Verwenden der Domänensicherheit: Konfigurieren von MTLS

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-12-07

In diesem Thema wird erläutert, wie Sie MTLS für die Domänensicherheit konfigurieren können. Hierbei handelt es sich um einen Satz von Funktionen in Microsoft Exchange Server 2010 und Microsoft Office Outlook 2007, die eine relativ kostengünstige Alternative zu S/MIME und anderen Sicherheitslösungen auf Nachrichtenebene darstellen.

Im Rahmen dieses Szenarios wird in diesem Thema beschrieben, wie Exchange-Administratoren in dem fiktiven Unternehmen Contoso ihre Exchange 2010-Umgebung für den Austausch domänengesicherter E-Mail-Nachrichten mit ihrem Partner, der Woodgrove Bank, konfigurieren. Die Administratoren von Contoso möchten sicherstellen, dass alle von der und an die Woodgrove Bank gesendeten E-Mail-Nachrichten mit MTLS geschützt werden. Darüber hinaus möchten sie die Domänensicherheitsfunktionalität so konfigurieren, dass alle von der und an die Woodgrove Bank gesendeten E-Mail-Nachrichten zurückgewiesen werden, wenn MTLS nicht verwendet werden kann.

Contoso verfügt über eine interne Public Key-Infrastruktur (PKI), die Zertifikate generiert. Das Stammzertifikat der PKI wurde durch eine Zertifizierungsstelle (Certificate Authority, CA) eines größeren Drittanbieters signiert. Die Woodgrove Bank verwendet die Zertifizierungsstelle desselben Drittanbieters zum Generieren der Zertifikate. Daher vertrauen das Unternehmen Contoso und die Woodgrove Bank der Stammzertifizierungsstelle des jeweils anderen Unternehmens.

Zum Einrichten von MTLS führen die Exchange-Administratoren bei Contoso die folgenden Verfahren durch:

Schritt 1: Generieren einer Zertifikatsanforderung für TLS-Zertifikate

Schritt 2: Importieren von Zertifikaten auf Edge-Transport-Servern

Schritt 3: Konfigurieren der Sicherheit von Ausgangsdomänen

Schritt 4: Konfigurieren der Sicherheit von Eingangsdomänen

Schritt 5: Testen der domänengesicherten Nachrichtenübermittlung

Voraussetzungen

• In diesem Thema wird davon ausgegangen, dass Sie das Thema Generieren von Anforderungen für Zertifikatsdienste von Drittanbietern gelesen und verstanden haben.
• Der EdgeSync-Dienst von Microsoft Exchange muss vollständig bereitgestellt sein, damit Domänensicherheit sichergestellt werden kann. Im Allgemeinen werden nicht mit den ExchangeCertificate-Cmdlets an der Domänensicherheitsfunktionalität vorgenommene Konfigurationsänderungen innerhalb der Organisation durchgeführt und mit dem EdgeSync-Dienst von Microsoft Exchange auf Edge-Transport-Servern synchronisiert.
• Bevor MTLS ordnungsgemäß auf einem Edge-Transport-Server ausgeführt werden kann, müssen Sie den Computer und die PKI-Umgebung so konfigurieren, dass die Zertifikatüberprüfung und Überprüfung der Zertifikatsperrliste ausgeführt werden können. Weitere Informationen finden Sie unter Verwenden einer PKI auf dem Edge-Transport-Server für Domänensicherheit.
• Einzelne Konfigurationsschritte in diesem Szenario können auch mit geringeren Berechtigungen durchgeführt werden. Um alle Aufgaben des End-to-End-Szenarios durchzuführen, muss Ihr Konto jedoch Mitglied der Verwaltungsrollengruppe "Organisationsverwaltung" sein.

Schritt 1: Generieren einer Zertifikatsanforderung für TLS-Zertifikate

Contoso verfügt über eine interne PKI, die einer Zertifizierungsstelle eines Drittanbieters untergeordnet ist. In diesem Szenario bezieht sich der Begriff Unterordnung auf die Tatsache, dass die von Contoso in der unternehmenseigenen Infrastruktur bereitgestellte Zertifizierungsstelle ein Stammzertifikat aufweist, das durch eine öffentliche Zertifizierungsstelle eines Drittanbieters signiert wurde. Standardmäßig ist die öffentliche Zertifizierungsstelle des Drittanbieters eines der vertrauenswürdigen Stammzertifikate im Zertifikatspeicher von Microsoft Windows. Daher kann sich jeder Client, in dessen vertrauenswürdigem Stammspeicher dieselbe Drittanbieterzertifizierungsstelle enthalten ist und der sich bei Contoso anmeldet, für das von Contoso vorgelegte Zertifikat authentifizieren.

