Office 365 Trusted Zertifikate
In den meisten Fällen machen sich Administratoren wenig Gedanken über erforderliche Zertifikate. Solange der Zugriff auf die Cloud erfolgt, muss Microsoft den SSL-Tunnel terminieren und das Zertifikat liefern. Und da achtet schon Office 365 darauf, dass alles korrekt ist. Diese Seite beschreibt aber die "Gegenrichtung", wenn Office 365 Dienste auf Services ihrer On-Prem-Umgebung zugreifen und dabei SSL erforderlich wird. Dann benötigen Sie ein Zertifikat, welches von den Office 365 Diensten als "vertrauenswürdig" eingestuft wird. Damit scheidet ihre "eigene PKI" aus und selbst die öffentlichen Zertifikate sind nicht immer alle gleich gut.
Dienste mit Office 365 Callback
Für einige Dienste ist ihnen sicher bekannt, dass Office 365 auch einen Zugriff auf ihre On-Prem-Umgebung braucht. Es gibt aber auch Dienste, da fällt es nicht sofort auf.
- Exchange Hybrid mit SMTP
Die direkte Verbindung des Office 365 Tenant mit ihrer On-Premises-Umgebung wird per M-TLS abgesichert, d.h. Office 365 sendet ihnen Mails an On-Prem-Benutzer per SMTP und erwartet dazu ihr Zertifikat. Wenn Exchange Online diesem Zertifikat nicht vertraut, bekommen Sie keine Mails von ihrem Office 365 Tenant an lokale Anwender. Mails von anderen Tenants sind hingegen durchaus möglich. - Exchange Hybrid EWS
Für den Hybrid Mode ist EWS eine essentielle Komponenten, damit die Office 365 Benutzer auch die Frei/Belegt-Zeiten der On-Prem Postfächer einsehen können. Zudem ist EWS bei Hybrid der Zugang von Office 365 um Postfächer in die Cloud über die Replikation zu migrieren. - Skype for Business Edge
Wenn Sie die Seite SIP-Wege gelesen haben, dann erkennen Sie, dass für die Federation mit Office 365 aber erst recht auch beim Hybrid-betrieb die Office 365 Edge Server dem Zertifikat auf ihrem Edge-Server vertrauen müssen. - SharePoint Hybrid
Auch mit SharePoint gibt es durchaus einen Hybrid-Mode. So kann ein Anwender in Sharepoint Online "suchen" und die Ergebnisliste enthält auch Dokumente der "On-Prem-Umgebung. Dazu fragt der SharePoint Suchdienste über HTTPS eine On-Prem-Umgebung ab. - ADFS
Vielen Administratoren ist nicht bekannt, dass ADFS durchaus auch von Office 365 angefragt wird. Normalerweise ist es ja so, dass ein Client vom angesprochenen Dienst auf den ADFS-Server verwiesen wird, damit dieser ein Ticket ausstellt und der Client dann zum Service zurück geht. Es gibt aber Clients wie z:B. Outlook, die dieses Verfahren noch nicht unterstützen. Dann erwartet Office 365 vom Anwender dass er sein Kennwort noch einmal eingibt und an die Cloud sendet. Office 365 geht dann im Auftrag des Anwender an den ADFS-Server um ein Ticket für die nachgelagerten Dienste zu erhalten. Dies ist bei Exchange z.B. der Fall
Bislang hatte ich mit diesen vier Diensten entsprechende "Erfahrungen" mit falschen Zertifikaten auf der On-Prem-Seite gemacht. Schauen wir uns die Dienste etwas genauer an:
Das "richtige" Zertifikat"
Die meisten Zertifikate sind dahingehend "richtig", dass Sie die folgenden Punkte erfüllen.
- Name im Zertifikat (CN und SAN)
Die Office 365-Dienste greifen immer über einen öffentlichen FQDN auf die Dienste zu, den sie im DNS auch eingetragen habe. Interne Namen oder IP-Adressen funktionieren schon daher nicht, weil sie keine öffentliche PKI finden, die solche Zertifikatsanforderungen signiert. - Zeitraum
Zertifikate haben ein Start und ein Ende-Datum. Diese Anforderung ist auch kein Problem, da eine PKI immer ab heute bis zum Laufzeitende signiert. Legen Sie sich aber eine Erinnerung an, wenn das Zertifikat abläuft. - CRL erreichbar
Office 365 prüft, ob das Zertifikat vielleicht nicht doch zurückgezogen wurde. Auch das ist kein Problem mit öffentlichen PKIs, die die CRL veröffentlichen - Usage
Office 365 nutzt keine "besonderen" Usages. Quai jedes "WebServer Zertifikat" ist ausreichend - SHA256 Key (Statt SHA-1)
Auch die Abkehr von schwachen SHA1-Signierungen haben die öffentlichen PKIs schon im Jahre 2014/2015 begonnen. Sie bekommen von hier gar keine SHA1-Zertifikate mehr, die Office 365 vielleicht nicht mehr als vertrauenswürdig einstufen könne. - Zwischenzertifikate in der Chain
Hier müssen Sie noch mal ein Auge drauf haben, dass die Zwischenzertifizierungsstellen ihres Zertifikats auch im richtigen Zertifikatsspeicher ihres Computers liegen., so dass der IIS die Kette mit zum Client, in dem Fall ja ein Office 365 Server, ausliefern kann
Aber ein Punkt in dieser Liste fehlt noch und das ist der maßgeblich für die Akzeptanz durch Office 365:
- RootCA
Schlussendlich muss die Zertifikatskette aber bis zu einer Stammzertifizierungskette zurück gehen, die von Office 365 als "vertrauenswürdig" gelistet ist.
