Konfigurieren der zertifikatbasierten Authentifizierung für Exchange 2016

  • Artikel

Zertifikatbasierte Authentifizierung (Certificate Based Authentication, CBA) in Exchange ermöglicht es, Outlook im Web (früher als Outlook Web App bezeichnet) und Exchange ActiveSync Clients durch Clientzertifikate zu authentifizieren, anstatt einen Benutzernamen und ein Kennwort einzugeben.

Vor dem Konfigurieren von Exchange müssen Sie ein Clientzertifikat für jeden Benutzer ausstellen. Aufgrund der hohen Anzahl von beteiligten Zertifikaten sollten Sie eine automatisierte interne Public Key-Infrastruktur (PKI) verwenden, um die Clientzertifikate auszustellen und zu verwalten. Ein Beispiel einer automatisierten internen PKI ist Active Directory-Zertifikatdienste (AD CS). Weitere Informationen zu AD CS finden Sie unter Active Directory-Zertifikatdienste: Übersicht. Nachfolgend finden Sie weitere Informationen zu den Zertifikatanforderungen:

  • Das Clientzertifikat muss für die Clientauthentifizierung ausgestellt werden (z. B. für die standardmäßige Zertifikatvorlage Benutzer in AD CS).

  • Das Clientzertifikat muss den Benutzerprinzipalnamen (UPN) des Benutzers enthalten (in den Feldern Subject oder Subject Alternative Name des Zertifikats).

  • Das Clientzertifikat muss mit dem Benutzerkonto in Active Directory verknüpft sein.

  • Alle Server und Geräte, die am Zugriff auf Outlook im Web und ActiveSync beteiligt sind (einschließlich Proxyservern und Clientgeräten) müssen der gesamten Zertifikatkette für die Clientzertifikate (die Stammtzertifikate der Zertifizierungsstelle und alle Zwischenzertifizierungsstellen, die zum Ausstellen von Zertifikaten verwendet wurden) vertrauen.

Für CBA in Outlook im Web muss das Clientzertifikat auf dem lokalen Computer oder Gerät oder auf einer Smartcard installiert sein. Für CBA in ActiveSync muss das Clientzertifikat auf dem lokalen Gerät installiert sein. Sie können die Installation von Zertifikaten auf Geräten mithilfe einer Lösung für die mobile Geräteverwaltung wie Intune automatisieren . Weitere Informationen zu Intune finden Sie unter Übersicht über Microsoft Intune.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen dieser Aufgabe: 20 Minuten.

  • Bevor Sie diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter-Eintrag „IIS Manager" im Abschnitt „Berechtigungen für Outlook im Web" des Berechtigungen für Clients und mobile Geräte-Themas.

  • Informationen über das Öffnen der Exchange-Verwaltungsshell in Ihrer lokalen Exchange-Organisation finden Sie unter Open the Exchange Management Shell.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Server, Exchange Online oder Exchange Online Protection.

Schritt 1: Verwenden der zum Installieren des Features „Authentifizierung über Clientzertifikatzuordnung" auf allen Exchange-Servern

Alle Exchange-Server, die denselben Namespace und dieselben URLs nutzen, müssen dieselben Authentifizierungsmethoden verwenden. Sie müssen das Feature „Authentifizierung über Clientzertifikatzuordnung" auf allen Exchange-Servern installieren.

Führen Sie in der Exchange-Verwaltungsshell den folgenden Befehl aus:

Install-WindowsFeature Web-Client-Auth

Ausführliche Syntax- und Parameterinformationen finden Sie unter Installation-WindowsFeature.

Schritt 2: Verwenden von IIS-Manager zum Aktivieren der Active Directory-Clientzertifikatauthentifizierung für den Exchange-Server

  1. Öffnen Sie IIS-Manager auf dem Exchange-Server. Eine einfache Möglichkeit hierzu in Windows Server 2012 oder höher ist das Drücken der Windows-Taste + Q, Eingeben von inetmgr und Auswählen von Internetinformationsdienste-Manager (IIS) in den Ergebnissen.

  2. Wählen Sie den Server aus, und vergewissern Sie sich, dass die Ansicht Features am unteren Rand der Seite ausgewählt ist.

  3. Doppelklicken Sie im Abschnitt IIS auf Authentifizierung.

    Wählen Sie in IIS den Server und dann Authentifizierung aus.

  4. Wählen Sie auf der Seite Authentifizierung, die geöffnet wird, die Option Active Directory- Clientzertifikatauthentifizierung aus der Liste aus, und klicken Sie im Bereich Aktionen auf Aktivieren.

    Seite

    Es wird eine Warnung angezeigt, dass SLL aktiviert sein muss, damit die Active Directory-Clientzertifikatzuordnung verwendet werden kann.