Contoso verfügt über zwei Edge-Transport-Server, die TLS-Zertifikate benötigen: "mail1.contoso.com" und "mail2.mail.contoso.com". Der E-Mail-Administrator bei Contoso muss daher zwei Zertifikatsanforderungen generieren, d. h. für jeden Server eine.

Im folgenden Beispiel werden die Befehle gezeigt, mit denen der Administrator Base64-codierte PKCS#10-Zertifikatsanforderungen generiert.

Der Administrator von Contoso muss diesen Befehl für "CN=mail1.contoso.com" ausführen.

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

Der Administrator von Contoso muss diesen Befehl für "CN=mail2.mail.contoso.com" ausführen.

$Data2 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail2" -SubjectName "DC=com,DC=Contoso,CN=mail2.mail.contoso.com"  -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail2-request.req" -Value $Data2

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExchangeCertificate.

Nach oben

Schritt 2: Importieren von Zertifikaten auf Edge-Transport-Servern

Nachdem der Administrator von Contoso die Zertifikatsanforderungen erstellt hat, verwendet der Zertifizierungsstellenadministrator von Contoso die Anforderungen zum Generieren der Zertifikate für die Server. Die sich ergebenden Zertifikate müssen entweder als einzelne Zertifikate oder als Zertifikatkette ausgegeben und auf die entsprechenden Edge-Transport-Server kopiert werden.

Wenn Sie das Zertifikat auf dem Edge-Transport-Server importieren, müssen Sie das Zertifikat auch für den SMTP-Dienst aktivieren. Der Administrator von Contoso führt den folgenden Befehl auf jedem Edge-Transport-Server aus, d. h. einmal für jedes entsprechende Zertifikat.

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\Certificates\mail1-certificate.pfx -Encoding Byte -ReadCount 0)) | Enable-ExchangeCertificate -Services SMTP

Im vorigen Beispiel wird das TLS-Zertifikat importiert und aktiviert, indem das Zertifikat mittels Pipelining an das Cmdlet Enable-ExchangeCertificate übergeben wird. Das Zertifikat kann auch aktiviert werden, nachdem es importiert wurde. In diesem Fall müssen Sie den Fingerabdruck des zu aktivierenden Zertifikats angeben.

Ausführliche Informationen zu Syntax und Parametern finden Sie in den Themen Import-ExchangeCertificate und Enable-ExchangeCertificate.

Transport von Zertifikaten und zugehörigen Schlüsseln

Wenn Sie ein Zertifikat vom PKI-Anbieter oder der Zertifizierungsstelle erhalten, konvertieren Sie das ausgestellte Zertifikat in eine PFX-Datei (PKCS#12), sodass Sie es im Rahmen Ihres Notfallplans sichern können. Eine PFX-Datei enthält das Zertifikat und zugehörige Schlüssel. In einigen Fällen möchten Sie das Zertifikat und die Schlüssel möglicherweise auf andere Computer verschieben. Wenn Sie beispielsweise über mehrere Edge-Transport-Server verfügen, über die Sie voraussichtlich domänengesicherte E-Mails senden und empfangen, können Sie ein einziges Zertifikat für alle Server erstellen. In diesem Fall müssen Sie das Zertifikat für TLS auf jeden Edge-Transport-Server importieren und aktivieren.

So lange Sie eine Kopie der PFX-Datei an einem sicheren Ort archiviert haben, können Sie die Zertifikate jederzeit importieren und aktivieren. Die PFX-Datei enthält den privaten Schlüssel, daher ist es wichtig, die Datei physikalisch zu schützen, indem Sie sie auf einem Speichermedium an einem sicheren Ort aufbewahren.

Beachten Sie unbedingt, dass das Cmdlet Import-ExchangeCertificate den importierten privaten Schlüssel aus der PFX-Datei als nicht exportierbar kennzeichnet. Diese Funktionalität ist so beabsichtigt.

