Verwenden von Zertifikaten für die Authentifizierung mobiler Geräte

  • Artikel

 

Letztes Änderungsdatum des Themas: 2008-02-14

Letzten Monat haben wir die Verwendung von SSL (Secure Sockets Layer) zur Erhöhung der Sicherheit der Kommunikation zwischen Ihren Microsoft Exchange ActiveSync-Clients und dem Computer, auf dem Microsoft Exchange ausgeführt wird, diskutiert. Diesen Monat beschäftigen wir uns mit einer zusätzlichen Stufe der Sicherheit: der Clientauthentifizierung.

Authentifizierung ist der Vorgang, durch den ein Client und ein Server ihre Identität zum Zweck der Datenübertragung überprüfen. Bei der Verschlüsselung der Kommunikation mit SSL werden die zwischen dem Client und Server ausgetauschten Daten in eine Verschlüsselungsschicht eingebettet, um diese Daten zu schützen. In Microsoft Exchange Server 2007 wird Authentifizierung für die Bestimmung verwendet, ob die Identität eines Benutzers oder Clients, der mit dem Servercomputer mit Exchange kommunizieren möchte, seine wahre Identität ist. Sie können mithilfe von Authentifizierung überprüfen, ob ein Gerät tatsächlich zu einer bestimmten Person gehört.

Authentifizierung kann für das virtuelle Exchange ActiveSync-Verzeichnis konfiguriert werden. Diese Einstellung steuert dann, ob Ihre Clientgeräte Clientzertifikate für die Authentifizierung verwenden. Wenn die Serverfunktion ClientAccess für Exchange 2007 installiert wird, wird das virtuelle Exchange ActiveSync-Verzeichnis standardmäßig für die Verwendung von Standardauthentifizierung mit SSL (Secure Sockets Layer) konfiguriert. Sie können die Authentifizierungsmethode ändern, indem Sie die Eigenschaften des virtuellen Exchange ActiveSync-Verzeichnisses ändern. Dieser Artikel bietet eine Übersicht der verschiedenen Authentifizierungsarten sowie Anleitungen zum Konfigurieren der Authentifizierungsmethode für das virtuelle Exchange ActiveSync-Verzeichnis. Darüber hinaus erhalten Sie Anleitungen zum Konfigurieren von Clientzertifikaten für die Authentifizierung auf mobilen Geräten.

Übersicht der Authentifizierungsarten

Es gibt drei Arten von Authentifizierung: Standard, zertifikatbasiert und tokenbasiert. In diesem Abschnitt erhalten Sie eine Übersicht dieser Authentifizierungsarten.

Standardauthentifizierung

Die Standardauthentifizierung ist die einfachste Authentifizierungsmethode. Bei der Standardauthentifizierung fordert der Server vom Client einen Benutzernamen und ein Kennwort an. Dieser Benutzername und das Kennwort werden unverschlüsselt über das Internet an den Server gesendet. Der Server überprüft, ob der gesendete Benutzername und das Kennwort gültig sind, und gewährt Zugriff auf den Client. Dies ist das Standardauthentifizierungsverfahren für Exchange ActiveSync. Bei aktiviertem SSL wird empfohlen, nur diese Methode der Authentifizierung zu verwenden. Wenn Sie beabsichtigen, SSL für das virtuelle Exchange ActiveSync-Verzeichnis zu deaktivieren, wird empfohlen, eine alternative Authentifizierungsmethode zu verwenden.

Zertifikatbasierte Authentifizierung

Bei der zertifikatbasierten Authentifizierung wird die Identität mittels eines digitalen Zertifikats überprüft. Die zertifikatbasierte Authentifizierung stellt neben dem Benutzernamen und dem Kennwort eine andere Form von Anmeldeinformationen zur Verfügung, die die Identität des Benutzers bestätigen, der versucht, auf die Postfachressourcen zuzugreifen, die auf dem Servercomputer mit Exchange 2007 gespeichert sind. Ein digitales Zertifikat besteht aus zwei Komponenten: dem privaten Schlüssel, der auf dem Gerät gespeichert ist, und dem öffentlichen Schlüssel, der auf dem Server installiert ist.

