Zephyrus 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hi. Ich habe eine Zertifizierungsstelle auf einem Exchange 2003 Domänencontroller installiert und darüber ein SSL-Zertifikat für OWA eingerichtet. Funktioniert sauber. Nur ist mir aufgefallen, dass im Speicher für Vertrauenswürdige Zertifikate kein SSL-Zertifikat für den Domänencontroller selbst vorhanden ist. Also keines, dass auf netbiosname.domänenname.local ausgestellt ist. Darum funktioniert scheinbar nur das senden über ActiveSync aber nicht das empfangen. Jemand eine Idee wie ich ein SSL-Cert für nen DC einrichte ohne das SSL-Cert für den Webserver (OWA) wegzuschmeißen? Über http://netbiosname.domänenname.local/certsrv vielleicht? Steige da nicht mehr durch :( Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hast du eine Organisationszertifizierungsstelle? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Wichtig ist, dass die Clients (wohl Mobilgeräte?) das Zertifikat der Root-CA (und ggf. Intermediate-CAs) in der Liste der vertrauenswürdigen Stammzert.-Stellen gelistet haben, damit das Zertifikat des Webservers als vertrauenswürdig eingestuft wird. Das SSL Cert. des Webservers muss auf den Clients nicht installiert sein. Christoph Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Wichtig sind folgende Sachen: - Das mobile Gerät muss der Stammzertifizierungsstelle vertrauen - Der Name den du beim Activesyng eingibst, muss dem Namen im Zertifikat entsprechen Wird eines von beiden nicht erfüllt kannst du nicht synchronisieren. Dann musst du noch unterscheiden zwischen Domänencontroller Zertifikat und SSL Zertifkat, das sind zwei verchiedene, die nebeneinander existieren können. Das SSL Zertifikat brauchst du für OWA / Activesync und das Domänencontroller Zertifikat brauchst du z. B. für VPN oder IPSec Authentifizierung, hat also mit deinem Problem nichts zu tun. Zitieren Link zu diesem Kommentar
Zephyrus 10 Geschrieben 31. August 2006 Autor Melden Teilen Geschrieben 31. August 2006 - OWA funktioniert, sowohl per Browser als auch auf den Mobilen-Geräten im Browser. - SSL ist für owa.domain.de eingerichtet. - Root-CA ist als Stamm-Cert auf dem Mobilen-Gerät vorhanden. Beim synchronisieren kommt auch keine Fehlermeldung. Senden geht, empfangen nicht. Weder Mails, noch Kontakte, noch Termine. Im System-Manager von Exchange, wenn man auf Öffentliche Ordner kommt, erscheint: Der Servername auf dem SSL-Zertifikat ist falsch. ID-Nr.: c103b404 Exchange-System-Manager Das extern SSL für OWA hat aber einen richtigen Namen. Ich befürchte daher, dass ein zusätzliches SSL-Cert für den DC (Exchange) fehlt. Die Schritte für den Fehler oben habe ich übrigens schon ausprobiert, welche bei Microsoft dazu stehen. Folgendes habe ich eben noch gefunden: Hier die Lösung: 1. Im IIS für die Standardwebsite den Standard SSL-Zertifikat verwenden. 2. Den SSL-Port der Standardwebsite auf z.B. 445 wechseln. 3. Die Konfiguration der IIS Standardwebseite sichern. 4. Eine neue Webseite erstellen (aus Datei) die zuvor gesichete Konfigdatei einlesen. 5. Für die neue Webseite den offiziellen Zertifikat auf dem Port 443 verwenden und den richtigen hostheaderwert eintragen (z.B:owa.DOMÄNE.de ) Danach geht es. Ich bin mir nur nicht sicher, ob ich das wagen sollte. Nicht das danach nichts mehr funktioniert. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt. Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst. Bei Server ActiveSync kommt diese Meldung nicht und nach einem gewissen TimeOut bricht es ab. Abhilfe, entweder Server ActiveSync ohne SSL, also Port 80 (allerdings mir persönlich zu unsicher) oder ein öffentliches Zertifikat kaufen. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 31. August 2006 Melden Teilen Geschrieben 31. August 2006 Hier die Möglichkeit, wie Du OWA auf SSL beläst, aber trotzdem Deine mobilen Geräte ohne SSL über Port 80 syncen kannst - allerdings ist das dann im Klartext, das muss Dir bewusst sein: Ist Exchange (Webseite) nicht SSL, nur Punkt 1 machen!!! 