Schritt 3: Verwenden des IIS-Managers zum Konfigurieren der Outlook im Web, des Exchange Admin Centers und der ActiveSync-Verzeichnisse, um Clientzertifikate zu erfordern

Hinweis: Sie müssen Clientzertifikate benötigen , da das Akzeptieren von Clientzertifikaten (zur Unterstützung sowohl der CBA als auch der regulären Authentifizierung mit Benutzername und Kennwort) nicht auf allen Arten von ActiveSync-Geräten konsistent funktioniert.

  1. Erweitern Sie in IIS-Manager den Server, erweitern Sie Websites, und erweitern Sie anschließend Standardwebsite.

  2. Wählen Sie das virtuelle Verzeichnis owa aus, und vergewissern Sie sich, dass die Ansicht Features am unteren Rand der Seite ausgewählt ist.

  3. Doppelklicken Sie im Abschnitt IIS auf SSL-Einstellungen.

  4. Überprüfen Sie auf der Seite SSL-Einstellungen, dass SSL erforderlich aktiviert ist, und wählen Sie für Clientzertifikate den Wert Erforderlich aus.

  5. In the Actions pane, click Apply.

    Wählen Sie in IIS in den SSL-Einstellungen des virtuellen Verzeichnisses unter Clientzertifikate die Option Erforderlich aus.

  6. Wählen Sie das virtuelle Verzeichnis Microsoft-Server-ActiveSync aus.

  7. Doppelklicken Sie im Abschnitt IIS auf SSL-Einstellungen.

  8. Überprüfen Sie auf der Seite SSL-Einstellungen, dass SSL erforderlich aktiviert ist, und wählen Sie für Clientzertifikate den Wert Erforderlich aus.

  9. In the Actions pane, click Apply.

Hinweis: Obwohl Sie diese Prozeduren über die Befehlszeile ausführen können, konfigurieren die Schritte möglicherweise keinen erforderlichen Registrierungsschlüssel. Sie können die früheren Verfahren in IIS-Manager verwenden (wodurch der Registrierungsschlüssel definitiv richtig festgelegt wird), oder Sie müssen überprüfen, ob der Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo\0.0.0.0:443 auf den Wert 1 festgelegt ist, nachdem Sie die Prozeduren in der Befehlszeile ausgeführt haben.

Um diese Prozeduren in der Befehlszeile auszuführen, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Exchange-Server (ein Eingabeaufforderungsfenster, das Sie öffnen, indem Sie Als Administrator ausführen auswählen), und führen Sie die folgenden Befehle aus:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/access /sslFlags:"Ssl, SslRequireCert" /commit:apphost

Schritt 4: Verwenden der Exchange-Verwaltungsshell, um die Authentifizierung anderer Authentifizierungsmethoden in den virtuellen Verzeichnissen Outlook im Web, Exchange Admin Center und ActiveSync zu deaktivieren

Nachdem Sie Clientzertifikate für die Authentifizierung benötigen, müssen Sie alle anderen Authentifizierungsmethoden in den virtuellen Verzeichnissen Outlook im Web, Exchange Admin Center (EAC) und ActiveSync deaktivieren. Standardmäßig ist nur die Standardauthentifizierung und die Formularauthentifizierung aktiviert.

  1. Ersetzen Sie in der Exchange-Verwaltungsshell ServerName> durch den Namen Ihres Exchange-Servers, und führen Sie den folgenden Befehl aus, um alle anderen Authentifizierungsmethoden im Outlook im Web virtuellen Verzeichnis zu deaktivieren:<

    Set-OwaVirtualDirectory "<ServerName>\owa (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false -OAuthAuthentication $false

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-OwaVirtualDirectory.

  2. Ersetzen Sie in der Exchange-Verwaltungsshell ServerName> durch den Namen Ihres Exchange-Servers, und führen Sie den folgenden Befehl aus, um alle anderen Authentifizierungsmethoden im virtuellen EAC-Verzeichnis zu deaktivieren:<

    Set-EcpVirtualDirectory "<ServerName>\ecp (Default Web Site)" -BasicAuthentication $false -WindowsAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -AdfsAuthentication $false

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-EcpVirtualDirectory.

  3. Ersetzen Sie <ServerName> durch den Namen Ihres Exchange-Servers, und führen Sie den folgenden Befehl aus, um alle anderen Authentifizierungsmethoden für das virtuelle ActiveSync-Verzeichnis zu deaktivieren:

    Set-ActiveSyncVirtualDirectory "<ServerName>\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled $false -WindowsAuthEnabled $false

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ActiveSyncVirtualDirectory.

Schritt 5: Verwenden des IIS-Managers zum Aktivieren der Clientzertifikatzuordnung für die virtuellen Verzeichnisse Outlook im Web, Exchange Admin Center und ActiveSync

Wichtig

Nachdem Sie diesen Schritt ausgeführt haben, kann durch Ausführen des Cmdlets Set-ActiveSyncVirtualDirectory die Clientzertifikatzuordnung für ActiveSync deaktiviert werden.

