Certificate-Based Authentication für Exchange Online Remote PowerShell

Preview Version

Nach der V2 Version endlich die Möglichkeit Batch Scripts mit Exchange OnlinePowershell laufen zu lassen

Anleitung:

1. Installation vom neuen Modul
2. Erstellung der APP
3. Zuweiseung der Berechtigungen
4. Erstellen vom Zertifikat
5. Hochloaden vom Zertifikat
6. Zuweisen der Exchange Admin Rolle dem SPN
7. Connect-exchangeonline

Installation

1. Installation vom Modul
   Install-Module ExchangeOnlineManagement -RequiredVersion 2.0.3-Preview
   oder
   Update-Module ExchangeOnlineManagement -RequiredVersion 2.0.3-Preview
2. APP Erstellen
3. APP Authorisieren setzen
   Request API permissions pane and click on Exchange under the Supported legacy APIs section. Next, click on Application permissions, expand the Exchange entry, and select the Exchange.ManageAsApp permission. Hit the Add permissions
   

ZERTIFIKAT ERSTELLEN

1. Root Zertifikat
   $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature ` -Subject "CN=EXORootCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign
2. User Zertifikat
   New-SelfSignedCertificate -Type Custom -DnsName EXOChildCert -KeySpec Signature ` -Subject "CN=EXOChildCert" -KeyExportPolicy Exportable ` -HashAlgorithm sha256 -KeyLength 2048 ` -CertStoreLocation "Cert:\CurrentUser\My" ` -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2")
   

Exportieren des öffentlichen Schlüssels des Stammzertifikats (CER-Datei)

Exportieren Sie nach dem Erstellen eines selbstsignierten Stammzertifikats die CER-Datei für den öffentlichen Schlüssel des Stammzertifikats (nicht den privaten Schlüssel). Sie laden diese Datei später in Azure hoch. Führen Sie die folgenden Schritte aus, um die CER-Datei für Ihr selbstsigniertes Stammzertifikat zu exportieren:

1. Öffnen Sie Benutzerzertifikate verwalten, um eine CER-Datei für das Zertifikat zu erhalten. Suchen Sie das selbstsignierte Stammzertifikat (in der Regel in „Zertifikate – Aktueller Benutzer\Eigene Zertifikate\Zertifikate“), und klicken Sie mit der rechten Maustaste darauf. Klicken Sie auf Alle Aufgaben und anschließend auf Exportieren. Dadurch wird der Zertifikatexport-Assistentgeöffnet. Wenn Sie das Zertifikat unter „Aktueller Benutzer\Eigene Zertifikate\Zertifikate“ nicht finden, haben Sie unter Umständen versehentlich „Zertifikate – Lokaler Benutzer“ anstelle von „Zertifikate – Aktueller Benutzer“ geöffnet. Wenn Sie den Zertifikat-Manager im Bereich für den aktuellen Benutzer mithilfe von PowerShell öffnen möchten, geben Sie certmgr ins Konsolenfenster ein.
2. Klicken Sie im Assistenten auf Weiter.
3. Wählen Sie Nein, privaten Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.
4. Wählen Sie auf der Seite Dateiformat für den Export die Option Base-64-codiert X.509 (.CER) aus, und klicken Sie dann auf Weiter
   .
5. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.
   
6. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.
7. Das Zertifikat wurde erfolgreich exportiert.
   
8. Das exportierte Zertifikat sieht in etwa wie folgt aus:
9. Wenn Sie das exportierte Zertifikat mit Editor öffnen, ähnelt die Datei diesem Beispiel. Der blaue Abschnitt enthält die Informationen, die in Azure hochgeladen werden. Wenn Sie das Zertifikat mit Editor öffnen und es nicht so ähnlich aussieht, bedeutet dies in der Regel, dass Sie es nicht als Base64-codiertes X.509-Zertifikat (.cer) exportiert haben. Wenn Sie darüber hinaus einen anderen Text-Editor verwenden möchten, sollten Sie beachten, dass einige Editoren unbeabsichtigte Formatierung im Hintergrund einführen können. Dies kann Probleme beim Hochladen des Texts aus diesem Zertifikat in Azure verursachen.

