Quackelticki 10 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Hallo! Ich hoffe, hier kann mir jemand helfen... Ich habe eine Windows Domäne mit einem Server 2008 Standard Edition DC auf der auch die Stammzertifizierungsstelle läuft. In der Domäne befindet sich ein Exchange 2010 Server. Nun sollen die Mitarbeiter über ihre iOS-Geräte über das Internet auf Exchange zugreifen können. Bisher lief das über einen VPN-Tunnel. Ich möchte das nun aber über ActiveSync realisieren. Allerdings sollen sich die Mitarbeiter mit einem Clientzertifikat auf ihren geräten authentifizieren. Ist es hier möglich, den einzelnen Benutzern einzelne Zertifikate auszustellen und diese bei Bedarf wieder zu sperren sofern zum Beispiel ein Mitarbeiter den Betrieb verlässt? Habt ihr vielleicht noch den ein oder anderen Tip, was ich hier beachten muss? Vielen Dank erstmal!!! Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 12. Februar 2013 Melden Teilen Geschrieben 12. Februar 2013 Moin, möglich ist das, aber nicht gerade trivial. Siehe hier: http://www.msxfaq.de/mobil/eascert.htm http://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part1.html Zitieren Link zu diesem Kommentar
Quackelticki 10 Geschrieben 14. Februar 2013 Autor Melden Teilen Geschrieben 14. Februar 2013 Hey! Vielen Dank erstmal für die Links. Die haben mir sehr geholfen. Aber ein Problem habe ich leider noch: Ich habe wie im 3. Link beschrieben das Registrierungs-Agent Zertifikat (Enrollment-Agent) für den administrativen Benuter meiner Workstation angefordert und es war auch erfolgreich. Nun fehlt mir aber im Zertifikats-Snap In die Möglichkeit ein Zertifikat im Namen eines anderen Benutzers anzufordern. Habe ich hier irgendwas übersehen? Im Kontextmenü Eigene Zertifikate/Zertifikate --> Alle Aufgaben fehlt mir die Option "Advanced Operations". Kann mir hier noch jemand weiterhelfen? Zitieren Link zu diesem Kommentar
Quackelticki 10 Geschrieben 15. Februar 2013 Autor Melden Teilen Geschrieben 15. Februar 2013 Okay, das oben genannte Problem werd ich wohl einfach umgehen müssen, indem ich mich als jeweiliger iPad benutzer anmelde und ein Zertifikat anfordere. Ich hab das iPad nun erstmal so konfiguriert, dass ich über die normale Authentifizierung mit activesync verbunden bin. Also ohne Zertifikate. Ich kann die Emails auf dem iPad auch empfangen, aber nicht senden. Hat vielleicht jemand ne Idee warum? Apple ist mit seinen Fehlermeldungen auf dem iPad ja seeeehr zurückhaltend... Zitieren Link zu diesem Kommentar
Quackelticki 10 Geschrieben 18. Februar 2013 Autor Melden Teilen Geschrieben 18. Februar 2013 So, ich versuchs nochmal hier. Vielleicht mag mir ja doch noch jemand helfen. Also über die einfache Authentifizierung (Benutzername und Kennwort) klappt die Anbindung an ActiveSync mittlerweile. Dann habe ich ein Konfigurationsprofil für das iPad erstellt indem ich zum einen das Zertifizierungsstellenzertifikat zwecks Domänenvertrauen und zum anderen ein Benutzerzertifikat inklusive privaten Schlüssel zur Authentifizierung hinterlegt habe. Ausserdem habe ich in dem Konfigurationsprofil die Exchange Zugangsdaten vorkonfiguriert. Dieses Profil habe ich nun auf das iPad installiert. Im IIS auf dem Exchange 2010 CAS Server habe ich unter dem Knotenpunkt Server die Clientauthentifizierung aktiviert und unter dem Knotenpunkt ActiveSync (also das virtuelle Verzeichnis) habe ich die Zertifikatsauthentifizierung gemappt. Dann habe ich in der Exchange Mamagement Konsole in den Eigenschaften von ActiveSync auf erfordert Clientzertifikat zur Authentifizierung umgestellt. Nun, die Authentifizierung an den Server scheint dann auch funktioniert zu haben. Jedenfalls hat das iPad beim überprüfen der Zugangsdaten ein OK zurückgegeben. Aber es kommen weder Mails am iPad an, noch kann ich welche versenden. Hat hier jemand noch ne Idee... bin echt ein wenig an verzweifeln!! :confused: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.