Exchange 2016: Android meckert bei SSL Zertifikat, iOS läuft einwandfrei

[Pie 11]

Hallo Community,

 

Ich habe folgendes Problem:

 

Wir haben einen frischen Server 2016 Standard mit Exchange 2016, der läuft auch einwandfrei.

Zusätzlich gibt es eine Sophos UTM.

 

In der Sophos habe ich nun virtuelle Webserver und reale Webserver angelegt und die SSL-Zertifikate installiert.

OWA und auch iOS-Geräte funktionieren einwandfrei, keine Zertifikatsfehler.

 

Mache ich das Ganze von einem Android-Gerät, erhalte ich die Meldung

 

"Nicht durchführbar. Aufgrund eines nicht vertrauenswürdigen Zertifikats konnte keine Verbindung hergestellt werden."

 

Die Verbindung kann nur hergstellt werden, wenn ich im Android "Alle Zertifkate akzeptieren" einschalte.

 

Normalerweise ist das iOS ja das restriktivere, aber diesmal scheint es umgekehrt...

 

Ich kann mir derzeit nicht erklären, warum das so ist, außer dass es evtl. an der Sophos liegt, wobei auch das eigentlich ausscheided, da ja alle anderen Verbindungen einwanfrei laufen.

 

Hat jemand eine Idee?

 

LG

- Alex

[tesso 375]

Was hast du für ein Zertifikat? Aussteller etc.

[Pie 11]

Hi,

 

ist ein Thawte SSL123

 

EDIT:

RSA 2048

SHA-256 with RSA Encryption

 

LG

- Alex

bearbeitet 9. März 2020 von Pie

[tesso 375]

Geht das Android auch über die Sophos? Hast du auf der Sophos und auf dem Exchange das gleiche Zertitikat?

[Pie 11]

Ja, Geräte kommen beide von extern über 443.

 

Noch etwas Hintergrund:

Das Szenario ist etwas komplexer, da es in dem Firmenverbund 5 Unternehmen gibt, die über eine Sophos abgefackelt werden.

 

Es wird per ankommender URL auf den entsprechenden Exchange Server geroutet.

Jeder Webserver hat ein eigenes Zertifikat "exchange.firmenname.tld".

Daher kann ich immer Port 443 verwenden und brauche keine abweichenden Ports nutzen. Das erledigt die Sophos über virtuelle Webserver.

 

Was mich halt bei der Sache fasziniert, ist, dass das iOS sofort verbindet. Emails werden abgeholt, alles tutti.

Nur Android macht genau das nicht mehr, ohne den Schalter für das Akzeptieren aller Zerts zu aktivieren.

 

LG

- Alex

Wenn du möchtest, sende ich dir den URL zum OWA per PN.

Hatte ich übersehen: Die Exchange Server haben nur selbstausgestllte zerts. Aber die sieht der Email-Client eh nicht.

 

LG

- Alex

[tesso 375]

Ich kann mir das Zertifikat mal anschauen.

[Pie 11]

Hab dir eine PM gesendet