 2007: DNS-planering, Split-DNS, CSR-generering, certifikatinstallation och aktivering av tjänster.

Gå från interna till publikt giltiga servernamn

När en Exchange-server installeras är standardkonfigurationen att den använder ett internt servernamn för intern kommunikation. Det är dock inte längre möjligt att använda interna servernamn i offentligt utfärdade SSL-certifikat. Eftersom Exchange inte kan använda flera certifikat för samma tjänst, måste vi använda enbart externt giltiga DNS-namn i certifikatet.

Exempel på interna servernamn:

• server01
• exch01.fairssl.local
• srv01.fairssl.lan
• localhost
• 192.168.100.10
• 10.0.0.10

Detta kräver att det finns ett eller flera DNS-namn som kan nås både utifrån och internt, som pekar på Exchange-servern, och att Exchange-servern konfigureras för att känna till dessa namn.

Vi föreslår en av följande två populära lösningar:

Split-DNS

Ett DNS-namn, t.ex. webmail.fairssl.dk, pekar på en intern IP-adress till Exchange-servern på det lokala nätverket, medan det pekar på den offentliga IP-adressen från internet.

Om man inte vill skapa hela domänen som en split-DNS-zon, rekommenderar vi att skapa själva servernamnet som en underzon och därmed bara ha split-DNS för det namnet.

Se guide för konfiguration av Split-DNS

Konfigurera därefter serverns interna och externa URL-adresser till detta namn.

Två DNS-namn

Här används helt enkelt ett DNS-namn för intern åtkomst och ett annat för extern. Det är normal praxis för företag som har skapat en underdomän till sin offentliga, t.ex. intern.fairssl.dk.

Det kan till exempel vara webmail.fairssl.dk som pekar på den externa IP-adressen och exch01.fairssl.dk som pekar på den interna IP-adressen.

Därefter behöver du bara konfigurera Exchanges interna och externa URL-adresser till dessa namn.

Konfiguration av Split-DNS

1. Logga in på domänkontrollanten med ett administratörskonto.

2. Tryck windowstangent + r och skriv följande kommando för att öppna DNS Manager:

dnsmgmt.msc

3. Högerklicka på Forward Lookup Zones och klicka på New Zone.

4. Klicka på Next.

Välj Primary zone och Store the zone in Active Directory om detta alternativ är tillgängligt.

Klicka på Next.

5. Välj To all DNS servers running on domain controllers in this forest.

Klicka på Next.

6. Skriv det DNS-namn som den interna DNS:en ska peka på (t.ex.: mail.fairssl.dk).

Du kan också välja att använda hela domänen (t.ex.: fairssl.dk), men då måste du skapa en host för varje enskilt DNS-namn (se punkt 10).

Klicka på Next.

7. Välj Allow only secure dynamic updates.

Klicka på Next.

Klicka på Finish.

8. Högerklicka på den nya zonen och klicka på New Host (A or AAAA).

9. Lämna Name tomt.

Ange den interna IP-adressen till Exchange-servern.

Om du har skapat en reverse lookup-zon eller planerar att göra det, bocka i Create associated pointer (PTR) record, annars lämna den tom.

Klicka på Add Host.

10. Om du valde att skapa en zon för hela domänen måste du följa stegen nedan. Kom ihåg att du måste skapa en host för alla DNS-namn ni använder (t.ex.: www.fairssl.dk, vpn.fairssl.dk, login.fairssl.dk).

Skriv DNS-namnet utan domän i name (t.ex.: mail).

Ange den interna IP-adressen till Exchange-servern.

Om du har skapat en reverse lookup-zon eller planerar att göra det, bocka i Create associated pointer (PTR) record, annars lämna den tom.

Konfiguration av interna och externa URL-adresser för Exchange-tjänster

För att ändra interna och externa DNS-namn för alla Exchange-tjänster, utför stegen nedan.

1. Logga in på Exchange-servern med ett administratörskonto.

2. Tryck på windowstangenten och skriv exch för att söka efter Exchange Management Shell.

Högerklicka på Exchange Management Shell och välj Run as administrator.

3. Kör följande kommando:

Get-ExchangeServer | fl name

4. Kör följande kommando:

SERVERNAVN är namnet du hittade i punkt 3. INTERNURL är den interna adressen till mailservern, t.ex. exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL är den externa adressen till mailservern utan https://, t.ex. mail.fairssl.dk. Kom ihåg att använda citattecken ”” runt SERVERNAVN, INTERNURL och EKSTERNURL:

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL”

5. Kör följande kommandon för att byta adresserna till de internetgiltiga (för fullständigt skript med alla kommandon i ett, se punkt 6):

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

6. Nedan visas alla ovanstående kommandon samlade i ett för enkel copy/paste. Om punkt 5 redan har följts finns det ingen anledning att använda detta:

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutoDiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

Generering av CSR för certifikatbeställning

1. Tryck på windowstangenten och skriv exch för att söka efter Exchange Management Shell.

Högerklicka på Exchange Management Shell och välj Run as administrator.