Office 365 und Stammzertifizierungsstellen
Auf der Suche nach einer Liste der von Office 365 vertrauenswürdig eingestuften Stammzertifizierungsstellen habe ich feststellen müssen, dass es keine einheitliche Liste (Stand Dez 2016) dazu gibt. Ich habe aber sehr wohl gemerkt, dass nicht jede StammCA auch wirklich "geeignet" ist.
Am besten lassen Sie sie sich von ihrer PKI bestätigen, dass Sie auf einer StammCA aufbaue, die von Office 365 als "Trusted" geführt wird
Beachten Sie dazu auch die Seite CA-Auswahl
Kein "Automatic Root Certificates Update"
in Office 365
Anscheinend nutzt Office 365 nicht die eingebaute Funktion,
eventuell fehlende Stammzertifikatsstellen dynamisch zu
installieren.
- Certificate Support and the Update Root Certificates
Component
http://technet.microsoft.com/en-us/library/bb457160.aspx
http://technet.microsoft.com/en-us/library/cc733922(WS.10).aspx - Automatic Root Certificates Update Configuration
http://technet.microsoft.com/en-us/library/cc734018(WS.10).aspx
Insofern ist die Liste der "Microsoft Trusted Root Certificate" -Mitglieder auch keine gute Hilfe:
- Microsoft Trusted Root Certificate
Program: Participants
http://aka.ms/trustcertpartners - Trusted root certification authorities
for federation trusts
https://technet.microsoft.com/en-us/library/ee332350.aspx
Aktuell kann ich nur dazu raten bei Diensten, die von Office 365 auch eingehende erreicht werden müssen (Exchange EWS, SfB Edge, ADFS) sich auf eine der folgenden RootCAs zu beschränken:
Diese Zertifikate sind auf einem Windows 2012R2 Server "per Default" installiert und ich gehe erst mal darin aus, dass diese StammCAs auch auf den Office 365 Servern als vertrauenswürdig installiert sind.
- CA-Auswahl
- MaxRootCA
- Trusted root certification authorities
for federation trusts
https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx
Exchange Hybrid
Microsoft veröffentlicht für Exchange Federation Trusts zumindest eine Liste der Stammzertifizierungsstellen, denen die Exchange Frontend Server vertrauen.
- Trusted root certification authorities
for federation trusts
https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx
Zertifikate von anderen Stammzertifizierungsstellungen dürfte demnach nicht gehen. Ich habe grade keinen Trace einer solche Konfiguration vorliegen und kann daher nicht sagen, wie dieses Problem erkannt werden kann. Ich könnte mir aber vorstellen, dass eine EWS-Anfrage an die Frei/Belegt-Zeiten vielleicht im ErrorCode einen Hinweis darauf gibt.
Skype for Business Edge
Auf der Seite SIP-Wege habe ich beschrieben, welche Wege ein SIP-Paket geht. Sowohl bei der Federation einer Skype for Business Online Only Firma zu einer anderen Firma, die On-Premises arbeitet als auch für die Hybrid-Funktion innerhalb einer Firma ist das "richtige" Zertifikat erforderlich.
Das ein Office 365 User im Hybrid-Mode über den On-Prem Edge geht, ist auch gut daran zu sehen, dass ein "falsches" Zertifikat auf dem lokalen Edge zu Zustellproblemen führt. Hier ein UCCAPI-Trace auf dem Client eines Skype for Business Online Anwenders, der zu einem anderen föderierten Benutzer etwas senden will (Daten gekürzt)
IP/2.0 504 Server time-out ms-User-logon-data: RemoteUser Authentication-Info: TLS-DSK qop="auth", opaque="xx", srand="xx", snum="xx", rspauth="xxx", targetname="AM30E08FES03.infra.lync.com", realm="SIP Communications Service", version=4 Via: SIP/2.0/TLS 10.1.29.18:49855;received=10.21.15.254;ms-received-port=44015;ms-received-cid=8A4FF00 Content-Length: 0 From: "O365User"<sip:o365User@uclabor.de>;tag=xx;epid=xx To: "TestUser1"<sip:testUser1@msxfaq.de>;tag=xx;epid=xx Call-ID: xxx CSeq: 4 MESSAGE ms-diagnostics: 1010;reason="Certificate trust with another server could not be established"; ErrorType="The peer certificate is not chained off a trusted root"; tls-target="sip.uclabor.de"; PeerServer="sip.uclabor.de"; HRESULT="0x800B0109(CERT_E_UNTRUSTEDROOT)"; source="sipfed0A.online.lync.com" ms-telemetry-id: 7182D6D0-7443-5BEE-BD8D-66FADFAF3E53 Server: RTC/7.0
Es ist gut zu sehen, dass der Office 365 Edge "sipfed0A.online.lync.com" an den Client meldet, dass das Zertifikat der Gegenstelle nicht "Trusted" ist. Würde der Office 365 Edge aber direkt den DNS-Eintrag "_sipfederationstls._tcp.<sipdomain>" abfragen und zum entsprechenden Edge-Server gehen, dann wäre er nie an das nicht vertrauenswürdige Zertifikat der On-Prem-Umgebung gekommen. Aus Sicht des Edge-Servers war das Zertifikat in Ordnung.
