S/MIME Certificate in Office 365

S/MIME-Zertifikat in Office 365

Kevin Taylor

Die richtige Konfiguration des Vertrauens für S/MIME SSL-Zertifikate in Office 365 ist für Unternehmen, die eine sichere E-Mail-Kommunikation implementieren möchten, unerlässlich.

Office 365 behandelt das Vertrauen in SSL-Zertifikate anders als herkömmliche Exchange-Server vor Ort und erfordert spezielle Schritte, um eine ordnungsgemäße Validierung digital signierter E-Mails zu gewährleisten.

Office 365 SSL-Zertifikat-Vertrauensmodell

Office 365 verfolgt einen strengen Sicherheitsansatz, indem es Root-SSL-Zertifikaten standardmäßig nicht automatisch vertraut.

Diese erweiterte Sicherheitsmaßnahme trägt dazu bei, Unternehmen vor potenziell gefährdeten oder nicht autorisierten Zertifizierungsstellen (CA) zu schützen, bedeutet aber auch, dass Administratoren Vertrauensbeziehungen für S/MIME SSL-Zertifikate manuell konfigurieren müssen.

Der grundlegende Unterschied zwischen Office 365 und Exchange On-Premises liegt in den jeweiligen Vertrauensmodellen: Während Exchange Server traditionell auf den Windows-SSL-Zertifikatspeicher zurückgreift, unterhält Office 365 eine eigene isolierte SSL-Zertifikats-Vertrauensliste, die explizit über PowerShell-Befehle verwaltet werden muss.

Konfigurieren von S/MIME SSL-Zertifikatvertrauen

Um Vertrauen für S/MIME-SSL-Zertifikate in Office 365 einzurichten, müssen Administratoren zunächst die vollständige SSL-Zertifikatskette, einschließlich des Stammzertifikats und aller SSL-Zwischenzertifikate, von ihrer Zertifizierungsstelle beziehen. Diese SSL-Zertifikate müssen das richtige Format haben, in der Regel Base-64-codierte X.509 SSL-Zertifikate mit der Erweiterung .cer.

Der Prozess beinhaltet die Verwendung von Exchange Online PowerShell, um die SSL-Zertifikate in Office 365 hochzuladen. Administratoren müssen eine Verbindung zu Exchange Online PowerShell mit den entsprechenden administrativen Anmeldeinformationen herstellen, bevor sie die erforderlichen Befehle zum Importieren der SSL-Zertifikate ausführen.

Jedes SSL-Zertifikat in der Kette muss hinzugefügt werden, beginnend mit dem Root CA SSL-Zertifikat und anschließend mit allen dazwischenliegenden SSL-Zertifikaten. Dieser hierarchische Ansatz gewährleistet eine ordnungsgemäße Kettenvalidierung für S/MIME-signierte Nachrichten.

Beschaffung Ihrer SST SSL-Zertifikatsdatei

Es gibt mehrere moderne Methoden, um eine SST-Datei mit Ihren SSL-Zertifikaten zu erhalten. Wir empfehlen die Verwendung des Zertifikats-Snap-Ins der Microsoft Management Console (MMC), das auf allen modernen Windows-Systemen verfügbar ist.

Drücken Sie Windows + R, um das Dialogfeld Ausführen zu öffnen, geben Sie mmc ein und drücken Sie die Eingabetaste, um die Microsoft Management Console zu öffnen.

Klicken Sie in der Menüleiste auf File und wählen Sie dann Add/Remove Snap-in aus dem Dropdown-Menü.

Wählen Sie in der Liste Verfügbare Snap-Ins die Option Certificates und klicken Sie auf die Schaltfläche Add.

Wählen Sie Computer account, wenn Sie dazu aufgefordert werden, klicken Sie auf Next, wählen Sie dann Local computer und klicken Sie auf Finish.

Klicken Sie auf OK, um das Dialogfeld Snap-Ins hinzufügen oder entfernen zu schließen.

Erweitern Sie im linken Fensterbereich Certificates (Local Computer), dann Trusted Root Certification Authorities und klicken Sie auf Certificates.

Verwenden Sie Ctrl+Click, um alle relevanten Root-SSL-Zertifikate auszuwählen, die Sie in Ihre SST-Datei aufnehmen möchten.

Klicken Sie mit der rechten Maustaste auf eines der ausgewählten Zertifikate und wählen Sie All Tasks und dann Export aus dem Kontextmenü.

Klicken Sie im Assistenten für den Zertifikatexport auf Next auf dem Willkommensbildschirm.

Wählen Sie Microsoft Serialized Certificate Store (.SST) als Exportformat und klicken Sie auf Next.

