Exchange und Zertifikate

[aba101280 10]

Hallo Zusammen,

 

ich bin gerade dabei an einem Windows Mobile Gerät ein Zertifikat zu installieren um das Gerät über HTTP mit meinem Exchange 2003 abgleichen zu können. Leider schlägt das Fehl weil angeblich kein gültiges Sicherheitszertifikat gefunden wird. Sehr lästig muss ich sagen... Nun aber mal grundsätzlich

 

1) Ich habe über den IIS Manager mein Zertifikat in eine Datei exportiert. Einmal das Stammzertifikat in Form eines *.p7b und einmal mit privatem Schlüssel als pfx. Das lustige ist nun dass wenn ich eines dieser beiden zertifikate auf meinen normalen Desktop Client im IE7 importiere kommt nach wie vor die Meldung dass meine OWA Seite ungültig ist. Es halt also vermutlich schonmal daran dass das Zertifikat überhaupt nicht importierbar ist.

 

Kann mir hier jemand helfen. Weiß jemand wie ich diese Zertifikate auf einem Client und natürlich dann auch auf einem Mobile Client importiere

 

Das Zertifikat habe ich über meine eigene Zertifikatsstelle selbst gezeichnet

 

Vielen Dnak und Grüße

 

Alex

[gysinma1 13]

Hallo

 

Also, der einfachste Weg ist natuerlich ein oeffentliches Cert welches Du beispielsweise bei godaddy.com fuer 35$ fuer zwei Jahre bekommst.

 

Wenn du mit ActiveSyn arbeitest wirst du den fqdn benoetigen fuer den cert name d.h. Dein Server wird aus dem internen Netz, angesprochen mit dem Netbios Namen, immer sagen das Zetrifikat sei ungueltig, da der Name im cert auf den fqdn lautet. Mein Tipp an dieser Stelle sprich den Server NUR mit dem FQDN an.

 

Ein nicht oeffentliches Cert kannst du mit dem tool addcert.exe importieren.

 

Auf dem Client werden die Zetrifikate mit den Domain Policies (oder zur Not mit dem gpedit.msc) importiert respektive ausgebracht.

 

Noch wichtig, damit du dir den Vorgang besser vorstellen kannst, das Zetrifikat wird nicht "irgendwie" mit dem Activesync von Deinem PC auf den PDA "kopiert". Das Installieren eines cert ist rein aus sicherheitsoptik bei Mobile Devices und Computern zwei voellig getrennte Vorgaenge - welche zwar dasselbe machen.

 

Gruss

Matthias

[aba101280 10]

Erstmal vielen vielen Dank für deine Antwort und danke für den Hinweis zu Addcert. Werde das gleich mal testen.

 

Also mein Zertifikat ist auf meine dynamische IP ausgestellt also:

a****.no-ip.info . Hab ich dich richtig verstanden dass ich eher auf den Servernamen also beispielsweise server.domäne.local austellen soll?

 

Sorry dass hatte ich nicht ganz verstanden.

 

Grüße

 

Alex

[Parkesel 10]

Hallo

 

Du installierst in deiner Umgebung ein CA (Zertifizierungsstelle),sobald das geschehen ist gehst du am exchange auf den IIS Manager rechte maus auf Default Webseite dort Directory Security.

Ganz unten findest du einen Button um ein Zertifikat zu erstellen du gehst den Assistent durch Zertifikat anfragen und gleich einreichen (Da du ja ne eigene CA hast).

Wichtig ist der Name des Zert (nicht die Beschreibung) der name muss wie dein Dyndns eintrag sein, also exact wie du ihn auserhalb deines Netzes eingibst.

 

Sobald dies geschehen ist gehst du am Server in den Iexplore auf http:\\ipadressederZertifizierungsstelle\certsrv

 

Dor gibt es dann Download eines Zertifizierungsstellenzertifikat einer Zertifizierungsstelle oder so irgendwie.

 

Sobald du diesen .cer file gedownloadet hast kopierst du dies auf die Speicherkarte deines WIndows Mobile, installierst es mit eine doppelklick.

Nun testest du https:\\dyndnsadresse\exchange hier sollte kein Zertifikatsfehler kommen.

Denn der Name passt, der Zertifizierungsstelle wird vertraut da du ja das Stamzertifizierungsstellen zertifikat installiert hast und abgelaufen ist es auch nicht.

 

Nun richtest du Active Sync am Handy ein fertig

 

Machs Gut

[nerd 28]

1) Ich habe über den IIS Manager mein Zertifikat in eine Datei exportiert. Einmal das Stammzertifikat in Form eines *.p7b und einmal mit privatem Schlüssel als pfx.

 

... und Finger weg von dem private key des Exchange / IIS der hat auf dem mobile device nichts zu suchen - auch nicht auf der workstation. Der private key gehört nur auf dem server für den er ausgestellt wurde.

 

Auf das mobile device kommt also nur der PUBLIC key deines root Zertifikates.

 

Viele Grüße

[gysinma1 13]

Hallo Zusammen

 

Ich bin grundsaetzlicher Gegener von privaten CAs (welche keinen RootTrust also von extern getrusted sind) im Exchangebereich, denn zum Beispiel auch Outlook Anywhere auf nicht Domain Mitgliedern zum Laufen zu kriegen ist so unmoeglich.

 

Ja Alex Du hast mich richtig verstanden, der Name des Zetrifikats muss auf den externen FQDN des Servers zeigen, sowie das ActiveSync Geraet den Server aus dem Internet erreicht. Es ist also sinnvoll den Server intern einen Netbios Namen Max zu geben und beispielsweise eine PortForwardingrule HTTPS (TCP443) auf max.meinedomain.de. Das Zetrifikat muss auf max.meinedomain.de ausgestellt sein.

 

Wie nerd schreibt, gibt das Revoken (entfernen) des Exchangezertifikates viele Probleme. Oft muss die CAS Rolle deshalb neu installiert werden. Das Zetrifikat wegspeichern ist okey (auch fuer wiederherstellen) aber nix damit machen ja (so Sachen wie import, revoke oder reissue) :D

 

Um Dir konkreter zu helfen, was hast Du fuer ein IIS ? IIS6.0 oder IIS7.0 mit Windwos 2008 ?

 

Gruss

Matthias

[abra-x-as 10]

im Exchangebereich, denn zum Beispiel auch Outlook Anywhere auf nicht Domain Mitgliedern zum Laufen zu kriegen ist so unmoeglich.

 

Würde ich so nicht sagen. Du mußt die Zertifikate halt importieren. Dann geht das schon.