Aus Sicht von Office 365 ist die "T-TeleSec GlobalRoot Class 2"-CA anscheinend noch nicht "Trusted". Leider habe auch ich keine Liste der Stammzertifikate, die auf den Skype for Business Edge Server on Office 365 als "Trusted" anerkannt sind. Hier sollten Sie die PKI darauf festlegen, dass die ausgestellten Zertifikate auch akzeptiert werden.
Microsoft hat in einem Blog-Artikel im Jahr 2013 einmal veröffentlich, welcher StammCA Partner vertrauen müssen, damit eine "lync-Federation" mit Microsoft möglich ist.
- Lync Server Federation with
Microsoft.com: Root Certificate Change
https://blogs.technet.microsoft.com/nexthop/2013/05/09/lync-server-federation-with-microsoft-com-root-certificate-change/
Leider hilft dieser Artikel für Office 365 nicht weiter. Ich habe noch keine andere Quelle gefunden, auf der die vertrauenswürdigen Stammzertifizierungsstellen der Office 365 Edge Server beschrieben sind.
SharePoint Hybrid
Ich bin nicht der SharePoint Experte, um hier eine verlässliche Antwort zu liefern. Es gibt bei SharePoint auch einen Hybrid Mode aber meines Wissens nach ist die wesentliche Funktion die, dass eine Suche nach Inhalten beide Welten durchsucht. Dazu soll es einen Service On-Prem geben, der die indexierten Metadaten entweder in die Cloud hoch lädt oder von der Cloud erreichbar macht. Ich kann aktuell nicht sagen, bei welcher Version dies wie im Detail gelöst ist und ob dazu ein Zugriff von Office 365 auf den On-Prem SharePoint erfolgt. Solche Lösungen verändern sich auch gerne mal. Sobald ich neue Erkenntnisse habe, werde ich die hier nachtragen.
- Configure cloud hybrid search - roadmap
https://technet.microsoft.com/EN-US/library/dn720906.aspx - SharePoint Hybrid Solutions Center
http://go.microsoft.com/fwlink/p/?LinkId=746871 - Plan server-to-server authentication
https://technet.microsoft.com/en-us/library/dn607307.aspx - Hardware and software requirements for
SharePoint hybrid
https://technet.microsoft.com/en-us/library/dn793546.aspx
ADFS
Ich habe noch keine zuverlässige Quelle für die Stammzertifizierungsstellen gefunden. Aus meiner Sicht dürfte aber hier die Applikation maßgeblich sein. Wenn ein Outlook Client den Exchange Frontend in Office 365 erreicht und dieser dann die Zugangsdaten erhält um damit den ADFS-Server der Firma anzusprechen, dann ist die Liste der vertrauenswürdigen Stammzertifizierungsstellen auf dem Exchange Frontend in der Cloud maßgeblich.
Weitere Dienste
Es gibt durchaus noch andere Dienste, die auf Quellen einer On-Prem-Umgebung zugreifen können. In den meisten Fällen wird Microsoft aber ein Modell von On-Prem zur Cloud favorisieren. So gibt es z.B. für PowerBI entsprechende Gateways, die On-Prem gestartet werden und die Daten in die Cloud senden. Mir sind außer Exchange, Skype for Business und ADFS keine Dienste bislang aufgefallen, für die Zertifikate für On-Prem-Server erforderlich sind.
Weitere Links
- CA-Auswahl
- MaxRootCA
- Trusted root certification authoritiesfor federation trusts
https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx - Certificate Support and the Update Root Certificates Component
http://technet.microsoft.com/en-us/library/bb457160.aspx
http://technet.microsoft.com/en-us/library/cc733922(WS.10).aspx - Automatic Root Certificates Update Configuration
http://technet.microsoft.com/en-us/library/cc734018(WS.10).aspx - Microsoft Trusted Root Certificate Program: Participants
http://aka.ms/trustcertpartners