Jump to content

IMAP Zertifikat

Hubert N

Von Hubert N
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hubert N Experienced

Hubert N   10

Geschrieben
Geschrieben

Hallo

 

Ich bastele gerade in eine Testumgebung daran, den Zugriff auf den Exchangeserver per IMAPS zu ermöglichen.

 

Mit einem internen Zertifikat funktioniert das auch alles soweit. Grundsätzlich sollte ein solches Zertifikat eigentlich auch ausreichend sein, da der "Live-Server" später nicht öffentlich zugänglich sein soll - deshalb gerade die Idee, den Zugriff mit einem Zertifikat zu steuern.

Problem ist aber, dass ich an jedem Rechner im Internet die IMAPS-Verbindung einrichten kann und ich dann die Möglichkeit habe das Zertifikat runter zu laden und zu installieren. Die Idee wäre eigentlich gewesen, dass ich das Zertifikat auf den wenigen mobilen Rechnern per Hand installiere und den Download des Zertifikates vom Server unterbinde.

 

Geht das oder bin ich da gerade völlig auf dem Holzweg ?

 

Gruß

 

Hubert

Link zu diesem Kommentar
Hubert N Experienced

Hubert N   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo Günther,

 

ich bin sicher nicht beratungsresistent...

 

Vorgaben sind: Die Mails sollen auf dem Server (SBS 2003) liegen bleiben. Der Zugriff sollte relativ plattformunabhängig sein. Der Zugriff wird ausschließlich aus dem Internet erfolgen. Unter anderem geht es um den Zugriff mehrerer iPhones auf die Mails (aber eben nicht nur...)

Bei anderen mobilen Rechnern, habe ich das Problem über VPN gelöst, was mir im Grunde genommen auch jetzt das Liebste wäre. Aber ich habe lange Anleitungen gewälzt, wie ich einem iPhone eine IPSec-Verbindung unterschieben kann und habe es erhrlich gesagt nicht auf die Reihe gebracht das zu implementieren.

 

Wie gesagt: Für andere Lösungsansätze bin ich empfänglich... :)

 

 

Gruß

 

Hubert

bearbeitet von Hubert N
Serverversion vergessen...
Link zu diesem Kommentar
de.le Fellow

de.le   10

Geschrieben
Geschrieben

Hallo.

 

Deinen Vorgaben kann ich keine besondere Form der Authentifizierung entnehmen. Was Du in deinem ersten Post beschrieben hast bzw. gemeinst hast ist eine zertifikatsbasierte Authentifizierung, die Du mit dem verteilen des Root-Zertifikats auf die Geräte erreichen möchtest. HOLZWEG! Was spricht gegen Benutzername + Passwort als Authentifizierung?

 

Außerdem kannst Du mit dem iPhone, Android, Windows Mobile & Co. per ActiveSync die Emails abholen. LINK. Mit IMAP würde ich mich an deiner Stelle nicht rumschlagen.

Link zu diesem Kommentar
Hubert N Experienced

Hubert N   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Hallo

 

Der Gedanke wäre gewesen, den Zugriff mit Benutzername und Kennwort auf den Server nur dann zuzulassen, wenn der Client erst einmal das Zertifikat hat. Sonst komme ich erst garnicht an die Stelle, an der ich nach den Benutzerdaten gefragt werde.

Außerdem möchte ich nicht die Daten im Klartext durchs Internet schicken.

Wenn ich ActiveSync konfiguriere bedeutet dass, dass ich ausschließlich Mobile Clients einsetzen kann, die das auch unterstützen. Das kann ich nicht garantieren, weil da immer wieder Leute mit "Eigenanschaffungen" in der Türe stehen. Da kriegst du das Teil vor die Füße gelegt und der Auftrag lautet schlicht "mach mal"... Wenn du mir sagst, dass alle mobilen Geräte inzwischen Active Sync unterstützen, dann schwenke ich auch gerne darauf um.

 

Wenn ich das richtig überblicke, werde ich das Zertifikatproblem aber auch dann nicht los. Sobald ich dort SSL aktiviere, stehe ich wieder vor dem gleichen Problem - oder irre ich mich da ?

 

Gruß

 

Hubert

bearbeitet von Hubert N
katastrophale Rechtschreibfehler ;)
Link zu diesem Kommentar
de.le Fellow

de.le   10

Geschrieben
Geschrieben (bearbeitet)

Hi.