  1. Erweitern Sie in IIS-Manager den Server, erweitern Sie Websites, und erweitern Sie anschließend Standardwebsite.

  2. Wählen Sie das virtuelle Verzeichnis owa aus, und vergewissern Sie sich, dass die Ansicht Features am unteren Rand der Seite ausgewählt ist.

  3. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  4. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu system.webServer>security>authentication>clientCertificateMappingAuthentication.

    Wählen Sie clientCertificateMappingAuthentication in Configuration Manager in IIS für das virtuelle Verzeichnis owa aus.

  5. Legen Sie den Wert enabled auf True fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

    Aktivieren Sie den ClientCertificateMappingAuthentication-Wert im Konfigurations-Editor in IIS für das virtuelle Verzeichnis owa.

  6. Wählen Sie das virtuelle Verzeichnis ecp aus.

  7. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  8. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu system.webServer>security>authentication>clientCertificateMappingAuthentication.

  9. Legen Sie den Wert enabled auf True fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

  10. Wählen Sie das virtuelle Verzeichnis Microsoft-Server-ActiveSync aus.

  11. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  12. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu system.webServer>security>authentication>clientCertificateMappingAuthentication.

  13. Legen Sie den Wert enabled auf True fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

Hinweis: Um diese Verfahren von der Befehlszeile aus durchzuführen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten auf dem Exchange-Server, und führen Sie die folgenden Befehle aus:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

Schritt 6 (optional): Hinzufügen des Stammzertifikats einer Drittanbieterzertifizierungsstelle zum NTAuth-Speicher des Unternehmens in Active Directory

Sie müssen diesen Schritt nur ausführen, wenn Sie nicht AD CS verwenden, um die Clientzertifikate auszustellen. Diese Einstellung gibt an, dass die Zertifizierungsstelle (CA) vertrauenswürdig für das Ausstellen von Clientzertifikaten für die Active Directory-Authentifizierung ist.

  1. Exportieren Sie das Stammzertifikat der Zertifizierungsstelle in eine Base-64-codierte oder DER-binärcodierte X.509.CER-Datei. In diesem Beispiel verwenden wir „C:\Data\CARoot.cer".

  2. Öffnen Sie auf einem beliebigen Domänenmitgliedsserver (z. B. auf einem Domänencontroller oder auf einem Exchange-Server) eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

    %windir%\system32\certutil.exe -enterprise -addstore NTAuth "C:\Data\CARoot.cer"

    Beachten Sie, dass Sie für diesen Schritt Mitglied in der Gruppe Organisations-Admins sein müssen.

Schritt 7 (optional): Verwenden von IIS-Manager zur Erhöhung des Werts „UploadReadAheadSize" für die virtuellen Verzeichnisse Outlook im Web und ActiveSync

Wenn auf Ihren Clients Fehler auftreten, müssen Sie möglicherweise die uploadReadAheadSize -Werte in der IIS-Metabase erhöhen, um die Anforderungsheader zu berücksichtigen.

  1. Erweitern Sie in IIS-Manager den Server, erweitern Sie Websites, und erweitern Sie anschließend Standardwebsite.

  2. Wählen Sie das virtuelle Verzeichnis owa aus, und vergewissern Sie sich, dass die Ansicht Features am unteren Rand der Seite ausgewählt ist.

  3. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  4. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu systemwebServerserverRuntime>.

    Wählen Sie serverRuntime im Konfigurations-Editor in IIS für das virtuelle Verzeichnis owa aus.

  5. Legen Sie den Wert uploadReadAheadSize auf 49152 fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

    Ändern Sie den UploadReadAheadSize-Wert im Konfigurations-Editor in IIS für das virtuelle Verzeichnis owa.

  6. Wählen Sie das virtuelle Verzeichnis ecp aus.

  7. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  8. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu systemwebServerserverRuntime>.

  9. Legen Sie den Wert uploadReadAheadSize auf 49152 fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

  10. Wählen Sie das virtuelle Verzeichnis Microsoft-Server-ActiveSync aus.

  11. Doppelklicken Sie im Abschnitt Verwaltung auf Konfigurationseditor.

  12. Klicken Sie auf der Seite Konfigurations-Editor auf das Dropdownmenü abschnitt, und navigieren Sie zu systemwebServerserverRuntime>.

  13. Legen Sie den Wert uploadReadAheadSize auf 49152 fest, und klicken Sie im Bereich Aktionen auf Übernehmen.

Hinweis: Um diese Verfahren von der Befehlszeile aus durchzuführen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten auf dem Exchange-Server, und führen Sie die folgenden Befehle aus:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webserver/serverRuntime /uploadReadAheadSize:49152