Exchange 2013: Installation av SSL-certifikat

Komplett guide för hantering av SSL-certifikat på Exchange 2013: DNS-planering, Split-DNS, CSR-generering, certifikatinstallation och aktivering av tjänster.

Gå från interna till publikt giltiga servernamn

När Exchange-servern installeras är standardkonfigurationen att den använder ett internt servernamn för den interna kommunikationen. Det är dock inte längre möjligt att använda interna servernamn i publikt utfärdade SSL-certifikat. Eftersom Exchange inte kan hantera flera olika certifikat på samma tjänst, måste vi använda oss av publikt giltiga DNS-namn även internt.

Exempel på interna servernamn som inte längre fungerar:

• server01
• exch01.fairssl.local
• srv01.fairssl.lan
• localhost
• 192.168.100.10
• 10.0.0.10

Lösningen kräver att ett eller flera DNS-namn kan nås både utifrån och inifrån, som pekar mot Exchange-servern, och att Exchange konfigureras för att svara på dessa namn.

Vi rekommenderar en av följande två lösningar:

Split-DNS

Ett DNS-namn, t.ex. webmail.fairssl.dk, pekar på en intern IP-adress när man är på det lokala nätverket, medan det från internet pekar på den publika IP-adressen.

Om du inte vill skapa hela domänen som en Split-DNS-zon, rekommenderar vi att skapa själva servernamnet som en underzon för att endast använda Split-DNS för just det namnet.

Se guide för konfiguration av Split-DNS

Konfigurera därefter serverns interna och externa URL-adresser till detta gemensamma namn.

Två DNS-namn

Här används ett DNS-namn för extern åtkomst och ett annat för intern åtkomst (som fortfarande måste vara publikt giltigt). Detta är vanligt i organisationer som har en underdomän för sin interna miljö, t.ex. intern.fairssl.dk.

Det kan t.ex. vara webmail.fairssl.dk som pekar på den externa IP-adressen och exch01.fairssl.dk som pekar på den interna IP-adressen.

Efter detta konfigureras Exchange interna och externa URL-adresser till dessa namn.

Konfiguration av Split-DNS

1. Logga in på din Domain Controller med ett administratörskonto.

2. Tryck på Windowstangenten + R och skriv följande kommando för att öppna DNS Manager:

dnsmgmt.msc

3. Högerklicka på Forward Lookup Zones.

Klicka på New Zone.

4. Klicka på Next.

Välj Primary zone och Store the zone in Active Directory om alternativet är tillgängligt.

Klicka på Next.

5. Välj To all DNS servers running on domain controllers in this forest.

Klicka på Next.

6. Ange det DNS-namn som den interna DNS-servern ska peka på (t.ex. mail.fairssl.dk).

Du kan också välja att använda hela domänen (t.ex. fairssl.dk), men då måste du skapa en host-post för varje enskilt DNS-namn (se punkt 10).

Klicka på Next.

7. Välj Allow only secure dynamic updates.

Klicka på Next.

Klicka på Finish.

8. Högerklicka på den nya zonen och klicka på New Host (A or AAAA).

9. Lämna Name tomt.

Ange Exchange-serverns interna IP-adress.

Om du har skapat en reverse lookup-zon eller planerar att göra det, markera Create associated pointer (PTR) record, annars lämna den tom.

Klicka på Add Host.

10. Om du valde att skapa en zon för hela domänen måste du följa stegen nedan. Tänk på att du måste skapa en host-post för alla DNS-namn ni använder (t.ex. www.fairssl.dk, vpn.fairssl.dk, login.fairssl.dk).

Skriv DNS-namnet utan domännamnet i Name (t.ex. mail).

Ange Exchange-serverns interna IP-adress.

Om du har en reverse lookup-zon, markera Create associated pointer (PTR) record.

Konfiguration av interna och externa URL-adresser för Exchange-tjänster

1. Logga in med ett administratörskonto på Exchange-servern.

2. Högerklicka på Exchange Management Shell.

Välj Run as Administrator.

