PathFinder 10 Geschrieben 15. Mai 2010 Melden Teilen Geschrieben 15. Mai 2010 Hallo zusammen, Ich versuche ActiveSync für mein Windows Mobile 6.5 Telefon (HTC) bereitzustellen. wenn ich den Test von: https://www.testexchangeconnectivity.com durchlaufen lassen bekomme ich folgendes Erbeniss: ExRCA is testing Exchange ActiveSync. The Exchange ActiveSync test failed. Test Steps Attempting to resolve the host name owa.firma.de in DNS. Host successfully resolved Additional Details IP(s) returned: xxx.xxx.xxx.xxx Testing TCP Port 443 on host owa.firma.de to ensure it is listening and open. The port was opened successfully. ExRCA is testing the SSL certificate to make sure it's valid. The SSL certificate failed one or more certificate validation checks. Test Steps The certificate name is being validated. Successfully validated the certificate name Additional Details Found hostname owa.firma.de in Certificate Subject Common name Validating certificate trust for Windows Mobile Devices Certificate trust validation failed. Additional Details The certificate chain couldn't be built. You may be missing required intermediate certificates. For more information, see Microsoft Knowledge Base article KB 927465. Ich glaube die Entscheidende Information ist: "You may be missing required intermediate certificates" Damit müssen Zwischenzertifizierungsstellen gemeint sein? Ich weiß das der SSL-Zertifikat Weg vom Handy über alle Zwischenpunkte bis zum Exchange Server zu 100% stimmen muss. OWA funktioniert sauber. Habe ich auf dem PC mit dem ich Teste das entsprechende Zertifikat installiert bekomme ich keine SSL Fehlermeldung alles grün. Ich beginne mal von meinem Handy aus - Hier ist als persönliches Zertifikat mein Nutzer Zertifikat (Domäne) installiert - Als Zwischenzertifizierungsstelle ist das Zertifikat mit dem CN "owa.firma.de" installiert. - Als Stammzertifizierungsstelle ist unsere interne Firmen CA installiert Dann sucht sich das Handy über das Internet die Adresse owa.firma.de raus. Landet an unserer TMG Firewall. Dort ist ActiveSync konfiguriert mit einem Weblistener der auf SSL 443 lauscht und das Zertifikat mit owa.firma.de installiert hat (der Listener vom OWA) Dieser leitet dann per regel an exsrv.firma.local weiter auf 443 Auf dem Exchange Server habe ich per Assistent ein Zertifikat erstellen lassen das mehrere CNs enthält einmal exsrv.firma.local (sonst kommt intern bei Outlook die Zertifikatfehlermeldung da die CNs nicht übereinstimmen) und owa.firma.de Es ist wahrscheinlich schwer hier zu helfen da es ja noch viele Informationen mehr gibt die wichtig und notwendig sind. Kennt vielleicht jemand das Problem? Habe ich die Sache richtig verstanden und halte ich die Zertifikatkette so korrekt ein? Am Handy kommt immer die Fehlermeldung 0x8501004 Bin mir nicht sicher ob die nun die Zertifikate anmeckert oder ob es sonst noch irgendwo ein Problem gibt? Wobei der Test ja klar sagt das es ein Cert problem ist. Habe ich das mit der Zwischenzertifizierung richtig verstanden? muss dort das owa.firma.de Cert liegen? Interessant ist vielleicht noch das RPC over HTTP(OutlookAnywhere) einwandfrei funktioniert? Auch mit dem OWA Listener. Ich habe das hier bei MS gefunden: Missing Intermediate Certificates in Chain Also habe ich mal das owa.firma.de Zertifikat in die Zwischenzertifizierungstellen vom ISA und vom Exchange gepackt das hat aber auch nichts genutzt. Hilfe =) mfg der Path Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 15. Mai 2010 Melden Teilen Geschrieben 15. Mai 2010 Verwendest du ein offizielles Zertifikat einer 3rd Party CA, oder verwendest du ein eigenes Zertifikat einer internen CA bzw. ein selbstsigniertes Zertfikat? Zitieren Link zu diesem Kommentar
PathFinder 10 Geschrieben 15. Mai 2010 Autor Melden Teilen Geschrieben 15. Mai 2010 Das Zertifikat ist selbst ausgestellt. Ich hatte das ganze unter Exchange 2003 auch schonmal am laufen aber nur per USB Kabel. Ich habe mit dem Exchange 2010 Assistenten für die Zertifikate nochmal ein neues erstellt, der ActiveSync Name war ein interner FQDN, ich probiere es jetzt mal mit unserem externen owa.firma.de. Was mir helfen würde wäre wenn jemand so lieb ist mir den Weg in etwa zu skizzieren. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 15. Mai 2010 Melden Teilen Geschrieben 15. Mai 2010 testexchangeconnectivity.com wird nur mit einem 3rd Party-Zertifikat richtig funktionieren. Ausserdem brauchst du eh ein SAN-Zertifikat um AutoDiscover richtig zum laufen zu kriegen. Doku dazu gibts genügend - hol dir erstmal ein passendes SAN-Zertifikat einer 3rd Party CA, danach ist es relativ einfach alles zum laufen zu kriegen. Zitieren Link zu diesem Kommentar
PathFinder 10 Geschrieben 15. Mai 2010 Autor Melden Teilen Geschrieben 15. Mai 2010 Du meinst mit selbst erstellten Zertifikaten wird das nix? Soll mir eins kaufen? Kannst du was empfehlen? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 15. Mai 2010 Melden Teilen Geschrieben 15. Mai 2010 Du meinst mit selbst erstellten Zertifikaten wird das nix? Nicht wirklich. Du machst dir vorallem jede Menge arbeit. Soll mir eins kaufen? Kannst du was empfehlen? Empfehlen ist wohl übertrieben. Wir kaufen die meisten Zertifikate bei GoDaddy, weil das der günstigste Anbieter ist und auch auf allen halbwegs aktuellen Telefonen akzeptiert wird. Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 15. Mai 2010 Melden Teilen Geschrieben 15. Mai 2010 testexchangeconnectivity.com wird nur mit einem 3rd Party-Zertifikat richtig funktionieren. Gibts dafür nicht extra den Haken zum Ignorieren von SSL Fehlern? ;) Ausserdem brauchst du eh ein SAN-Zertifikat um AutoDiscover richtig zum laufen zu kriegen. Autodiscover läuft auch ohne SAN Zertifikat. ;) Entweder mit entsprechend vielen Einzelzerts oder aber über DNS SRV records. Doku dazu gibts genügend - hol dir erstmal ein passendes SAN-Zertifikat einer 3rd Party CA, danach ist es relativ einfach alles zum laufen zu kriegen. Korrekt. :) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.