Geben Sie einen Dateinamen und einen Speicherort für Ihre SST-Datei an und klicken Sie dann auf Next und Finish, um den Exportvorgang abzuschließen.

Alternativ können Sie auch PowerShell verwenden, um eine SST-Datei direkt aus Ihrem Zertifikatspeicher zu erstellen, indem Sie den folgenden Befehl verwenden:

Get-ChildItem -Path Cert:\LocalMachine\Root | Export-Certificate -FilePath C:\temp\certificates.sst -Type SST

Verbinden mit Office 365 über PowerShell

Bevor Sie Ihre SSL-Zertifikate importieren können, müssen Sie mit dem modernen Exchange Online PowerShell V3-Modul eine Verbindung zu Office 365 herstellen. Diese aktualisierte Methode bietet im Vergleich zu älteren Verbindungsmethoden eine höhere Sicherheit und bessere Funktionalität.

Installieren Sie zunächst das Exchange Online PowerShell V3-Modul, indem Sie den folgenden Befehl ausführen:

Install-Module -Name ExchangeOnlineManagement -force

Um sicherzustellen, dass Sie die neuesten Updates installiert haben, führen Sie den folgenden Befehl aus:

Update-Module -Name ExchangeOnlineManagement

Laden Sie das Exchange Online-Modul, indem Sie den folgenden Befehl ausführen:

Import-Module ExchangeOnlineManagement

Stellen Sie eine Verbindung zu Office 365 mit Ihrem entsprechenden Administratorkonto her, indem Sie den folgenden Befehl ausführen und die E-Mail-Adresse durch Ihr tatsächliches Administratorkonto ersetzen:

Connect-ExchangeOnline -UserPrincipalName admin@yourdomain.com

Nach erfolgreicher Verbindung können Sie mit dem Import des SSL-Zertifikats fortfahren, ohne dass Sie PowerShell-Sitzungen manuell verwalten müssen.

Importieren Ihrer SST-SSL-Zertifikatsdatei

Sobald Sie eine erfolgreiche Verbindung zu Office 365 über PowerShell hergestellt haben, können Sie Ihre SST-SSL-Zertifikatsdatei mit dem Befehl Set-SmimeConfig importieren. Führen Sie den folgenden Befehl aus und ersetzen Sie den Platzhalter filename durch Ihren tatsächlichen SST-Dateinamen und -pfad:

Set-SmimeConfig -SMIMECertificateIssuingCA (Get-Content <filename>.sst -Encoding Byte)

Nachdem die SST-SSL-Zertifikatsdatei installiert wurde, müssen Sie sicherstellen, dass die Verzeichnissynchronisierung (DirSync) die Änderungen in Ihrer Office 365-Umgebung synchronisiert.

Dieser Vorgang erfolgt in der Regel automatisch innerhalb von 30 Minuten nach dem SSL-Zertifikatsimport, kann aber auch manuell mit den Befehlen DirSyncConfigShell und start-onlinecoexistencesync ausgelöst werden, wenn eine sofortige Synchronisierung erforderlich ist.

Wenn Sie den SSL-Zertifikatsimport abgeschlossen haben, ist es wichtig, dass Sie Ihre PowerShell-Sitzung ordnungsgemäß schließen, um bewährte Sicherheitsverfahren beizubehalten. Führen Sie den folgenden Befehl aus, um Ihre Verbindung zu Office 365 sauber zu beenden:

Disconnect-ExchangeOnline

Sobald der Verzeichnissynchronisierungsprozess abgeschlossen ist, sollte jedes SSL-Zertifikat, das von der importierten Zertifizierungsstelle (CA) ausgestellt wurde, ordnungsgemäß verkettet und in Ihrer Office 365-Umgebung als vertrauenswürdig eingestuft werden.

Validierung und Testen Ihrer SSL-Zertifikat-Implementierung

Nach der Implementierung des Vertrauens in S/MIME SSL-Zertifikate ist ein gründliches Testen von entscheidender Bedeutung, um die ordnungsgemäße Funktionalität in Ihrer Organisation sicherzustellen. Administratoren sollten überprüfen, ob digital signierte E-Mails in verschiedenen Office 365-Clients, einschließlich Outlook Web Access (OWA), Desktop-Outlook-Clients und mobilen Geräten, ordnungsgemäß validiert werden.

Häufige Validierungsprobleme sind häufig auf unvollständige SSL-Zertifikatsketten oder falsche SSL-Zertifikatsformate zurückzuführen. Organisationen sollten eine detaillierte Dokumentation ihrer SSL-Zertifikatsbereitstellung führen und regelmäßig die Ablaufdaten der installierten SSL-Zertifikate überwachen, um Validierungsfehler zu vermeiden, die die sichere E-Mail-Kommunikation unterbrechen könnten.

