Informationen zu SSL für Clientzugriffsserver

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-03-23

SSL (Secure Sockets Layer) ist ein Verfahren zum Schützen der Kommunikation zwischen Client und Server. Für einen Computer, auf dem Microsoft Exchange Server 2007 ausgeführt wird und die Serverfunktion ClientAccess installiert ist, wird SSL für die sichere Kommunikation zwischen dem Server und den Clients verwendet. Die Clients schließen mobile Geräte, die Computer innerhalb des Netzwerks einer Organisation und die Computer außerhalb des Netzwerks einer Organisation ein. Hierzu gehören Clients mit und ohne VPN-Verbindungen (Virtual Private Network).

Bei der Installation von Exchange 2007 wird die Clientkommunikation standardmäßig unter Verwendung von SSL verschlüsselt, wenn Sie Outlook Web Access, Exchange ActiveSync oder Outlook Anywhere verwenden. Standardmäßig ist für POP3 (Post Office Protocol, Version 3) und IMAP4 (Internet Message Access Protocol, Version 4, Rev1) keine Kommunikation über SSL konfiguriert.

SSL setzt voraus, dass Sie digitale Zertifikate verwenden. In diesem Thema erhalten Sie einen Überblick über die verschiedenen Arten von digitalen Zertifikaten und Informationen darüber, wie Sie den Clientzugriffsserver zur Verwendung dieser digitalen Zertifikate konfigurieren.

Übersicht über digitale Zertifikate

Digitale Zertifikate sind elektronische Dateien, die wie Onlinekennwörter funktionieren, um die Identität eines Benutzers oder eines Computers zu überprüfen. Sie werden verwendet, um den SSL-verschlüsselten Kanal zu erstellen, der für die Clientkommunikation verwendet wird. Ein Zertifikat ist eine digitale Bescheinigung von einer Zertifizierungsstelle (Certification Authority, CA), die die Identität des Zertifikatinhabers bestätigt und den Parteien eine sichere Kommunikation durch die Verschlüsselung von Daten ermöglicht.

Digitale Zertifikate bewirken Folgendes:

• Sie bestätigen, dass ihre Inhaber – Personen, Websites und sogar Netzwerkressourcen wie z. B. Router – wirklich das sind, was sie vorgeben zu sein.

• Sie schützen online ausgetauschte Daten vor Diebstahl und Manipulation.

Digitale Zertifikate können von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters oder einer Microsoft Windows-PKI (Public-Key-Infrastruktur) unter Verwendung von Zertifikatsdiensten ausgestellt werden oder selbstsigniert sein. Jeder Zertifikattyp hat Vor- und Nachteile. Alle Arten von digitalen Zertifikaten sind manipulationssicher und können nicht gefälscht werden.

Zertifikate können für verschiedene Verwendungen ausgestellt werden, beispielsweise zur Webbenutzerauthentifizierung, für S/MIME (Secure/Multipurpose Internet Mail Extensions), IPsec (Internet Protocol Security), TLS (Transport Layer Security) und zur Codesignierung.

Ein Zertifikat enthält einen öffentlichen Schlüssel und bindet diesen an die Identität einer Person, eines Computers oder eines Diensts mit dem entsprechenden privaten Schlüssel. Öffentliche und private Schlüssel werden vom Client und vom Server zum Verschlüsseln von Daten vor deren Übermittlung verwendet. Für Microsoft Windows-basierte Benutzer, Computer und Dienste wird eine Vertrauensstellung in einer Zertifizierungsstelle eingerichtet, wenn sich eine Kopie des Stammzertifikats im Informationsspeicher für vertrauenswürdige Stammzertifikate befindet und das Zertifikat einen gültigen Zertifizierungspfad enthält. Damit das Zertifikat gültig ist, darf es nicht widerrufen worden sein, und der Gültigkeitszeitraum darf nicht abgelaufen sein.

Zertifikattypen

Es gibt drei wichtige Typen von digitalen Zertifikaten: selbstsignierte Zertifikate, Windows PKI-generierte Zertifikate und Zertifikate von Drittanbietern.