Wenn Sie das Zertifikat-Manager-Snap-In in der MMC verwenden, um eine PFX-Datei zu importieren, können Sie die Exportierbarkeit des privaten Schlüssels und einen starken Schlüsselschutz festlegen.

Nach oben

Schritt 3: Konfigurieren der Sicherheit von Ausgangsdomänen

Zum Konfigurieren der Sicherheit für Ausgangsdomänen müssen die folgenden drei Schritte ausgeführt werden:

1. Führen Sie das Cmdlet Set-TransportConfig aus, um die Domäne anzugeben, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen.
2. Führen Sie das Cmdlet Set-SendConnector aus, um die Eigenschaft DomainSecureEnabled für den Sendeconnector festzulegen, der E-Mail-Nachrichten an die Domäne sendet, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen.
3. Führen Sie das Cmdlet Get-SendConnector aus, um Folgendes sicherzustellen:
   • Der Sendeconnector, der E-Mail-Nachrichten an die Domäne sendet, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen, routet E-Mail-Nachrichten über DNS (Domain Name System).
   • Der FQDN ist so festgelegt, dass er entweder dem Antragsteller oder dem alternativen Antragsteller des Zertifikats, das für die Domänensicherheit verwendet wird entspricht.

Da es sich bei den in diesen Schritten durchgeführten Änderungen um globale Änderungen handelt, müssen Sie die Änderungen auf einem internen Exchange-Server durchführen. Die von Ihnen vorgenommenen Konfigurationsänderungen werden mit dem EdgeSync-Dienst von Microsoft Exchange auf die Edge-Transport-Server repliziert.

Schritt 3a: Festlegen der Absenderdomäne in der Transportkonfiguration

Das Angeben der Domäne, mit der domänengesicherte E-Mail-Nachrichten gesendet werden sollen, ist ein relativ einfacher Vorgang. Der Contoso-Administrator führt den folgenden Befehl auf einem internen Exchange 2010-Server aus.

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

Der Parameter TLSSendDomainSecureList akzeptiert eine mehrwertige Liste von Domänennamen. Der Befehl Set-TransportConfig ersetzt den gesamten Wert des Parameters TLSSendDomainSecureList durch den in dem Cmdlet bereitgestellten neuen Wert. Wenn Sie bereits andere Domänen konfiguriert haben und eine neue Domäne hinzufügen möchten, müssen Sie daher die vorhandene Domäne in die Liste einschließen oder eine temporäre Variable verwenden. Im folgenden Beispiel wird gezeigt, wie Sie die Domäne "woodgrovebank.com" dem Parameter TLSSendDomainSecureList hinzufügen, ohne vorhandene Werte zu überschreiben.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSSendDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSSendDomainSecureList $TransportConfig.TLSSendDomainSecureList

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TransportConfig.

Schritt 3b: Konfigurieren des Standardsendeconnectors

Contoso verwendet den standardmäßigen DNS-gerouteten Sendeconnector mit dem Namen "Internet", um domänengesicherte E-Mail-Nachrichten an die Partner des Unternehmens zu senden. Da es sich bei dem standardmäßigen DNS-gerouteten Sendeconnector um einen standardmäßigen Sendeconnector für das Internet handelt, wird zum Routen von E-Mail-Nachrichten kein Smarthost sondern DNS verwendet. Als FQDN ist bereits mail.contoso.com festgelegt. Da durch die vom Contoso-Administrator erstellten Zertifikate der Parameter DomainName von New-ExchangeCertificate auf mail.contoso.com festgelegt wird, kann der Sendeconnector die Zertifikate ohne weitere Konfiguration verwenden.

Wenn Sie eine untergeordnete Domäne zu Testzwecken konfiguriert haben, müssen Sie den vollqualifizierten Domänennamen (FQDN) des Sendeconnectors möglicherweise aktualisieren, damit er dem erstellten Zertifikat entspricht (z. B. subdomain.mail.contoso.com). Wenn Sie andererseits ein Zertifikat erstellt haben, das die untergeordnete Domäne in den Feldern für den Antragstellernamen bzw. den alternativen Antragstellernamen enthält, müssen Sie den vollqualifizierten Domänennamen des Sendeconnectors nicht aktualisieren.

