Allgemeine Verstaendnisfrage - Zertifikate - mobiler Zugriff

29/09/2007 - 10:24 von Jens Hoorsteed | Report spam
Hallo NG,

Ich habe eine eher allgemeine Verstaendnisfrage hinsichtlich Zertifikate und
mobilen Zugriff auf Exchange 2007 (sollte eigentlich auch fuer 2003 gelten).
Ich habe nun einiges zum Thema Exchange mit ISA Server veröffentlichen
gelesen und ich meine mir ist jetzt mal grundsaetzlich klar wie das
funktioniert. Wo ich allerdings auf der "Leitung" stehe (und da hoffe ich
das mir das jemand von Euch erklaernen kann) ist die Sache mit den
Zertifikaten (die Frage bezeiht sich hier auf jene Zertifikate die mit einer
eigenen Zertifizierungsstelle ausgestellt worden sind).

Die Frage ist welches Zertifikat muss ich jetzt auf meinem Client
installieren (zB. fuer OWA oder Outlook Anywhere) - das
Stammzertifizierungsstellenzertifikat (Zertifizierungsstelle Firma.de) oder
das fuer den jeweiligen Dienst ausgestellte (z.B. owa.firma.de) ?
Auf die schnelle wuerde ich selbst mal meinen das es das
Stammzertifizierungsstellen Zertifikat ist - aber ich habe in einigen
Beitraegen immer wieder gelesen das es das andere sein muss. Kann da wer
Licht in die Sache bringen ?

Vielen Dank im Voraus ?

Jens
 

Lesen sie die antworten

#1 Marc Jochems
29/09/2007 - 11:16 | Warnen spam
Hallo Jens

Ich habe eine eher allgemeine Verstaendnisfrage hinsichtlich
Zertifikate und mobilen Zugriff auf Exchange 2007 (sollte eigentlich
auch fuer 2003 gelten). Ich habe nun einiges zum Thema Exchange mit
ISA Server veröffentlichen gelesen und ich meine mir ist jetzt mal
grundsaetzlich klar wie das funktioniert. Wo ich allerdings auf der
"Leitung" stehe (und da hoffe ich das mir das jemand von Euch
erklaernen kann) ist die Sache mit den Zertifikaten (die Frage
bezeiht sich hier auf jene Zertifikate die mit einer eigenen
Zertifizierungsstelle ausgestellt worden sind).



OK! Dann musst du für die Client die in deiner Domàne sind schon nix
mehr tun, da die dem Root Zertifikat (Stammzertifikat) vertrauen und
somit auch allen von dieser CA ausgestellten Zertifikaten.

Die Frage ist welches Zertifikat muss ich jetzt auf meinem Client
installieren (zB. fuer OWA oder Outlook Anywhere) - das
Stammzertifizierungsstellenzertifikat (Zertifizierungsstelle
Firma.de) oder das fuer den jeweiligen Dienst ausgestellte (z.B.
owa.firma.de) ?



Dieses Zertifikat verwendest du nur am Exchange und am ISA. Dieses
Zertifikat enthàlt den Privaten und Öffentlichen Schlüssel. Client die
in deiner Domàne sind, verwenden den öffentlichen Teil des
Stammzertifikates um dem Zertifikat auf dem Exchange und ISA zu
Vertrauen bzw. es als Vertrauenswürdig anzusehen.

Auf die schnelle wuerde ich selbst mal meinen das es das
Stammzertifizierungsstellen Zertifikat ist - aber ich habe in einigen
Beitraegen immer wieder gelesen das es das andere sein muss. Kann da
wer Licht in die Sache bringen ?



Auf Client die nicht Mitglied deiner Domàne sind, Installierst du das
Stammzertifikat deiner CA (nur den Öffentlichen Teil) und speicherst das
in den Zertifikatsspeicher für Vertrauenswürdige Stammzertifikate. Somit
Vertrauen dann auch diese Clients allen Zertifikaten, die von deiner CA
kommen. Wichtig ist aber, dass du deine CA von exten über die
Rückrufliste erreichen kannst. Stell dir vor, du hast einem Client der
nicht in deiner Domàne ist dein Stammzertifikat installiert und du
verwendest jetzt ein Zertifikat, dass aus irgendeinem Grund nicht mehr
Sicher ist (weil es Geklaut oder Verloren gegangen ist inkl. Privaten
Schlüssel). Dann erklàrst du dieses Zertifikat als Ungültig. Alle
Clients in der Domàne bekommen das mit, da diese auf die Rückrufliste
der CA zugreifen können. Client im Internet natürlich erst mal nicht.
Daher muss diese Liste auch von extern erreichbar sein, damit auch diese
Clients erst mal prüfen können, ob das verwendete Zertifikat noch gültig
ist.
Dazu findest du weiter hinweise in der Windows Server Hilfe zum Thema
Zertifizierungsstelle.


Grüße

Marc Jochems

Ähnliche fragen