Exportieren des selbstsignierten Stammzertifikats und des privaten Schlüssels zum Speichern (optional)

Möglicherweise möchten Sie das selbstsignierte Stammzertifikat exportieren und als Sicherung sicher speichern. Bei Bedarf können Sie es später auf einem anderen Computer installieren und weitere Clientzertifikate generieren. Um das selbstsignierte Stammzertifikat als PFX-Datei zu exportieren, wählen Sie das Stammzertifikat aus, und verwenden Sie die gleichen Schritte wie zum Exportieren eines Clientzertifikats.

Exportieren des Clientzertifikats

Wenn Sie ein Clientzertifikat generieren, wird es automatisch auf dem Computer installiert, mit dem Sie es generiert haben. Falls Sie das Clientzertifikat auf einem anderen Clientcomputer installieren möchten, müssen Sie das Clientzertifikat exportieren, das Sie generiert haben.

1. Wählen Sie zum Exportieren eines Clientzertifikats die Option Benutzerzertifikate verwalten aus. Die Clientzertifikate, die Sie generiert haben, befinden sich standardmäßig in „Certificates – Current User\Personal\Certificates“. Klicken Sie mit der rechten Maustaste auf das Clientzertifikat, das Sie exportieren möchten, und klicken Sie dann auf Alle Aufgaben und anschließend auf Exportieren, um den Zertifikatexport-Assistenten zu öffnen.
2. Klicken Sie im Zertifikatexport-Assistenten auf Weiter, um den Vorgang fortzusetzen.
3. Wählen Sie Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.
4. Übernehmen Sie auf der Seite Format der zu exportierenden Datei die Standardwerte. Stellen Sie sicher, dass die Option Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen aktiviert ist. Mit dieser Einstellung werden auch die Stammzertifikatinformationen exportiert, die für eine erfolgreiche Clientauthentifizierung erforderlich sind. Andernfalls tritt bei der Clientauthentifizierung ein Fehler auf, da der Client nicht über das vertrauenswürdige Stammzertifikat verfügt. Klicken Sie auf Weiter.
5. Auf der Seite Sicherheit müssen Sie den privaten Schlüssel schützen. Wenn Sie ein Kennwort verwenden möchten, müssen Sie sich das für dieses Zertifikat festgelegte Kennwort unbedingt merken oder notieren. Klicken Sie auf Weiter.
6. Wählen Sie unter Zu exportierende Datei die Option Durchsuchen aus, um zu dem Speicherort zu wechseln, an den das Zertifikat exportiert werden soll. Geben Sie unter Dateinameeinen Namen für die Zertifikatdatei ein. Klicken Sie auf Weiter.
   
7. Klicken Sie auf Fertig stellen , um das Zertifikat zu exportieren.

Hochladen des erstellten Zertifikat

Über UPLOAD CERTIFICATE das erstelle .cer hochladen

Exchange Admin Rolle dem SPN zuweisen

CONNECT-EXCHANGEONLINE

Connect-ExchangeOnline -CertificateThumbprint “8725BA5FB1CB62BB0E00487E9C07336EFCEFF7DC” -AppId ” ae13ad05-9b02-4246-2906-78b7cc7d7f5f” -ShowBanner:$false -Organization tenant.onmicrosoft.com

In diesem Fall wird das Zertificat im Userstore gesucht
Man kann in Alternative den Pfad vom Zertifikat zusammen mit dem Password angeben:
-CertificateFilePath
-CertificatePassword

Weiter details können aus dem Artikel von Vasil Michev entnommen werden

Original Posts:

https://www.quadrotech-it.com/blog/certificate-based-authentication-for-exchange-online-remote-powershell/