Maraun 12 Geschrieben 22. November 2011 Melden Teilen Geschrieben 22. November 2011 Hallo zusammen, habe vor kurzem einen Exchange 2003 übernommen, bei dem der OWA nur per HTTP und nicht per SSL bereit gestellt wird. Zudem ist auf dem Exchange noch das MS Standardzertifikat von der Installation hinterlegt. Ich habe eine Root-CA in der Domäne erstellt und ein 5 Jahre SSL Zertifikat ausgestellt, dass ich zukünftig gerne für OWA verwenden will. Jetzt suche ich nach dem besten Vorgehen für den Zertifikatwechsel, da knapp 70 mobile Devices (Smartphones vom Typ IPhone, Samsung, IPads) noch an den OWA per HTTP angebunden sind. Sobald ich im Exchange die sichere Kommunikation per SSL voraussetze, dann können doch diese Clients sich nicht mehr per OWA verbinden, oder? Unter dem Reiter Secure Communications im Exchange gibt es auch noch die Möglichkeit, Client Zertifikate zu akzeptieren, zu ignorieren oder vorausszusetzen. Was konfiguriere ich da im Fall meines SSL Zertifikates? Und ist es möglich, einen vorübergehenden Parallelbetrieb HTTP / SSL umzusetzen? Vielen Dank vorab für alle Antworten. Viele Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 22. November 2011 Melden Teilen Geschrieben 22. November 2011 Exchange 2003 hat kein Standardzertifikat. Eine Root CA nur für OWA 2003 halte ich persönlich für übertrieben, und hätte dann eher einfach ein Zertifikat gekauft. Kosten ca. 80€ für 3 Jahre und keine Probleme mit mobile Devices. SSL brauchst du nicht voraussetzen, denn das ist dein Fehler (vorraussetzen==erzwingen) und damit brichst du die Funktionalität. Schau dir mal die MSKB Artikel an, in denen beschrieben wird, wie man mit nur einem Exchange 2003 ohne Frontend EAS mit SSL zum laufen bekommt. Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 22. November 2011 Autor Melden Teilen Geschrieben 22. November 2011 Hi Norbert, danke für die schnelle Antwort. Die Root-CA hab ich im Prinzip für Network Access Protection aufgesetzt, von daher bietet sich das Zertifikat für den OWA an. Wenn ich Dich richtig verstehe, erstelle ich das SSL-Zertifikat, ersetze damit das bisherige Zertifikat, dass der Exchange hat und erzwinge keine sichere Verbindung. Dann kommt doch der Client, also zum Beispiel das jeweilige Smartphone, weiter per HTTP auf den OWA, oder nicht? Ist dann die Übertragung der Zugangsdaten nicht weiter ptenziell unsicher? Ich werde mal nach den erwähnten KB´s von MS suchen. Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 22. November 2011 Melden Teilen Geschrieben 22. November 2011 Ich werde mal nach den erwähnten KB´s von MS suchen. Grüße Alex Nimme Resolution 2 ;) Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003 Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 24. November 2011 Autor Melden Teilen Geschrieben 24. November 2011 Hallo Norbert, danke nochmals für den Link. Die virtuellen Verzeichnisse für OMA und Active Sync sind bereits in der Vergangenheit konfiguriert worden, samt Registry Key und Verzeichnis-Zugriffseinstellungen (Basic / Integrated). Es ist auch ein Zertifikat eingespielt, das allerdings untrusted ist und somit einen zertifikatfehler bringt, beim HTTPS-Aufruf. Deshalb will ich ja ein neues SSL-Zertifikat einspielen, allerdings ist mir nicht klar, wie ich dann sicherstellen kann, das zukünftig per HTTPS zugegriffen wird? Im Prinzip können ja alle Smartphones (IPhones, Samsung) und das IPAD von sich aus schon SSL. Muss ich alle Geräte manuell auf die HTTPS-Adresse setzen? Und wie biege ich die Clients um, die ja dann HTTP oder HTTPS machen können? Viele Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Wenn das Zertifikat nicht vertrauenswürdig ist, bekommst du halt jedesmal einen Fehler (ein grund, warum ich einfach eins kaufen würde). IPhones ignorieren diesen Fehler nach einmaliger Bestätigung. Windows Mobiles allerdings nicht. Was passiert, wenn du nur noch SSL auf deinen Exchange durchläßt? ;) Dann müßten die User auf SSL umstellen. Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 24. November 2011 Autor Melden Teilen Geschrieben 24. November 2011 Das Zertifikat ist ja von der Root-CA ausgestellt und sollte, sofern dann der richtige Pfad genutzt wird, auch vertrauenswürdig sein. Wenn ein Domänen-Client per Web reinkommt, dann sollte doch der Name https://mailserver.domäne/exchange verwendet werden und trusted sein, oder? Das habe ich zumindest so gelesen. Nur SSL habe ich gestern mal testweise versucht. Das Ergebnis war, dass dann per HTTP richtigerweise der Secure Hinweis kam, aber per HTTPS kein Zugriff möglich war. Weder per OWA noch per OMA oder Active Sync. Hatte das neue Zertifikat installiert und alle virtuellen Verzeichnisse auf SSL required gesetzt. Nur aus mir bisher unbekannten Gründen hat per HTTPS kein Zugriff funktioniert und ich habe die Konfiguration dann rückgängig gemacht. Grüße Alex Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 24. November 2011 Melden Teilen Geschrieben 24. November 2011 Warum sollte der Client einem Zertifikat vertrauen, dessen CA er nicht vertraut? Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 24. November 2011 Autor Melden Teilen Geschrieben 24. November 2011 Das heißt, mit dem von der Root-CA ausgestellten Zertifikat erhalte ich bei jedem Aufruf eine Sicherheitswarnung? Noch ne andere Frage: Ich möchte im IIS unter der Default website das Zertifikat nicht ersetzen, sondern tauschen. Server certificate - Replace the current certificate. Allerdings ist der Punkt nicht möglich. Normalerweise stelle ich ja über die Root-CA einen Request für ein neues Zertifikat, dann ist aber mein altes nicht mehr bequem tauschbar. Jetzt habe ich vom Exchange über die Root-CA ein neues Zertifikat beantragt und installiert. Das allerdings liegt im Zertifikatspeicher des Benutzers und daher ist der Menüpunkt zum Tausch grau. Kann ich das Zertifikat einfach in den persönlichen Speicher des Computer kopieren? Grüße Alex Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 24. November 2011 Autor Melden Teilen Geschrieben 24. November 2011 Ich habe jetzt das neue SSL Zertifikat von der Root-CA aufgespielt und keine weitere Änderung vorgenommen. SSL ist nicht required und IPhone und IPAD funktionieren genauso wie der http: Zugang per OWA mit dem neuen Zertifikat. Wenn ich intern per https die Verbindung starte (https://owa.exchangeserver.com), dann meldet der IE, dass nur sicherer Inhalt angezeigt wird und öffnet nach der Bestätigung die Seite. Dies ist aber trotz https: und SSL Zertifikat keine SSL-Verbindung. Unter der URL: https://owa.exchangeserver.com/exchange) ist es genauso. Warum ist die Verbindung nicht gesichert? Macht er, solange SSL nicht required ist, trotz https-Aufruf eine ungesicherte Verbindung auf? Oder stimmt was mit dem zertifikat nicht? Grüße Alex Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 25. November 2011 Autor Melden Teilen Geschrieben 25. November 2011 Hallo zusammen, ich suche nach wie vor eine Konfigurationsmöglichkeit für OWA, OMA und Active Sync mit dem Exchange 2003 per SSL (Root-CA). Momentan ist nur das neue (Root-CA) SSL Zertifikat eingespielt. SSL ist nicht required. Die formularbasierte Authentifizierung ist deaktiviert. Die sekundären virtuellen Verzeichnisse sind schon länger aufgebaut, da seit geraumer Zeit Iphones und andere Smartphone per Active Sync und OMA angebunden sind. Das IPhone hat die einmalige Bestätigung des (Root-CA) Zertifikates benötigt und funktioniert. Habe heute testweise SSL für Exchange und ExchangeAdmin required, das (Root-CA) SSL Zertifikat wird ja bereits genutzt und als Ergebnis wird OWA mit https und gesichert geöffnet, aber das IPhone kann per Active Sync den Server nicht erreichen. Sobald ich das SSL required wieder entferne, funktioniert der Zugriff wieder. Use SSL ist bei den IPhones aktiviert. Liegt das nun daran, dass bei SSL dem Root-CA Zertifikat nicht vertraut wird? Wenn ja, dann wäre die Lösung ein Zertifikat zu kaufen (Verisign) oder auf alle Geräte das Zertifikat zu verteilen (Mail) oder aufzuspielen? Vielleicht kann mir das jemand beantworten. Danke vorab. Viele Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 25. November 2011 Melden Teilen Geschrieben 25. November 2011 Lies den Artikel komplett durch, wenn dort irgendwo an der falschen Stelle SSL required gesetzt wird, dann kann es nicht funktionieren. Bye Norbert Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 25. November 2011 Autor Melden Teilen Geschrieben 25. November 2011 Hi, habe den IIS komplett durchgecheckt. Nirgends mehr SSL required. Hab das beim heutigen SSL-Test auf der Default Website gesetzt und auf ExchangeAdmin und Exchange vererbt. Entweder haben die virtuellen Directories ein Problem seit ich das SSL require am Mittwoch auf alle Directories gesetzt habe und ich muss die nochmals neu erstellen (hattest Du Norbert glaub in einem anderen Thread auch mal erwähnt) oder ich setze SSL nur mal für das Exchange Directory voraus. Alternativ könnte ich das Root-CA Zertifikat auf einem IPhone einspielen und austesten. Noch ein Nachtrag, für alle, die diese Aktion auch noch nachvollziehen oder vor sich haben: In der Default.htm der Default Website des IIS ist ein Frameset gesetzt mit http: Aufruf. Der redirect ist natürlich anzupassen, vorher geht nix mit https. Grüße Alex Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.