Search
Sponsors
| 16 May '04 - 11:37 | maarten goet Email security
Heeft iemand wel eens overwogen Email Security (S/MIME) te implementeren in hun Exchange 2003 omgeving? Zo complex als het opzetten was met vorige versies van Exchange, zo makkelijk kan het nu met Exchange 2003 Server. De enige vereiste is een Windows Server 2003 CA (Certificate Authority) met "auto enrollment". Zodra je Email Security geimplementeerd hebt, kunnen gebruikers hun email "encrypten" en "signen".Lees verder voor de installatie handleiding!
Vrijwel elke security oplossing is gebaseerd op een public en private key infrastructuur, wat inhoud dat je certificaten zult moeten gaan toewijzen op basis van een certificate authority (ca).
Voorbeeld: als gebruiker A een "signed" (digitaal ondertekend) bericht stuurt, zal Exchange het bericht gaan coderen met de private key van gebruiker A en creert een zogenaamde "hash", vervolgens wordt het bericht doorgestuurd naar de ontvanger. Het ontvangende email systeem zal proberen het bericht met de public key van gebruiker A te decoderen en maakt ook een "hash". Indien beide hashes overeenkomen, bevestigt het systeem dat het bericht ongewijzigd is en is vast komen te staan dat het bericht daadwerkelijk van gebruiker A afkomstig is.
Een ander voorbeeld: als gebruiker A een "encrypted" (versleuteld) bericht stuurt, zal Exchange het bericht gaan coderen met de public key van de ontvanger, daarna wordt het bericht verstuurd naar de ontvanger. Alleen de ontvanger kan het bericht lezen omdat deze het bericht met zijn private key weer kan decoderen.
Opzetten van een Certificate Authority
Zoals eerder gezegd, de vereiste voor het automatisch uitrollen van certificaten is dat je gebruik maakt van Windows Server 2003. Dit betekend niet dat je een 2003 Active Directory moet hebben, maar je moet je Active Directory wel met de ForestPrep en DomainPrep van 2003 opwaarderen door middel van adprep.exe. Tevens moet elke server die lid is van die Active Directory tenminste Windows 2000 met SP3 of hoger bevatten. Op die manier kan je een Windows Server 2003 CA in je Active Directory opnemen. In dit voorbeeld gaan we van een eigen PKI/CA uit.
Nadat je de CA in je netwerk geinstalleerd hebt, kan je alles in orde gaan maken voor het automatisch uitrollen van Exchange Server certificaten. We gaan eerst een "template" maken die automatisch uitrollen ondersteund via de "certificate template" snap-in. Kies de reeds aanwezige Exchange User Windows 2000 template, klik met de rechtermuisknop en kies "duplicate template" vanuit het context menu.
De volgende instellingen moet je invullen voor de template:
Het publiceren van alle certificaten in je Active Directory is nodig omdat de "Global Address List" van Exchange Server 2003 volledig gebaseerd is op Active Directory. Als je deze optie aangevinkt hebt, zijn alle certificaten beschikbaar vanuit je Active Directory.
In de "request handling" eigenschappen dien je te kiezen voor "Signature and Encryption" en moet je "key archiving" aanzetten om het mogelijk maken de certificaten te kunnen terughalen in het geval van calamiteiten. Uiteraard moet je het certificaat laten uitrollen zonder input van de gebruiker.
Het opnemen van de email naam is absoluut nodig voor een correcte werking.
Om zeker te zijn dat de oude Exchange 2000 template nooit meer gebruikt mag worden, moet je configureren dat deze template de oude overschrijft.
Om het automatisch uitrollen van deze template mogelijk te maken, moet je ervoor zorgen dat gebruikers de rechten hebben om te lezen, enrollen en auto-enrollen. Nadat je dit gedaan hebt, moet je deze template als nieuwe template voor de certificate authority aanwijzen. Dit kun je doen middels de CA snap-in.
De laatste stap is het aanzetten van auto-enrollment in een GPO. Daarna zul je een aantal dagen moeten wachten om zeker te zijn dat alle gebruikers hun certificaat hebben ontvangen. Dit kun je controleren middels de CA snap-in. Eventuele fouten vindt je in de "application log". (Handmatig ophalen van een certificaat kan eventueel vanaf het werkstation middels "certmgr.msc").
Meer hoef je niet te doen om je CA te configureren. Je kunt nu je Outlook clienten configureren voor Email Security. Ga daarvoor naar het "Options" menu en naar het tabblad "Security Settings". Je kunt eventueel instellen dat alle berichten digitaal ondertekend en/of versleuteld moeten worden.