Selbstsignierte Zertifikate

Bei der Installation von Exchange 2007 wird automatisch ein selbstsigniertes Zertifikat konfiguriert. Ein selbstsigniertes Zertifikat wird von der Anwendung signiert, die es erstellt hat. Antragsteller und Name des Zertifikats stimmen überein. Der Aussteller und der Antragsteller sind im Zertifikat definiert. Ein selbstsigniertes Zertifikat erlaubt einigen Clientprotokollen die Verwendung von SSL für die Kommunikation. Microsoft Exchange ActiveSync und Office Outlook Web Access können eine SSL-Verbindung unter Verwendung eines selbstsignierten Zertifikats herstellen. Outlook Anywhere unterstützt keine selbstsignierten Zertifikate. Selbstsignierte Zertifikate müssen manuell in den Informationsspeicher für vertrauenswürdige Stammzertifikate auf dem Clientcomputer oder auf dem mobilen Gerät kopiert werden. Wenn ein Client eine Verbindung zum Server über SSL herstellt und der Server ein selbstsigniertes Zertifikat anbietet, wird der Client aufgefordert zu überprüfen, ob das Zertifikat von einer vertrauenswürdigen Stelle ausgestellt wurde. Zwischen dem Client und dem Aussteller des Zertifikats muss eine ausdrückliche Vertrauensstellung bestehen. Fährt der Client fort, kann die SSL-Kommunikation fortgesetzt werden.

Kleine Organisationen lehnen die Verwendung eines Drittanbieterzertifikats oder die Installation einer eigenen PKI zur Ausstellung eigener Zertifikate häufig ab, weil sie die Ausgaben scheuen oder/und ihre Administratoren nicht über entsprechende Erfahrungen und Kenntnisse bei der Erstellung einer eigenen Zertifikathierarchie verfügen. Bei der Verwendung von selbstsignierten Zertifikaten sind die Kosten minimal, und die Einrichtung ist einfach. Das Erstellen einer Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung ist bei selbstsignierten Zertifikaten jedoch wesentlich schwieriger.

Windows PKI-Zertifikate

Der zweite Zertifikattyp ist das Windows PKI-generierte Zertifikat. Bei einer PKI (Public-Key-Infrastruktur) handelt es sich um ein System von digitalen Zertifikaten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen (Registration Authorities, RAs), das zum Prüfen und Authentifizieren der Gültigkeit der an der elektronischen Transaktion beteiligten Parteien die Kryptografie mit öffentlichen Schlüsseln verwendet. Wenn Sie eine Zertifizierungsstelle in eine Organisation implementieren, in der Active Directory verwendet wird, stellen Sie eine Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung zur Verfügung. Bei der Bereitstellung von Servern und der Infrastruktur zum Erstellen und Verwalten von Windows PKI-generierten Zertifikaten entstehen jedoch zusätzliche Kosten.

Zertifikatdienste sind für die Bereitstellung einer Windows PKI erforderlich und können über Software in der Systemsteuerung installiert werden. Zertifikatdienste können auf jedem Server in der Domäne installiert werden.

Wenn Sie Zertifikate von einer mit einer Domäne verbundenen Windows-Zertifizierungsstelle anfordern, können Sie über die Zertifizierungsstelle Zertifikate für Ihre eigenen Server oder Computer im Netzwerk anfordern oder signieren. So können Sie eine PKI verwenden, die einem Zertifikatdrittanbieter ähnelt, aber weniger kostspielig ist. Obwohl diese PKI-Zertifikate nicht wie andere Zertifikattypen öffentlich bereitgestellt werden können, wird der Requestor überprüft, wenn eine PKI-Zertifizierungsstelle das Zertifikat des Requestors mithilfe des privaten Schlüssels signiert. Der öffentliche Schlüssel dieser Zertifizierungsstelle ist Bestandteil des Zertifikats. Ein Server, in dessen Informationsspeicher für vertrauenswürdige Stammzertifikate sich dieses Zertifikat befindet, kann den öffentlichen Schlüssel zum Entschlüsseln des Requestorzertifikats verwenden und den Requestor authentifizieren.

Die Schritte zum Bereitstellen eines PKI-generierten Zertifikats gleichen denen zur Bereitstellung eines selbstsignierten Zertifikats. Sie müssen ebenfalls eine Kopie des vertrauenswürdigen Stammzertifikats aus dem PKI in den Informationsspeicher für vertrauenswürdige Stammzertifikate auf den Computern oder mobilen Geräten installieren, deren Verbindung mit Microsoft Exchange über SSL hergestellt werden soll.

