Sicherheit mobiler Geräte und Exchange 2007

Letztes Änderungsdatum des Themas: 2008-01-23

Microsoft Exchange Server 2007 verwendet SSL (Secure Sockets Layer) für erhöhte Sicherheit zwischen Clients und dem Servercomputer mit Exchange. Standardmäßig verwenden Exchange ActiveSync, Office Outlook Web Access und Outlook Anywhere SSL. Wenn Sie POP3 und IMAP4 aktivieren, können Sie SSL ebenfalls für diese Protokolle konfigurieren.

Damit Sie SSL mit Exchange ActiveSync verwenden können, müssen Sie sowohl auf dem Clientzugriffsserver als auch auf dem mobilen Gerät, das verwendet werden soll, über ein SSL-Zertifikat verfügen. Die Installation eines SSL-Zertifikats auf dem Computer mit Exchange 2007, auf dem die Serverfunktion ClientAccess ausgeführt wird, ist unkompliziert. Die Installation eines SSL-Zertifikats auf dem mobilen Gerät gestaltet sich dagegen etwas schwieriger, und auch nicht alle Geräte unterstützen alle Arten von Zertifikaten. Zusätzlich zur Verwendung von SSL für die Verschlüsselung der Kommunikation zwischen dem mobilen Gerät und dem Clientzugriffsserver können Sie ein digitales Zertifikat für die zertifikatbasierte Authentifizierung mit Exchange ActiveSync verwenden. In diesem Artikel werden die Schritte beschrieben, die Sie für die Verwendung eines SSL-Zertifikats zur Erhöhung der Sicherheit der Exchange ActiveSync-Kommunikation zwischen mobilen Geräten und dem Servercomputer mit Exchange durchführen müssen. Darüber hinaus werden die Unterschiede zwischen der Verschlüsselung mit SSL und der Verschlüsselung mit digitalen Zertifikaten für die Authentifizierung erläutert.

SSL im Vergleich zu zertifikatbasierter Authentifizierung

Es gibt zwei Hauptverwendungszwecke für ein digitales Zertifikat. Der erste besteht im Verschlüsseln des Kommunikationskanals zwischen dem Client und Server. Der zweite ist die Authentifizierung.

Wenn der Kommunikationskanal zwischen Client und Server mithilfe eines digitalen Zertifikats verschlüsselt wird, werden die Daten vor der Übermittlung mit dem öffentlichen Schlüssel aus dem Zertifikat des Servers verschlüsselt. Wenn der Client die Daten erhält, verwendet dieser seinen privaten Schlüssel zum Entschlüsseln der Daten.

Als Authentifizierung bezeichnet man den Vorgang, durch den ein Client und ein Server vor der Übertragung von Daten gegenseitig ihre Identitäten überprüfen. *In Exchange 2007 wird Authentifizierung für die Bestimmung verwendet, ob die Identität eines Benutzers oder Clients, der mit dem Servercomputer mit Exchange kommunizieren möchte, seine wahre Identität ist. Sie können mithilfe von Authentifizierung überprüfen, ob ein Gerät tatsächlich zu einer bestimmten Person gehört. Exchange ActiveSync verwendet standardmäßig Standardauthentifizierung. Sie können die Authentifizierungsmethode für die zertifikatbasierte Authentifizierung aber ändern, indem Sie die Authentifizierungsmethode für das virtuelle Exchange ActiveSync-Verzeichnis ändern. Weitere Informationen zur zertifikatbasierten Authentifizierung finden Sie unter Auswählen einer Authentifizierungsmethode für ActiveSync.

Installieren eines SSL-Zertifikats auf einem Clientzugriffsserver

Wenn Sie die Serverfunktion ClientAccess auf einem Computer installieren, der Exchange 2007 ausführt, wird standardmäßig ein virtuelles Verzeichnis für Exchange ActiveSync auf der IIS-Standardwebsite (Internetinformationsdienste) auf dem Servercomputer mit Exchange erstellt.

