Konfigurieren von Outlook Web Access für die Verwendung einer Smartcard

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2008-03-19

In diesem Thema wird erläutert, wie die Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell und Internetinformationsdienste-Manager zum Konfigurieren von  Microsoft Office Outlook Web Access für die Verwendung von Smartcards für die Benutzerauthentifizierung verwendet werden.

Smartcards bieten eine nicht manipulierbare und mobile Sicherheitslösung für Aufgaben wie z. B. Clientauthentifizierung, Codesignierung und Sicherung von E-Mail.

Smartcards bieten die folgenden Vorteile:

  • Nicht manipulierbarer Speicher zum Schutz privater Schlüssel und anderer Formen persönlicher Informationen.

  • Isolierung sicherheitsrelevanter Berechnungen für die Authentifizierung, digitale Signaturen und den Schlüsselaustausch von anderen Komponenten des Computers, die diese Daten nicht benötigen. Diese Vorgänge werden auf der Smartcard ausgeführt.

  • Portabilität von Anmeldeinformationen und anderen privaten Informationen zwischen Computern, die geschäftlich, privat oder unterwegs genutzt werden.

Bevor Sie beginnen

Für die Smartcardauthentifizierung ist SSL-Verschlüsselung (Secure Sockets Layer) erforderlich. Standardmäßig verwendet Outlook Web Access SSL. Wenn Sie Outlook Web Access so konfiguriert haben, dass kein SSL erforderlich ist, und Ihre Benutzer sollen Smartcards verwenden, müssen Sie Outlook Web Access so neu konfigurieren, dass SSL erforderlich ist. Siehe Konfigurieren virtueller Outlook Web Access-Verzeichnisse für SSL.

Außerdem müssen Sie ein Zertifikat von einer Zertifizierungsstelle erwerben und konfigurieren. Weitere Informationen zum Implementieren und Verwalten von Smartcards finden Sie in den folgenden Ressourcen:

Smartcards stellen eine besondere Art der Zertifikatauthentifizierung zur Verfügung. Nachdem Sie sichergestellt haben, dass der Clientzugriffsserver so konfiguriert wurde, dass SSL erforderlich ist, und ein Zertifikat von einer Zertifizierungsstelle erworben und konfiguriert haben, müssen Sie den Clientzugriffsserver für die Verwendung von Zertifikatauthentifizierung konfigurieren.

Damit Sie die nachstehenden Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein: die Rolle Exchange-Serveradministrator und die Mitgliedschaft in der lokalen Gruppe Administratoren für den Zielserver.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen sowie zu den Rechten, die für die Verwaltung von Exchange Server 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Verfahren

So verwenden Sie IIS-Manager 6.0 zum Konfigurieren der virtuellen Outlook Web Access-Verzeichnisse für die Verwendung von Zertifikatauthentifizierung

  1. Klicken Sie im IIS-Manager mit der rechten Maustaste auf Websites, und klicken Sie anschließend auf Eigenschaften.

  2. Stellen Sie auf der Registerkarte Verzeichnissicherheit sicher, dass das Kontrollkästchen Windows-Verzeichnisdienstzuordnung aktivieren aktiviert ist.

  3. Klicken Sie auf OK, um die Websites Eigenschaften zu schließen.

  4. Erweitern Sie die Website, auf der Sie Ihre virtuellen Outlook Web Access-Verzeichnisse hosten. Dies ist normalerweise die Standardwebsite. Klicken Sie mit der rechten Maustaste auf das virtuelle Outlook Web Access-Verzeichnis, das Sie für die Verwendung von Zertifikatauthentifizierung konfigurieren möchten, und klicken Sie dann auf Eigenschaften.

  5. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  6. Aktivieren Sie im Abschnitt Sichere Kommunikation das Kontrollkästchen Sicheren Kanal voraussetzen (SSL), wenn es nicht bereits aktiviert ist.