Wenn Sie Exchange 2007 so konfigurieren, dass zertifikatbasierte Authentifizierung für Exchange ActiveSync angefordert wird, werden nur Geräte, die die folgenden Kriterien erfüllen, mit Exchange 2007 synchronisiert:

  • Auf dem Gerät ist ein gültiges Clientzertifikat installiert, das für die Benutzerauthentifizierung erstellt wurde.

  • Das Gerät verfügt über ein vertrauenswürdiges Stammzertifikat für den Server, mit dem die SSL-Verbindung hergestellt werden soll.

Die Bereitstellung zertifikatbasierter Authentifizierung verhindert, dass sich Benutzer, die lediglich über einen Benutzernamen und ein Kennwort verfügen, mit Exchange 2007 synchronisieren können. Als zusätzliche Sicherheitsebene kann das Clientzertifikat für die Authentifizierung nur installiert werden, wenn das Gerät entweder über Desktop ActiveSync 4.5 oder eine höhere Version in Microsoft Windows XP oder über das Windows Mobile-Gerätecenter in Windows Vista an einen Computer angeschlossen ist, der einer Domäne angehört.

Tokenbasierte Authentifizierungssysteme

Ein tokenbasiertes Authentifizierungssystem ist ein Zwei-Faktor-Authentifizierungssystem. Zwei-Faktor-Authentifizierung basiert auf Informationen, die der Benutzer kennt, z. B. sein Kennwort, und einem externen Gerät, das der Benutzer mit sich führen kann, z. B. in Form einer Kreditkarte oder eines Schlüsselanhängers. Jedes Gerät verfügt über eine eindeutige Seriennummer. Neben Hardwaretoken sind bei einigen Anbietern softwarebasierte Token verfügbar, die auf mobilen Geräten ausgeführt werden können.

Token funktionieren, indem Sie eine eindeutige Nummer anzeigen, die normalerweise aus sechs Zeichen besteht und alle 60 Sekunden wechselt. Wird ein Token für einen Benutzer ausgegeben, wird dieser mit der Serversoftware synchronisiert. Zur Authentifizierung gibt der Benutzer seinen Benutzernamen, das Kennwort und die aktuell auf dem Token angezeigte Nummer ein. Einige tokenbasierte Authentifizierungssysteme erfordern zudem die Eingabe einer PIN durch den Benutzer.

Tokenbasierte Authentifizierung ist eine besonders sichere Art der Authentifizierung. Der Nachteil der tokenbasierten Authentifizierung besteht darin, dass Sie Authentifizierungssoftware auf dem Server installieren und die Authentifizierungssoftware auf jedem Benutzercomputer oder mobilen Gerät bereitstellen müssen. Außerdem besteht das Risiko, dass Benutzer das externe Gerät verlieren. Der Ersatz für ein verlorenes externes Gerät kann finanziell kostspielig sein. Das externe Gerät ist jedoch für Dritte ohne die Anmeldeinformationen des Originalbenutzers wertlos. Verschiedene Firmen bieten tokenbasierte Authentifizierungssysteme an. Weitere Informationen über diese Systeme, einschließlich ihrer Konfigurationsweise, finden Sie in der Dokumentation des jeweiligen Systems.

Konfigurieren der zertifikatbasierten Authentifizierung für das virtuelle Exchange ActiveSync-Verzeichnis

Um das virtuelle Exchange ActiveSync-Verzeichnis für zertifikatbasierte Authentifizierung zu konfigurieren, verwenden Sie eins der folgenden Verfahren.