2. Kör följande kommando:

• SubjectName:

• Common Name (CN): Det primära fullständiga domännamnet. T.ex.: www.fairssl.dk
• Organization Name (O): Företagets fullständiga namn, exakt som det är registrerat. T.ex.: FairSSL A/S
• Organizational Unit (OU): Avdelningen som ska använda certifikatet. Kan lämnas tomt eller fyllas med företagsnamnet. T.ex.: FairSSL A/S
• Locality (L): Ort/Stad. T.ex.: Oerum Djurs
• State (S): Län eller region. I Sverige används ofta länet. T.ex.: Norddjurs
• Country (C): ISO-standard landskod med två bokstäver, måste vara versaler. T.ex.: DK

• KeySize: antal bitar som används för kryptering (använd 2048)
• PrivateKeyExportable: Om certifikatet senare ska kunna exporteras för backup

$CSR = New-ExchangeCertificate -GenerateRequest -SubjectName "CN=mail.fairssl.dk, O=FairSSL A/S, OU=FairSSL A/S, L=Oerum Djurs, S=Norddjurs, C=DK" -KeySize 2048 -PrivateKeyExportable $true

3. Du kan nu välja att kopiera texten som genereras och klistra in den direkt i certifikatansökan, eller använda följande kommando för att spara den till en fil:

• Path: Sökvägen där CSR-filen ska sparas

Set-Content -Path "c:\mail.fairssl.dk.csr" -value $CSR

4. Öppna CSR-filen med en textredigerare (t.ex. notepad www.fairssl.dk.csr), kopiera hela texten, inklusive alla bindestreck före och efter.

Klistra in texten i CSR-fältet under certifikatbeställningen.

Nedan visas ett exempel på en komplett CSR-text:

En CSR innehåller ingen hemlig information och det finns ingen säkerhetsrisk med att t.ex. skicka en CSR via okrypterad e-post.

Installation av certifikat för mellanliggande utfärdare (Intermediate CA)

Följande beskriver hur certifikat för mellanliggande utfärdare importeras på en Windows-baserad server, inklusive Exchange. För att säkerställa att klienter kan verifiera hela certifikatkedjan måste den mellanliggande utfärdarens offentliga certifikat installeras på Exchange-servern.

Observera att Windows ibland installerar certifikatet automatiskt när servercertifikatet installeras. Det skadar dock inte att importera samma certifikat flera gånger; det kommer bara en varning om att det redan finns.

1. Logga in på serveren med ett administratörskonto.

Kopiera texten för det mellanliggande certifikatet (Intermediate certificate) från e-postmeddelandet med ditt nya certifikat till en textredigerare (som Notepad). Spara filen på skrivbordet med namnet mellanliggande.cer

2. Tryck windowstangent + r

Skriv mmc.exe

Klicka på OK.

3. Klicka på File och därefter Add/Remove Snap-in.

4. Välj Certificates.

Klicka på Add.

5. Välj Computer account.

Klicka på Next.

6. Se till att Local computer är valt.

Klicka på Finish.

Klicka på OK.

7. Expandera Certificates (Local Computer) och Intermediate Certification Authorities.

Högerklicka på Certificates.

Välj All Tasks och klicka på Import.

8. Klicka på Browse och välj filen du sparade på skrivbordet.

Klicka på Next.

9. Välj Automatically select the certificate store based on the type of certificate.

Klicka på Next.

Klicka på Finish.

Här kan du hitta mellanliggande certifikat från olika utfärdare.

Vi rekommenderar att du använder det medföljande certifikatet och bara hämtar härifrån om du tappar bort det, eftersom det medföljande alltid är det korrekta för ditt beställda servercertifikat.

Certifikat för mellanliggande utfärdare

Import och aktivering av certifikat från backup-fil (.PFX/PKCS12)

Följande beskriver hur en backup-fil för certifikat importeras och aktiveras i Exchange.

Vid beställning av certifikat med CSR-tjänst levereras certifikatet som en backup-fil skyddad med en unik kod.

1. Tryck på windowstangenten och skriv exch för att söka efter Exchange Management Shell.

Högerklicka på Exchange Management Shell och välj Run as administrator.

2. Kör följande kommando:

• Path: Sökvägen till certifikatfilens placering
• Services: De tjänster som ska aktiveras

Import-ExchangeCertificate –Path c:\mail.fairssl.dk.pfx –Password:(Get-Credential).password | Enable-ExchangeCertificate –Services “IIS,POP,IMAP,SMTP,None”

Lägg till UM till services om Unified Messaging är installerat.

Om du väljer tjänster som inte är installerade kommer kommandot att misslyckas, så välj bara de tjänster där certifikatet ska användas.

Detta kommando importerar först certifikatet och aktiverar därefter valda tjänster.

En lösenordsprompt visas om filen är lösenordsskyddad (se punkt 3).

Slutligen får du frågan om du vill byta standardcertifikat för SMTP, skriv y och tryck [ENTER].

3. En prompt för användarnamn och lösenord visas. Notera att användarnamnsfältet inte används, men något måste anges.

Skriv None i användarnamnet och det lösenord som filen är skyddad med i lösenordsfältet.

Vi rekommenderar att du testar installationen med vår SSL-scanner på: https://www.fairssl.se/sv/verktyg/ssl-scanner

Aktivera certifikat för specifika tjänster

1. Tryck på windowstangenten och skriv exch för att söka efter Exchange Management Shell.

Högerklicka på Exchange Management Shell och välj Run as administrator.

2. Kör följande kommando:

• Thumbprint: Certifikatets ID (kan hittas med kommandot Get-ExchangeCertificate)
• Services: De tjänster certifikatet ska aktiveras för

Enable-ExchangeCertificate -Thumbprint <certifikat ID> -Services "IIS, POP, IMAP, SMTP, None"

Lägg till UM till services om Unified Messaging är installerat.

Om du väljer tjänster som inte är installerade kommer kommandot att misslyckas, så välj bara de tjänster där certifikatet ska användas.

Därefter måste du bekräfta att SMTP-tjänstens certifikat ska ersättas. Tryck [ENTER] för att acceptera.

Vi rekommenderar att du testar installationen med vår SSL-scanner på: https://www.fairssl.se/sv/verktyg/ssl-scanner