Das virtuelle Verzeichnis "Microsoft-Server-ActiveSync" wird automatisch für die Verwendung von SSL konfiguriert. Es wird empfohlen, diese Einstellung nicht zu ändern. Auf dem Clientzugriffsserver wird standardmäßig ein selbstsigniertes SSL-Zertifikat installiert. Exchange ActiveSync kann aber dieses selbstsignierte Zertifikat nicht zum Verschlüsseln der Kommunikation zwischen einem mobilen Gerät und dem Servercomputer mit Exchange verwenden. Sie müssen ein Windows-PKI-basiertes (Public-Key-Infrastruktur) Zertifikat installieren und konfigurieren oder ein Zertifikat eines vertrauenswürdigen Drittanbieters, bevor Sie SSL mit Exchange ActiveSync verwenden können.

Konfigurieren von Exchange ActiveSync für die Verwendung von SSL

Die einzigen Schritte, die Sie auf dem Clientzugriffsserver ausführen müssen, damit Exchange ActiveSync SSL verwendet, sind die Schritte, die Sie zur Installation eines SSL-Zertifikats auf dem Server befolgen müssen. Diese Schritte unterscheiden sich minimal in Abhängigkeit davon, ob Sie ein Zertifikat eines vertrauenswürdigen Drittanbieters oder ein Windows-PKI-Zertifikat verwenden. Weitere Informationen zum Konfigurieren eines Windows-PKI-Zertifikats bzw. zum Erlangen eines Zertifikats eines vertrauenswürdigen Drittanbieters finden Sie unter Informationen zu SSL für Clientzugriffsserver.

Konfigurieren von Exchange ActiveSync-Clients für die Verwendung von SSL

Zusätzlich zum Erlangen eines Windows-PKI-Zertifikats oder eines Zertifikats eines vertrauenswürdigen Drittanbieters müssen Sie ebenfalls die Exchange ActiveSync-Clientgeräte für die Verwendung von SSL konfigurieren. Exchange ActiveSync unterstützt nicht die Verwendung von selbstsignierten Zertifikaten zum Herstellen einer Verbindung mit Exchange 2007. Ein mobiles Gerät muss in der Lage sein, ein digitales Zertifikat über die gesamte Kette hinweg zu überprüfen. Eine Zertifikatkette besteht aus allen Zertifikaten, die für die Zertifizierung der durch das Endzertifikat identifizierten Person erforderlich sind. Hierzu gehören das Endzertifikat, sämtliche Zertifikate aller zwischengeschalteten Zertifizierungsstellen sowie das Stammzertifikat. Jede in der Kette zwischengeschaltete Zertifizierungsstelle hält ein Zertifikat, das von der eine Ebene darüber liegenden Zertifizierungsstelle ausgestellt wurde. Ein selbstsigniertes Zertifikat kann nicht über die gesamte Kette hinweg überprüft werden.

Bevor ein Windows-PKI-Zertifikat mit Exchange ActiveSync verwendet werden kann, müssen Sie ein Gerät haben, bei dem die Installation eines digitalen Zertifikats im persönlichen Zertifikatspeicher des Geräts zulässig ist. Windows Mobile 6.0-Geräte unterstützen diese Funktion, zahlreiche andere Geräte hingegen nicht. Informationen zum Bestimmen, ob Ihr Gerät die Zertifikatinstallation unterstützt, finden Sie in der Dokumentation Ihres Geräts.

Es wird empfohlen, für Exchange ActiveSync ein Zertifikat eines vertrauenswürdigen Drittanbieters zu verwenden. Auf Windows Mobile-Geräten sind einige der gängigsten Zertifikate vertrauenswürdiger Drittanbieter im Informationsspeicher für vertrauenswürdige Stammzertifikate des Geräts vorinstalliert. Wenn ein Zertifikat eines vertrauenswürdigen Drittanbieters nicht auf dem mobilen Gerät vorinstalliert ist, müssen Sie bestimmen, ob Ihr Gerät die Zertifikatinstallation unterstützt.