3. Kör följande kommando:

Get-ExchangeServer | fl name

4. Kör följande kommando:

SERVERNAVN är namnet du hittade i punkt 3. INTERNURL är den interna adressen till mailservern, t.ex. exch01.fairssl.dk eller mail.fairssl.dk. EKSTERNURL är den externa adressen till mailservern utan https://, t.ex. mail.fairssl.dk. Kom ihåg att skriva ”” runt servernamn, internurl och eksternurl:

$CASserver = ”SERVERNAVN” ; $internalURL = ”INTERNURL” ; $externalURL = ”EKSTERNURL”

5. Kör följande kommandon för att ändra adresserna till publikt giltiga namn (för ett fullständigt script med alla kommandon samlade, se punkt 6):

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml”

Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml”

Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx”

Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab”

Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa”

Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp”

Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

6. Följande är alla ovanstående kommandon samlade i ett för enkel copy/paste. Om du redan har följt punkt 5 behöver du inte köra detta:

Get-AutodiscoverVirtualDirectory -Server $CASserver | Set-AutodiscoverVirtualDirectory –InternalUrl ”https://$internalURL/Autodiscover/Autodiscover.xml” -ExternalUrl ”https://$externalURL/Autodiscover/Autodiscover.xml” ; Get-ClientAccessServer -Identity $CASserver | Set-ClientAccessServer –AutodiscoverServiceInternalUri ”https://$internalURL/Autodiscover/Autodiscover.xml” ; Get-WebservicesVirtualDirectory -Server $CASserver | Set-WebservicesVirtualDirectory –InternalUrl ”https://$internalURL/Ews/Exchange.asmx” -ExternalUrl ”https://$externalURL/Ews/Exchange.asmx” ; Get-OabVirtualDirectory -Server $CASserver | Set-OabVirtualDirectory –InternalUrl ”https://$internalURL/Oab” -ExternalUrl ”https://$externalURL/Oab” ; Get-OwaVirtualDirectory -Server $CASserver | Set-OwaVirtualDirectory –InternalUrl ”https://$internalURL/Owa” -ExternalUrl ”https://$externalURL/Owa” ; Get-EcpVirtualDirectory -Server $CASserver | Set-EcpVirtualDirectory –InternalUrl ”https://$internalURL/Ecp” -ExternalUrl ”https://$externalURL/Ecp” ; Get-ActiveSyncVirtualDirectory -Server $CASserver | Set-ActiveSyncVirtualDirectory -InternalUrl ”https://$internalURL/Microsoft-Server-ActiveSync” -ExternalUrl ”https://$externalURL/Microsoft-Server-ActiveSync”

Generering av CSR för certifikatbeställning

1. Logga in med ett administratörskonto på Exchange-servern.

2. Tryck på Windowstangenten.

Skriv Exchange ad för att söka.

Starta Exchange Administrative Center.

3. Ange administratörens användarnamn och lösenord.

Klicka på Sign in.

4. Klicka på Servers i vänstermenyn.

Markera den server i listan som ska ha nytt certifikat.

5. Klicka på fliken Certificates uppe till höger.

Klicka på +-ikonen.

6. Välj Create a request for a certificate from a certificate authority.

Klicka på Next.

7. Ge ditt certifikat ett Friendly Name (vänligt namn) så att du enkelt känner igen det, t.ex. DNS-namnet.

Klicka på Next.

8. Se till att Request a wildcard INTE är markerat.

Klicka på Next.

9. Klicka på Browse och välj servern.

Klicka på Next.

10. Här kan du se vilka DNS-namn de olika tjänsterna använder för intern och extern åtkomst.

Om det finns namn som slutar på .local eller liknande bör dessa ändras. Se avsnittet Gå från interna till publikt giltiga servernamn. Du kan slutföra CSR-guiden innan du genomför dessa ändringar.

Klicka på Next.

11. Ta bort alla DNS-namn du inte behöver och lägg till de som saknas (SAN-namn).

Klicka på Next.

12. Fyll i företagsuppgifterna:

• Organization name (O): Företagets fullständiga juridiska namn. T.ex. FairSSL A/S
• Department name (OU): Avdelningen som ska använda certifikatet. Kan lämnas tomt eller fyllas i med t.ex. IT. T.ex. FairSSL A/S
• City/Locality (L): Stad. T.ex. Ørum Djurs
• State/Province (S): Region eller kommun. T.ex. Norddjurs
• Country/Region name (C): Landskod (för Sverige använnds SE, för Danmark DK). T.ex. Denmark

Klicka på Next.

13. Ange UNC-sökvägen för var du vill spara CSR-filen. Exemplet nedan sparar filen som c:\www.fairssl.dk.csr på Exchange-servern.