 

Der Gedanke wäre gewesen, den Zugriff mit Benutzername und Kennwort auf den Server nur dann zuzulassen, wenn der Client erst einmal das Zertifikat hat. Sonst komme ich erst garnicht an die Stelle, an der ich nach den Benutzerdaten gefragt werde.

Außerdem möchte ich nicht die Daten im Klartext durchs Internet schicken.

Ok, im Klartext: Du willst eine verschlüsselte Verbindung, sowohl der Authentfizierung als auch beim Datenaustausch. Das ist ligitim.

Ich würde Dir ein SSL-Zertifikat von einem Premiumanbieder wie VeriSign oder thawte empfehlen, da das Root-Zertifikat bereits im Zertifikatsspeicher von Windows (Mobile), iPod, Linux und Co. bereits vorinstalliert ist. Dabei entfällt die manuelle Verteilung und Installation (

Die Idee wäre eigentlich gewesen, dass ich das Zertifikat auf den wenigen mobilen Rechnern per Hand installiere und den Download des Zertifikates vom Server unterbinde.
Wenn ich das richtig überblicke, werde ich das Zertifikatproblem aber auch dann nicht los. Sobald ich dort SSL aktiviere, stehe ich wieder vor dem gleichen Problem - oder irre ich mich da ?

)

 

Ja, ActiveSync ist für Mobile Geräte, aber an der Stelle haben das Ende der Fahnenstange noch nicht erreicht. Exchange bietet hier viel mehr. Du hat die Möglichkeit das Plattformunabhängige auf browser-basiernede OWA (Outlook Web Access) anzubieten. Das Läuft im Firefox genau sogut wie im IE. Darüberhinaus gibt es die Möglichkeit, für Microsoft-Client mit Outlook RPC-OVER-HTTPS zu konfigurieren. Damit ist es möglich auf einem heimischen Rechner über eine sicher HTTPS-Verbindung Outlook zu nutzen, als wäre es im Firmennetzwerk.

 

Gruß

de.le

bearbeitet von de.le
Link zu diesem Kommentar
Hubert N Experienced

Hubert N   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

(...) dann würde ich das ehrlich gesagt, nicht mit Exchange lösen. Da gibt es frei Produkte, die genau diesen Teil vermutlich besser können.

 

Mag sein, aber der Zug ist bereits abgefahren...

 

 

Hi.

Ich würde Dir ein SSL-Zertifikat von einem Premiumanbieder wie VeriSign oder thawte empfehlen, da das Root-Zertifikat bereits im Zertifikatsspeicher von Windows (Mobile), iPod, Linux und Co. bereits vorinstalliert ist. Dabei entfällt die manuelle Verteilung und Installation

 

Das würde ich auch nehmen. Ich frage mich nur, wie ich dem GF erklären soll, dass er jedes Jahr ein paar Hundert Euro ausgebe soll, weil ich zu faul bin das Zertifikat auf die paar Geräte zu kopieren

 

 

 

 

Hi.

Ja, ActiveSync ist für Mobile Geräte, aber an der Stelle haben das Ende der Fahnenstange noch nicht erreicht. Exchange bietet hier viel mehr. Du hat die Möglichkeit das Plattformunabhängige auf browser-basiernede OWA (Outlook Web Access) anzubieten. Das Läuft im Firefox genau sogut wie im IE. Darüberhinaus gibt es die Möglichkeit, für Microsoft-Client mit Outlook RPC-OVER-HTTPS zu konfigurieren. Damit ist es möglich auf einem heimischen Rechner über eine sicher HTTPS-Verbindung Outlook zu nutzen, als wäre es im Firmennetzwerk.

 

Ich werde das jetzt mal mit ActiveSync angehen. Auch wenn das dann mehr kann, als ich eigentlich benötige. Anforderung ist lediglich Zugriff auf die Mails im Postfach. Der Versand von Mails ist nicht einmal Bestandteil des Anforderungsprofils. Obwohl es dann natürlich sicher zweckmäßiger ist auch die Möglichkeit zu haben. Irgendwann kommt sonst jemand auf die Idee, dass doch der z.B. der Zugriff auf den kalender eingerichtet werden soll etc..

 

Gruß

 

Hubert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...