Eine Windows PKI ermöglicht Organisationen, eigene Zertifikate zu veröffentlichen. Clients können Zertifikate von einer Windows PKI im internen Netzwerk anfordern und erhalten. Die Windows PKI kann Zertifikate erneuern oder widerrufen.

Weitere Informationen hierzu finden Sie unter den folgenden Themen:

• Weitere Informationen zu Zertifikaten finden Sie unter Public-Key-Infrastruktur für Windows Server 2003.

• Weitere Informationen zu bewährten Methoden zum Implementieren einer Windows PKI finden Sie unter Bewährte Methoden zum Implementieren einer Microsoft Windows Server 2003-Public-Key-Infrastruktur.

• Weitere Informationen zum Bereitstellen einer Windows-basierten PKI finden Sie im Betriebshandbuch für Windows Server 2003-PKI.

Vertrauenswürdige Zertifikate von Drittanbietern

Bei Drittanbieter- oder kommerziellen Zertifikaten handelt es sich um Zertifikate, die von einer Drittanbieter- oder kommerziellen Zertifizierungsstelle erzeugt werden und die Sie anschließend zur Verwendung auf Ihren Netzwerkservern erwerben können. Bei selbstsignierten und PKI-basierten Zertifikaten besteht das Problem, dass das Zertifikat vom Clientcomputer oder mobilen Gerät nicht automatisch als vertrauenswürdig eingestuft wird. Sie müssen sicherstellen, dass das Zertifikat in den Informationsspeicher für vertrauenswürdige Stammzertifikate auf Clientcomputern und anderen Geräten importiert wird. Bei kommerziellen Zertifikaten oder Zertifikaten von Drittanbietern tritt dieses Problem nicht auf. Die meisten kommerziellen CA-Zertifikate werden bereits als vertrauenswürdig eingestuft, da sich das Zertifikat bereits im vertrauenswürdigen Stammzertifikatspeicher befindet. Da der Aussteller als vertrauenswürdig eingestuft wird, gilt dies auch für das Zertifikat. Die Verwendung von Drittanbieterzertifikaten vereinfacht die Bereitstellung enorm.

Größere Organisationen oder Organisationen, die Zertifikate öffentlich bereitstellen müssen, sollten Drittanbieter- oder kommerzielle Zertifikate verwenden, auch wenn damit Kosten verbunden sind. Für kleine und mittlere Organisationen stellen kommerzielle Zertifikate unter Umständen nicht die beste Lösung dar, und es sollten andere Zertifikatoptionen in Betracht gezogen werden.

Auswählen eines Zertifikattyps

Bei der Auswahl des zu installierenden Zertifikattyps sind verschiedene Faktoren zu berücksichtigen. Ein Zertifikat ist nur gültig, wenn es signiert ist. Es kann selbstsigniert oder von einer Zertifizierungsstelle signiert sein. Für ein selbstsigniertes Zertifikat gelten bestimmte Einschränkungen. Beispielweise erlauben nicht alle mobilen Geräte dem Benutzer die Installation eines digitalen Zertifikats im Informationsspeicher für vertrauenswürdige Stammzertifikate. Ob Sie Zertifikate auf einem mobilen Gerät installieren können, hängt vom Hersteller des mobilen Geräts und vom Mobilfunkbetreiber ab. Einige Hersteller und Mobilfunkbetreiber deaktivieren den Zugriff auf den Informationsspeicher für vertrauenswürdige Stammzertifikate. In diesem Fall können Sie weder ein selbstsigniertes Zertifikat noch ein Zertifikat einer Windows PKI-Zertifizierungsstelle auf dem mobilen Gerät installieren.

Auf den meisten mobilen Geräten sind verschiedene vertrauenswürdige kommerzielle Zertifikate von Drittanbietern vorinstalliert. Um eine optimale Benutzererfahrung zu gewährleisten, implementieren Sie zertifikatbasierte Authentifizierung für Exchange ActiveSync, indem Sie Geräte mit Windows Mobile 6.0 und einem digitalen Zertifikat von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle verwenden.

Weitere Informationen

Weitere Informationen hierzu finden Sie unter den folgenden Themen:

• Verwalten von SSL für einen Clientzugriffsserver

• Konfigurieren von SSL-Zertifikaten für die Verwendung von mehreren Hostnamen für Clientzugriffsserver

• Installieren von Zertifikaten auf einem Gerät mit Windows Mobile