Wenn Sie eine Kopie des SSL-Zertifikats auf Ihrem Windows Mobile-Gerät installieren müssen, verwenden Sie die folgenden Verfahren.

So speichern Sie ein Zertifikat in einer Datei

1. Klicken Sie auf dem Clientzugriffsserver im ISS-Manager mit der rechten Maustaste auf die Standardwebsite oder auf das virtuelle Verzeichnis Microsoft-Server-ActiveSync, und klicken Sie dann auf Eigenschaften.

2. Klicken Sie auf die Registerkarte Verzeichnissicherheit.

3. Klicken Sie unter Sichere Kommunikation auf Zertifikat anzeigen.

4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Details.

5. Klicken Sie auf In Datei kopieren.

6. Klicken Sie im Assistenten für den Zertifikatexport auf Weiter.

7. Wählen Sie die Option Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.

8. Wählen Sie die Option DER-codiert-binär X.509 (.CER) aus, und klicken Sie dann auf Weiter.

9. Geben Sie einen Dateinamen ein, klicken Sie auf Weiter und anschließend auf Fertig stellen.

Nachdem Sie das Zertifikat in einer Datei gespeichert haben, können Sie es auf dem Gerät installieren. Das Verfahren zum Installieren des Zertifikats auf Ihrem Gerät ist abhängig vom Betriebssystem des Geräts. Wählen Sie das Verfahren aus, das für das Betriebssystem Ihres Geräts geeignet ist.

So installieren Sie mithilfe des Windows Mobile-Gerätecenters ein Zertifikat auf einem Gerät mit Windows Mobile 5.0 oder 6.0

1. Klicken Sie im Windows Mobile-Gerätecenter auf Dateiverwaltung und dann auf Inhalt des Geräts durchsuchen.

2. Ziehen Sie die im vorherigen Verfahren erstellte CER-Datei in den Ordner auf dem Gerät.

3. Klicken Sie auf dem Gerät auf Start und dann auf Datei Explorer.

4. Suchen Sie den in Schritt 2 ausgewählten Ordner.

5. Öffnen Sie die CER-Datei, und klicken Sie nach Aufforderung auf Ja.

Zahlreiche Geräte mit Windows Mobile 5.0 implementieren eine Sicherheitsrichtlinie, die die Installation von Zertifikatdateien direkt aus einer CER-Datei verhindert. Wenn das zuvor beschriebene Verfahren nicht abgeschlossen wird, verwenden Sie das folgende Verfahren.

Verwenden des Tools "SmartPhoneAddCert" zum Installieren eines Zertifikats auf einem Gerät mit Windows Mobile 5.0

1. Laden Sie das Tool SmartPhoneAddcert.exe herunter.

   Hinweis

   Einige Betreiber mobiler Geräte stellen eine signierte Version dieses Tools zur Verfügung. Wenn für Ihr Gerät eine signierte Version verfügbar ist, laden Sie die signierte Version vom Betreiber Ihres mobilen Geräts herunter.

2. Führen Sie SmartPhoneAddCert.exe aus, und extrahieren Sie die Inhalte in einen Ordner auf Ihrem Computer.

3. Kopieren Sie SmartPhoneAddCert.exe mithilfe von Desktop-ActiveSync oder mithilfe des Windows Mobile-Gerätecenters auf Ihr Gerät.

4. Erstellen Sie auf Ihrem Gerät einen Ordner namens Storage.

5. Kopieren Sie die CER-Datei in den Ordner Storage auf Ihrem Gerät.

6. Führen Sie SmartPhoneAddCert.exe aus. Wählen Sie die CER-Datei aus, die Sie in den Ordner Storage kopiert haben, um das Zertifikat zu installieren.

Weitere Informationen

Weitere Informationen zum Konfigurieren Ihres mobilen Geräts für die Synchronisierung mit Exchange 2007 sowie vollständige Anleitungen zum Konfigurieren von SSL für Windows Mobile-Geräte finden Sie im Windows Mobile-Gerätecenter.