Daher muss der Contoso-Administrator den Sendeconnector nur dahingehend konfigurieren, dass der Parameter DomainSecureEnabled festgelegt ist. Hierzu führt der Contoso-Administrator den folgenden Befehl auf einem internen Exchange 2010-Server für den Sendeconnector "Internet" aus:

Set-SendConnector Internet -DomainSecureEnabled:$true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SendConnector.

Schritt 3c: Überprüfen der Sendeconnectorkonfiguration

Nach Abschluss der Konfigurationsänderungen muss der Administrator von Contoso überprüfen, ob der für die Domänensicherheit verwendete Sendeconnector ordnungsgemäß konfiguriert ist. Dazu muss der Administrator von Contoso den folgenden Befehl ausführen.

Get-SendConnector Internet | Format-List Name,DNSRoutingEnabled,FQDN,DomainSecureEnabled

Mit diesem Befehl werden die relevanten Parameter aufgelistet, die für die Domänensicherheit konfiguriert sind, sodass der Administrator von Contoso die Konfiguration überprüfen kann.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SendConnector.

Nach oben

Schritt 4: Konfigurieren der Sicherheit von Eingangsdomänen

Zum Konfigurieren der Sicherheit für Eingangsdomänen müssen die folgenden beiden Schritte ausgeführt werden:

1. Führen Sie das Cmdlet Set-TransportConfig aus, um die Domäne anzugeben, von der Sie domänengesicherte E-Mail-Nachrichten empfangen möchten.
2. Verwenden Sie auf dem Edge-Transport-Server die Exchange-Verwaltungsshell oder die Exchange-Verwaltungskonsole, um die Domänensicherheit auf dem Empfangsconnector zu aktivieren, von dem domänengesicherte E-Mail-Nachrichten empfangen werden sollen. Da für die Domänensicherheit die gegenseitige TLS-Authentifizierung erforderlich ist, muss TLS auch auf dem Empfangsconnector aktiviert sein.

Schritt 4a: Angeben der Empfängerdomäne in der Transportkonfiguration

Das Angeben der Domäne, mit der domänengesicherte E-Mail-Nachrichten empfangen werden sollen, ist ein relativ einfacher Vorgang. Zum Festlegen der Domäne führt der Contoso-Administrator den folgenden Befehl auf einem internen Exchange 2010-Server oder Verwaltungscomputer in der Shell aus:

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

Der Parameter TLSReceiveDomainSecureList akzeptiert eine mehrwertige Liste von Domänennamen. Der Befehl Set-TransportConfig ersetzt den gesamten Wert des Parameters TLSReceiveDomainSecureList durch den neuen Wert, der von dem Cmdlet Set-TransportConfig übergeben wurde. Wenn Sie bereits andere Domänen konfiguriert haben und eine neue Domäne hinzufügen möchten, müssen Sie daher die vorhandene Domäne in die Liste einschließen oder eine temporäre Variable verwenden. Im folgenden Beispiel wird gezeigt, wie Sie die Domäne "woodgrovebank.com" dem Parameter TLSReceiveDomainSecureList hinzufügen, ohne vorhandene Werte zu überschreiben.

$TransportConfig = Get-TransportConfig
$TransportConfig.TLSReceiveDomainSecureList += "woodgrovebank.com"
Set-TransportConfig -TLSReceiveDomainSecureList $TransportConfig.TLSReceiveDomainSecureList

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TransportConfig.

Schritt 4b: Konfigurieren des Empfangsconnectors

Der Empfangsconnector muss auf jedem Edge-Transport-Server konfiguriert werden, der E-Mail-Nachrichten von der Domäne akzeptiert, von der domänengesicherte E-Mail-Nachrichten empfangen werden sollen. Die Contoso-Umgebung ist so konfiguriert, dass ein einziger Empfangsconnector für das Internet, dessen Parameter Identity den Wert "Internet" aufweist, auf beiden Edge-Transport-Servern vorhanden ist. Um TLS beim Versand oder Empfang von E-Mail-Nachrichten an bzw. von der Woodgrove Bank zu aktivieren, muss der Contoso-Administrator daher sicherstellen, dass TLS auf dem standardmäßigen Empfangsconnector für das Internet auf beiden Edge-Transport-Servern aktiviert ist. Hierzu führt der Administrator von Contoso den folgenden Befehl auf "mail1.contoso.com" und "mail2.mail.contoso.com" aus.

Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ReceiveConnector.

Sie können den Empfangsconnector auch mithilfe der folgenden Schritte an der Exchange-Verwaltungskonsole konfigurieren.

1. Öffnen Sie auf dem Edge-Transport-Server die Exchange-Verwaltungskonsole, klicken Sie auf Edge-Transport, und klicken Sie anschließend im Ergebnisbereich auf die Registerkarte Empfangsconnectors.
2. Wählen Sie den Empfangsconnector aus, der E-Mail-Nachrichten von der Domäne akzeptiert, von der domänengesicherte E-Mail-Nachrichten empfangen werden sollen. In diesem Fall ist dies der Connector "Internet". Klicken Sie anschließend im Aktionsbereich auf Eigenschaften.
3. Wählen Sie auf der Registerkarte Authentifizierung die Optionen Transport Layer Security (TLS) und Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) aus, und klicken Sie dann auf OK.

Beachten Sie, dass durch die Angabe von TLS als Authentifizierungsmechanismus TLS nicht bei allen eingehenden Verbindungen erzwungen wird.

TLS wird aus folgenden Gründen für Verbindungen von der Woodgrove Bank erzwungen:

• Die Woodgrove Bank wird im Cmdlet Set-TransportConfig im Parameter TLSReceiveDomainSecureList angegeben.
• Der Parameter DomainSecureEnabled wird auf dem Empfangsconnector auf $true festgelegt.

Andere Absender, die nicht in dem Parameter TLSReceiveDomainSecureList des Cmdlets Set-TransportConfig aufgelistet sind, verwenden TLS nur dann, wenn TLS durch das sendende System unterstützt wird.

Nach oben

Schritt 5: Testen der domänengesicherten Nachrichtenübermittlung

Nachdem Sie domänengesicherte E-Mail-Nachrichten konfiguriert haben, können Sie die Verbindung testen, indem Sie die Leistungsprotokolle und die Protokollprotokolle überprüfen. Nachrichten, die ordnungsgemäß über den domänengesicherten Nachrichtenübermittlungspfad authentifiziert wurden, werden in Outlook als sichere Domänennachrichten angezeigt.

Leistungsindikatoren

Die Domänensicherheitsfunktion enthält unter MSExchange Sicherer Mailtransport die folgenden Leistungsindikatoren:

• Domänengesicherte empfangene Nachrichten
• Domänengesicherte gesendete Nachrichten
• Fehler bei domänengesicherten ausgehenden Sitzungen

Sie können anhand dieser Leistungsindikatoren eine neue Leistungsindikatorenprotokolldatei für die domänengesicherte Nachrichtenübermittlung erstellen, um die Anzahl der gesendeten und empfangenen Nachrichten und fehlerhafte MTLS-Sitzungen zu überwachen. Weitere Informationen zum Erstellen und Konfigurieren von Leistungsprotokolldateien finden Sie in der Hilfe zum MMC-Snap-In Leistungsprotokolle und Warnungen.

Protokollprotokolle

Sende- und Empfangsprotokollprotokolle können überprüft werden, um zu ermitteln, ob die TLS-Aushandlung erfolgreich war.

Zum Anzeigen detaillierter Protokolle legen Sie den Protokolliergrad für die Connectors, die von der Organisation zum Senden und Empfangen von domänengesicherten E-Mail-Nachrichten verwendet werden, auf Verbose fest. Hierfür führt der Administrator von Contoso Folgendes auf beiden Edge-Transport-Servern aus.

Set-ReceiveConnector Internet -ProtocolLoggingLevel Verbose

Um die Protokollprotokollierung für den Sendeconnector zu aktivieren, führt der Contoso-Administrator den folgenden Befehl auf einem internen Exchange-Server oder Verwaltungscomputer aus. Die Konfigurationsänderung wird dann mithilfe des EdgeSync-Diensts von Microsoft Exchange auf die Edge-Transport-Server repliziert.

Set-SendConnector Internet -ProtocolLoggingLevel Verbose

Ausführliche Informationen zu Syntax und Parametern finden Sie in den Themen Set-ReceiveConnector und Set-SendConnector.

Weitere Informationen zum Anzeigen von Protokollprotokollen finden Sie unter Konfigurieren der Protokollprotokollierung.

Nach oben