    Hinweis

    Wenn Sie ein SSL-Zertifikat verwenden, das während der Microsoft Exchange-Installation erstellt wurde, erhalten Sie eine Fehlermeldung, die Sie benachrichtigt, dass es sich nicht um ein vertrauenswürdiges Zertifikat handelt. Stellen Sie sicher, dass Sie die Zertifizierungsstelle, die das Zertifikat ausgegeben hat, als vertrauenswürdig einstufen, oder verwenden Sie ein SSL-Zertifikat, das Ihre Zertifizierungsstelle als vertrauenswürdig einstuft.

  7. Wählen Sie im Abschnitt Clientzertifikate die Option Clientzertifikate anfordern aus.

  8. Wählen Sie Clientzertifikatzuordnung aktivieren aus.

  9. Klicken Sie auf OK, um Ihre Änderungen zu speichern.

Nachdem Sie IIS-Manager so konfiguriert haben, dass Zertifikatauthentifizierung verwendet wird, müssen Sie alle Authentifizierungsmethoden für die virtuellen Outlook Web Access-Verzeichnisse in Exchange deaktivieren. Sie können zu diesem Zweck die Exchange-Verwaltungskonsole oder die Exchange-Verwaltungsshell verwenden.

So verwenden Sie die Exchange-Verwaltungskonsole zum Konfigurieren von Outlook Web Access ohne Authentifizierungsmethode

  1. Klicken Sie in der Exchange-Verwaltungskonsole auf Serverkonfiguration und dann auf Clientzugriff.

    Hinweis

    Zum Aktivieren von Outlook Web Access für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  2. Öffnen Sie auf der Registerkarte Outlook Web Access die Eigenschaften des virtuellen Verzeichnisses, das für anonymen Zugriff konfiguriert werden soll.

  3. Klicken Sie auf die Registerkarte Authentifizierung.

  4. Aktivieren Sie Mindestens ein Standardauthentifizierungsverfahren verwenden.

  5. Wählen Sie keine Authentifizierungsmethode aus. Wenn eine Authentifizierungsmethode ausgewählt ist, klicken Sie auf das Kontrollkästchen, um es zu deaktivieren.

  6. Klicken Sie auf OK.

  7. Es wird eine Warnung angezeigt, dass Sie keine Authentifizierungsmethode ausgewählt haben, und Sie werden angewiesen, die Exchange-Verwaltungsshell zu verwenden, um eine Authentifizierungsmethode festzulegen. Klicken Sie auf OK, um die Warnung zu schließen.

  8. Starten Sie IIS neu, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

So verwenden Sie die Exchange-Verwaltungsshell zum Konfigurieren von Outlook Web Access ohne Authentifizierungsmethode

  1. Öffnen Sie die Exchange-Verwaltungsshell auf dem Clientzugriffsserver, der die zu konfigurierenden virtuellen Outlook Web Access-Verzeichnisse enthält.

    Hinweis

    Zum Aktivieren von Outlook Web Access für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  2. Führen Sie den folgenden Befehl aus, um die formularbasierte Authentifizierung für das virtuelle Verzeichnis /owa und die Site mit dem Namen "Standardwebsite" zu deaktivieren.

    Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
    
  3. Führen Sie den folgenden Befehl aus, um alle Formen von Standardauthentifizierung für das virtuelle Verzeichnis /owa und die Site mit dem Namen "Standardwebsite" zu deaktivieren.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
    
  4. Wenn die letzte aktive Authentifizierungsmethode deaktiviert wurde, wird eine Warnung angezeigt, dass keine Authentifizierungsmethode für das virtuelle Verzeichnis angegeben ist, und Sie werden angewiesen, das Cmdlet Set-OwaVirtualDirectory zu verwenden, um eine Authentifizierungsmethode anzugeben. Ignorieren Sie diese Warnung.

  5. Starten Sie IIS neu, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

Weitere Informationen zu Syntax und Parametern finden Sie unter Set-OwaVirtualDirectory.

Weitere Informationen

Weitere Informationen zu den Authentifizierungsmethoden für Outlook Web Access finden Sie unter Verwalten der Sicherheit von Outlook Web Access.