So konfigurieren Sie die zertifikatbasierte Authentifizierung für Exchange ActiveSync mithilfe der Exchange-Verwaltungskonsole

  1. Erweitern Sie Serverkonfiguration, und klicken Sie dann auf Clientzugriff.

  2. Klicken Sie im Ergebnisbereich auf die Registerkarte Exchange ActiveSync.

  3. Wählen Sie das virtuelle Verzeichnis Microsoft-Server-ActiveSync aus.

  4. Klicken Sie im Aktionsbereich unter Microsoft-Server-ActiveSync auf Eigenschaften.

  5. Klicken Sie auf die Registerkarte Authentifizierung.

  6. Deaktivieren Sie das Kontrollkästchen neben Standardauthentifizierung (Kennwort wird unverschlüsselt gesendet).

  7. Klicken Sie auf Clientzertifikate anfordern. Wenn Sie die Authentifizierung mithilfe von Clientzertifikaten zulassen, aber nicht verlangen möchten, können Sie alternativ auf Clientzertifikate akzeptieren klicken.

  8. Klicken Sie auf Übernehmen, um die Änderungen zu speichern, oder klicken Sie auf OK, um die Änderungen zu speichern und das Dialogfeld Microsoft-Server-ActiveSync Eigenschaften zu schließen.

So konfigurieren Sie die zertifikatbasierte Authentifizierung für Exchange ActiveSync mithilfe der Exchange-Verwaltungsshell

  • Führen Sie den folgenden Befehl aus:

    Set-ActiveSyncVirtualDirectory -Identity :"ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled:$false -ClientCertAuth:"Required"

Weitere Informationen zu Syntax und Parametern finden Sie unter Set-ActiveSyncVirtualDirectory.

Konfigurieren der zertifikatbasierten Authentifizierung auf Windows Mobile-Geräten

Damit Sie das folgende Verfahren auf einem Gerät mit Windows Mobile ausführen können, stellen Sie sicher, dass eine ActiveSync-Verbindung zwischen dem Gerät und einem Desktop- oder tragbaren Computer besteht. Außerdem muss der Desktop- oder tragbare Computer mit der Domäne verbunden sein. Verwenden Sie für Windows XP-Computer Desktop ActiveSync, um diese Verbindung herzustellen. Für Windows Vista-Computer verwenden Sie das Windows Mobile-Gerätecenter.

Damit Sie das Tool für die Desktopzertifikatregistrierung verwenden können, muss Ihr Gerät mit einem Computer verbunden sein, der am Unternehmensnetzwerk angemeldet ist. Das folgende Verfahren verwendet Desktop ActiveSync oder das Windows Mobile-Gerätecenter, um die Registrierung für ein Zertifikat eines Unternehmensservers vorzunehmen.

So verwenden Sie ActiveSync, um sich für ein Zertifikat eines Unternehmensservers zu registrieren

  1. Klicken Sie in ActiveSync oder im Windows Mobile-Gerätecenter auf Extras, Erweiterte Extras und auf Sicherheitszertifikate für das Gerät anfordern bzw. Gerätezertifikate abrufen, während Ihr Gerät an den Computer angeschlossen ist.

  2. Wählen Sie im Dropdownfeld Ansicht die Option Sicherheitszertifikattypen aus Active Directory aus, und klicken Sie dann auf Registrieren.

  3. Klicken Sie unter Sicherheitszertifikat für das Gerät anfordern auf Ja um den Vorgang fortzusetzen.

  4. Das Windows Mobile 6.0-Gerät fordert Sie auf, den Installationsvorgang zu bestätigen. Klicken Sie auf dem Gerät auf Weiter.

  5. Auf dem Gerät wird möglicherweise eine zweite Eingabeaufforderung angezeigt. Sollte dies der Fall sein, wählen Sie Installieren aus.

  6. Nachdem am Ende des Registrierungsvorgangs das Erfolgsdialogfeld angezeigt wurde, klicken Sie auf Ihrem Computer auf OK und dann auf Schließen.

Zusammenfassung

Es gibt verschiedene Sicherheitsfunktionen, die für Exchange ActiveSync implementiert werden können. Die zertifikatbasierte Authentifizierung ist eine dieser Funktionen. Es wird empfohlen, Exchange ActiveSync entweder für Standardauthentifizierung mit SSL oder für zertifikatbasierte Authentifizierung zu konfigurieren. Weitere Informationen zu Authentifizierungs- und Verschlüsselungsoptionen finden Sie unter den folgenden Themen: