Testen der TLS-Funktion mit "UM Test Phone"

Gilt für: Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-07-12

Eine der wichtigsten Möglichkeiten, um Ihnen dabei zu helfen, Ihre Infrastruktur für das Microsoft Exchange Server 2007 Unified Messaging (UM) und den Netzwerkverkehr, der durch Unified Messaging generiert wird, zu schützen, ist die Verwendung der MTLS (Mutual Transport Layer Security). Sie können MTLS verwenden, um den SIP-Verkehr (Session Initiation Protocol) zu verschlüsseln, der zwischen IP-Gateways, IP-PBX-Anlagen und anderen Exchange 2007-Servern und den Unified Messaging-Servern in Ihrem Netzwerk übertragen wird. Die Verwendung von MTLS zum Verschlüsseln von SIP-Daten hilft diese Daten zu schützen.

Nachdem Sie den Parameter VoIPSecurity im Cmdlet Set-UMDialPlan zum Aktivieren der VoIP-Sicherheit im UM-Wählplan konfiguriert haben, werden alle Unified Messaging-Server, die dem UM-Wählplan zugeordnet sind, für die Verwendung des sicheren Modus konfiguriert. Abhängig von dem zur MTLS-Aktivierung verwendeten Zertifikattyp müssen Sie jedoch zuerst die erforderlichen Zertifikate sowohl auf den Unified Messaging-Servern als auch den IP-Gateways und IP-PBX-Anlagen importieren und exportieren.

Dieses Thema erläutert, wie Ihre MTLS-Konfiguration mit dem UM Test Phone getestet werden kann, um sicherzustellen, dass sie ordnungsgemäß funktioniert.

Bevor Sie beginnen

Bevor Sie die Exchange-Anwendung UM Test Phone ausführen können, müssen Sie den Clientcomputer einrichten und konfigurieren und dazu die entsprechenden Audiogeräte, Audiotreiber, Lautsprecher und ein Mikrofon installieren. Die Exchange-Anwendung UM Test Phone leitet die Audiosignale an die Audiogeräte, die vom Unified Messaging-Server auf dem Clientcomputer konfiguriert wurden. Stellen Sie sicher, dass diese Geräte angeschlossen sind und ordnungsgemäß funktionieren, bevor Sie die Exchange-Anwendung UM Test Phone auf einem Clientcomputer ausführen. Weitere Informationen zum Einrichten von UM Test Phone finden Sie unter Einrichten von Unified Messaging Test Phone.

Damit Sie die folgenden Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein:

• Exchange-Organisationsadministrator-Rolle

• Mitgliedschaft in der Gruppe der lokalen Administratoren auf dem Computer, der UM Test Phone ausführt.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen und zu den Rechten, die für die Verwaltung von Exchange Server 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Zum Ausführen dieser Verfahren müssen zudem folgende Voraussetzungen erfüllt sein:

• Der Microsoft Exchange Unified Messaging-Dienst wird im Modus SipSecured ausgeführt.

• Wenn der Microsoft Exchange Unified Messaging-Dienst ein selbstsigniertes Zertifikat verwendet, sollte das Zertifikat aus dem Zertifikatspeicher Persönlich in eine Datei exportiert und dann an einem Speicherort gespeichert werden, auf den vom Hostcomputer aus zugegriffen werden kann, der die UM Test Phone-Anwendung ausführt.

• Ein UM-Wählplan wurde erstellt.

• Eine automatische UM-Telefonzentrale wurde erstellt.

• Der Unified Messaging-Server wurde einem UM-Wählplan hinzugefügt.

• Der Sicherheitsmodus für den UM-Wählplan wurde auf SipSecured festgelegt.

• Die Anwendung UM Test Phone wurde installiert und ordnungsgemäß konfiguriert.

• Weitere Informationen zu den mit Unified Messaging verwendeten verschiedenen Zertifikattypen finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit.

Verfahren

So generieren Sie ein selbstsigniertes Zertifikat für MTLS

1. Öffnen Sie die Exchange-Anwendung UM Test Phone durch Doppelklicken auf \bin\ExchangeUMTestPhone.exe.

2. Im Fenster Exchange UM Test Phone klicken Sie auf Extras und dann auf Setup.

3. Auf der Seite Setup klicken Sie unter Call Security Settings auf SIP secured (TLS), um ein selbstsigniertes Zertifikat zu generieren.

4. Überprüfen Sie, dass der Zertifikatspeicher Persönlich auf dem Hostcomputer, der die Exchange-Anwendung UM Test Phone ausführt, das selbstsignierte Zertifikat enthält. Überprüfen Sie, dass ein selbstsigniertes Zertifikat mit dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Hosts als Antragstellername generiert wurde und der vorgesehene Zweck für das Zertifikat Serverauthentifizierung ist.

   Hinweis   Wenn das selbstsignierte Zertifikat nicht generiert wird, überprüfen Sie, dass Sie Mitglied der Gruppe der lokalen Administratoren sind.

5. Exportieren Sie das selbstsignierte Zertifikat unter Verwendung des Formats Base-64-codiert X.509 (.CER).

6. Befolgen Sie die Schritte im Zertifikatexport-Assistenten, um das Zertifikat im Format Base-64-codiert X.509 (.CER) in eine Datei zu exportieren, und speichern Sie die Datei dann an einem Speicherort, auf den der Unified Messaging-Server zugreifen kann.

7. Verwenden Sie den Zertifikatimport-Assistenten, um das selbstsignierte Zertifikat in den Speicher Vertrauenswürdige Stammzertifizierungsstellen auf dem Unified Messaging-Server zu importieren.

   Wichtig

   Es wird kein selbstsigniertes Zertifikat generiert, wenn UM Test Phone ein weiteres Zertifikat im Zertifikatspeicher Persönlich findet, das den FQDN des Hostcomputers als Antragstellernamen aufführt und für das der vorgesehene Zweck Serverauthentifizierung ist.

Weitere Informationen zum Importieren und Exportieren von Zertifikaten finden Sie unter Importieren und Exportieren von Zertifikaten.

So generieren Sie eine Anforderung und importieren ein PKI-Zertifikat

1. Verwenden Sie den Assistenten zum Anfordern neuer Zertifikate, um eine Zertifikatanforderung unter Verwendung des FQDN des Hostcomputers als Antragstellernamen zu generieren, und geben Sie als vorgesehenen Zweck Serverauthentifizierung an. Verwenden Sie eine Zertifizierungsstelle (Certification Authority, CA), die in Ihrem Netzwerk konfiguriert ist, um ein Zertifikat für die Anforderung auszustellen.

2. Importieren Sie das Zertifikat in den Zertifikatspeicher Persönlich auf dem Hostcomputer, der die Exchange-Anwendung UM Test Phone ausführt.

3. Importieren Sie das vertrauenswürdige Stammzertifikat aus der PKI-Zertifizierungsstelle in den Speicher Vertrauenswürdige Stammzertifizierungsstellen auf dem Hostcomputer, der die Exchange-Anwendung UM Test Phone ausführt.

   Wichtig

   Sie können dieses Verfahren auch verwenden, um eine Zertifikatanforderung für einen Drittanbieter oder für ein kommerzielles Zertifikat zu generieren. Anschließend importieren Sie das Zertifikat in den Zertifikatspeicher Persönlich auf dem Hostcomputer. Serverauthentifizierung muss jedoch als vorgesehener Zweck angegeben werden.

So testen Sie einen Unified Messaging-Server im sicheren Modus

1. Öffnen Sie die Exchange-Anwendung UM Test Phone durch Doppelklicken auf \bin\ExchangeUMTestPhone.exe.

2. Im Fenster Exchange UM Test Phone klicken Sie auf Extras und dann auf Setup.

3. Geben Sie unter Servereinstellungen den Hostnamen des Unified Messaging-Servers im Feld Serveradresse ein.

4. Klicken Sie auf die Schaltfläche Make Call, um den Anruf an die automatische UM-Telefonzentrale zu übergeben. Die Schaltfläche Make Call stellt ein grünes Telefonsymbol im Fenster Exchange UM Test Phone dar.

5. Befolgen Sie die Sprachansagen für die automatische UM-Telefonzentrale.

6. Klicken Sie in der Exchange-Anwendung UM Test Phone auf Auflegen, um die Verbindung nach Abschluss des Tests zu trennen.

Weitere Informationen

• Weitere Informationen zum Testen eines Unified Messaging-Servers finden Sie unter Testen der UM-Serverfunktionen.

• Weitere Informationen zum Konfigurieren von MTLS für Unified Messaging finden Sie unter Grundlegendes zu Unified Messaging VoIP-Sicherheit.