Klicka på Finish.

14. Öppna CSR-filen i en textredigerare (t.ex. Anteckningar/Notepad), kopiera hela texten, inklusive alla bindestreck i början och slutet.

Klistra in denna text i CSR-fältet när du gör din certifikatbeställning på fairssl.se.

Nedan visas ett exempel på hur en komplett CSR ser ut:

En CSR innehåller inga hemliga uppgifter och det innebär ingen säkerhetsrisk att skicka den via t.ex. vanlig e-post.

Import av mellanliggande certifikat (Intermediate Certificate Authority)

Här beskrivs hur du importerar mellanliggande certifikat på en Windows-server. För att klienter ska kunna verifiera ditt certifikat korrekt måste hela kedjan av certifikat vara installerad på servern.

Notera att Windows ibland installerar dessa automatiskt, men det skadar aldrig att göra det manuellt. Om det redan finns får du bara en varning om detta.

1. Logga in som administratör på Exchange-servern.

Kopiera texten för det mellanliggande certifikatet (Intermediate certificate) från e-postmeddelandet du fick vid leverans. Klistra in texten i Notepad och spara filen på skrivbordet som intermediate.cer

2. Tryck på Windowstangenten + R

Skriv mmc.exe

Klicka på OK.

3. Gå till File och välj Add/Remove Snap-in.

4. Välj Certificates i listan.

Klicka på Add.

5. Välj Computer account.

Klicka på Next.

6. Välj Local computer.

Klicka på Finish.

Klicka på OK.

7. Expandera Certificates (Local Computer) och Intermediate Certification Authorities.

Högerklicka på mappen Certificates.

Välj All Tasks.

Klicka på Import.

8. Klicka på Browse och välj filen du sparade på skrivbordet.

Klicka på Next.

9. Välj Automatically select the certificate store based on the type of certificate.

Klicka på Next.

Klicka på Finish.

Vi rekommenderar alltid att du använder det mellanliggande certifikatet som skickades med i leveransen, då detta är garanterat korrekt för just ditt servercertifikat.

Mellanliggande certifikat

Installation av certifikat från CSR

Det är kritiskt att certifikatet installeras på exakt samma server där CSR-filen skapades, eftersom den privata nyckeln finns lagrad där.

Den privata nyckeln genererades i samband med CSR-förfrågan och denna process krävs för att koppla ihop den privata nyckeln med det utfärdade certifikatet.

1. Spara ditt nya certifikat som en fil på en plats som servern kan nå via en UNC-sökväg.

     t.ex. \\EX13\c$\www.fairssl.dk.cer

2. Tryck på Windowstangenten.

Skriv Exchange ad för att söka.

Starta Exchange Administrative Center.

3. Ange administratörens användarnamn och lösenord.

Tryck på Sign in.

4. Klicka på Servers till vänster.

Välj servern certifikatet ska installeras på.

Klicka på Certificates uppe till höger.

5. Leta upp det Friendly Name du angav när du skapade din CSR. Den kommer att ha status Pending request.

Klicka på Complete i högerpanelen.

6. Ange UNC-sökvägen till certifikatfilen.

Klicka på OK.

7. Certifikatet installeras nu och status ändras från Pending Request till Valid (giltigt) i listan.

Vi rekommenderar att du testar installationen med vår SSL-scanner: https://www.fairssl.se/sv/vaerktoejer/ssl-scanner

Aktivera certifikat för specifika tjänster

1. Logga in som administratör på Exchange-servern.

2. Tryck på Windowstangenten.

Skriv Exchange ad för att söka.

Starta Exchange Administrative Center.

3. Ange administratörens uppgifter.

Klicka på Sign in.

4. Gå till Servers och välj rätt server.

Klicka på fliken Certificates uppe till höger.

5. Markera certifikatet du vill aktivera tjänster för.

Klicka på ✏-ikonen (Edit).

6. Klicka på Services i vänstermenyn.

Markera de tjänster som certifikatet ska användas för (t.ex. IIS, SMTP).

Klicka på Save.

7. Om du har valt SMTP kommer en fråga om du vill skriva över standardcertifikatet för SMTP.

Klicka på Yes.

Vi rekommenderar att du slutligen testar din installation med vår SSL-scanner: https://www.fairssl.se/sv/vaerktoejer/ssl-scanner