Bewährte Praktiken für die S/MIME SSL-Zertifikatsverwaltung

Die Implementierung einer robusten Strategie zur Verwaltung von SSL-Zertifikaten ist für die Aufrechterhaltung der sicheren E-Mail-Kommunikation in Ihrem Unternehmen von entscheidender Bedeutung. Unternehmen sollten klare Verfahren für die Erneuerung und den Ersatz von SSL-Zertifikaten einrichten, um den kontinuierlichen Betrieb der S/MIME-Funktionalität ohne Dienstunterbrechungen sicherzustellen.

Regelmäßige Audits von vertrauenswürdigen SSL-Zertifikaten helfen dabei, unnötige oder abgelaufene SSL-Zertifikate aus der Office 365-Umgebung zu identifizieren und zu entfernen. Dieser proaktive Ansatz minimiert Sicherheitsrisiken und erhält die optimale Systemleistung aufrecht, während gleichzeitig sichergestellt wird, dass nur gültige und aktuelle SSL-Zertifikate in Ihrem Trust Store verbleiben.

Die Zusammenarbeit mit einer vertrauenswürdigen Zertifizierungsstelle wie Trustico® stellt sicher, dass Unternehmen ordnungsgemäß formatierte S/MIME SSL-Zertifikate erhalten, die die Anforderungen von Office 365 und die Sicherheitsstandards der Branche erfüllen.

Fehlerbehebung bei SSL-Zertifikatsproblemen

Bei Problemen mit der S/MIME-Validierung in Office 365 sollten Administratoren zunächst überprüfen, ob die gesamte SSL-Zertifikatskette ordnungsgemäß installiert ist. Dazu gehört auch die Überprüfung, ob alle erforderlichen Root- und Zwischen-SSL-Zertifikate vorhanden und in der Office 365-Umgebung korrekt konfiguriert sind.

SSL-Zertifikatsvalidierungsfehler werden häufig in Office 365-Protokollen angezeigt und liefern wertvolle Diagnoseinformationen für die Fehlerbehebung. Administratoren sollten diese Protokolle bei der Untersuchung von SSL-Zertifikatsvertrauensproblemen überprüfen und dabei besonders auf Kettenvalidierungsfehler und Ablaufwarnungen achten, die auf zugrundeliegende Probleme hinweisen können.

Die regelmäßige Überwachung des Zustands und der Validierung von SSL-Zertifikaten hilft Unternehmen, eine sichere E-Mail-Kommunikation aufrechtzuerhalten. Die Implementierung automatischer Warnmeldungen zu SSL-Zertifikatsproblemen ermöglicht eine schnelle Reaktion auf potenzielle Probleme, bevor sie sich auf die Benutzer auswirken und die Sicherheit Ihrer E-Mail-Infrastruktur gefährden.

Aufrechterhaltung einer sicheren E-Mail-Kommunikation

Office 365 erfordert eine manuelle Konfiguration des S/MIME-SSL-Zertifikatsvertrauens, um eine sichere E-Mail-Kommunikation zu gewährleisten. Das SST-Dateiformat ist für den gleichzeitigen Import mehrerer SSL-Zertifikate unerlässlich, während die PowerShell-Konnektivität zu Exchange Online für eine ordnungsgemäße SSL-Zertifikatsverwaltung obligatorisch ist.

Ein ordnungsgemäßes Testen aller Office 365-Clients gewährleistet eine umfassende S/MIME-Funktionalität in Ihrer gesamten Organisation. Die regelmäßige Wartung von SSL-Zertifikaten verhindert Sicherheitslücken und betriebliche Probleme, die Ihre E-Mail-Infrastruktur gefährden könnten.

Durch die Befolgung dieses umfassenden Implementierungsleitfadens können Unternehmen erfolgreich das Vertrauen in S/MIME SSL-Zertifikate in ihrer Office 365-Umgebung aufbauen und aufrechterhalten, um eine sichere und validierte E-Mail-Kommunikation für alle Benutzer zu gewährleisten und gleichzeitig die höchsten Standards für digitale Sicherheit einzuhalten.

Zurück zu Blog

Wählen Sie aus unseren S/MIME E-Mail-Produkten

Trustico® bietet eine breite Palette von S/MIME E-Mail-Produkten an. Wählen Sie aus den unten aufgeführten Produkten, um Ihre E-Mail-Adresse zu schützen.

Unser Atom/RSS-Feed

Abonnieren Sie den Trustico® Atom / RSS-Feed und Sie erhalten automatisch eine Benachrichtigung über den von Ihnen gewählten RSS-Feed-Reader, sobald ein neuer Artikel zu unserem Blog hinzugefügt wird.

Abonnieren über Atom / RSS