1. Exchange System Manager starten: Globale Einstellungen > Mobile Dienste > Eigenschaften Häkchen: OMA aktivieren, Nicht unterstützte Geräte aktivieren 2. IIS am Exchange ausführen 3. Contextmenü auf Ordner Exchange > Alle Tasks > Konfig in Datei sichern 4. Dateiname: ExchangeVDir 5. Contextmenü auf Ordner Standardwebsite > Neu > Virtuelles Verzeichnis (aus Datei) 6. Importieren: ExchangeVDir 7. Ort Exchange anwählen > OK > Alias: ExchDAV 8. Contextmenü auf Ordner ExchDAV > Eigenschaften > Verzeichnissicherheit > Bearbeiten (Authentifizierung & Zugriffssteuerung) 9. Häkchen: Integriert, Standardauth. 10. Bearbeiten (Einschränkungen für IP-Adressen und Domänennamen) 11. Zugriff verweigert > Hinzufügen > Einzelner Rechner > IP des Exchange 12. Bearbeiten (Sichere Kommunikation) 13. KEIN SSL 14. IIS beenden 15. Regedit starten 16. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters 17. Context auf Parameters > Neu > Zeichenfolge > Eingabe: ExchangeVDir 18. Contextmenü ExchangeVDir > Ändern > /ExchDAV 19. WWW Publishingdienst neu starten – Fertig Zitieren Link zu diesem Kommentar
Zephyrus 10 Geschrieben 31. August 2006 Autor Melden Teilen Geschrieben 31. August 2006 Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt. Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst. Leider total falsch. Wenn du es richtig einrichtest und das SSL-Zertifikat deiner eigenen Zertifizierungsstelle exportierst und auf den Clients im Stammspeicher für Vertrauenswürdige blabla importierst, erscheint auch beim externen Aufruf keine Zertifikatswarnung mehr. ;) Die zweite Anleitung hast du auch falsch verstanden und ist im Original von der Microsoft Webseite. Es ist DIE möglichkeit, OWA mit Formularbasierter Authentifizierung und SSL zu verwenden und DENNOCH ActiveSync über SSL nutzen zu können. Link: Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003 Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. September 2006 Melden Teilen Geschrieben 1. September 2006 Morgen, zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten - mag sein, dass ich da immer Fehler gemacht habe - jedoch ging ein öffentliches Zertifikat immer auf Anhieb. Außerdem meine ich mich zu erinnern bei einem Track von Daniel Melanchton letztes Jahr genau gleiches Problem gehört zu haben, dass eigene CA's dabei Schwierigkeiten machen. Just for fun könntest Du ja mal zur Fehlereingrenzung das Ganze nur mal ohne SSL probieren (natürlich im LAN). Gehts dann hast Du zumindest die Gewissheit, dass es an der SSL Kommunikation hakt. zu 2) Richtig, die kleine Anleitung hat was mit dem Link zu tun, den Du gepostet hast. Jedoch abgewandelt. Meine Beschreibung erklärt den Weg für den Fall, dass OWA zwingend SSL erfordert, Du aber Server Active Sync über Port 80 machst. Sollte Dein OWA Formbased sein, müßte meine Erklärung nachmal weiter abgewandelt werden. Was passiert da? Wenn Du im IIS das Verzeichnis /Exchange mit SSL zwingend versiehst, würde OWA und AS auch zwingend SSL erfordern. Mit der Anleitung erzeugst Du Dir ein zusätzliches /Exchange Verzeichnis in Kopie, modelst das in nicht SSL um und sagst in der Reg., Kamerad - Du bist das nicht SSL Verzeichnis wo du zu syncen hast. Daher ist meine 2. Aussage was den Gedanken angeht vollkommen richtig ;) Ob Du es tun möchtest ist eine andere Sache Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 1. September 2006 Melden Teilen Geschrieben 1. September 2006 zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten Das Problem liegt dabei hauptsächlich bei Smartphones. Diese sind nämlich vor Installationen abgesichert, somit lässt sich dort auch kein eigenes Stammserver Zertifikat als vertrauenswürdig einrichten, da dass einen Systmeingriff darstellt. Daher würde ich dort auch immer kommerzielle Zertifikate empfehlen. Hat man allerdings kein Smartphone, sondern z. B. einen HTC Universal (MDA Pro etc.), dann kann man ohne Probleme Stammserver Zertifikate installieren und dann klappt auch der Activesync problemlos. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. September 2006 Melden Teilen Geschrieben 1. September 2006 @Christian Wenn das der Grund ist könnt ich mich in den A... beißen. Hab das letztes Jahr nämlich vergeblich auf meinem SDA (Smartphone) probiert, bis ich mir ein teures VeriSign gekauft hab. Denn diesen Installationsschutz kann man bei Smartphones ja ganz bequem aufheben. Muss ich mal testen ... nur so um mich zu ärgern :( Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 1. September 2006 Melden Teilen Geschrieben 1. September 2006 @Wildi: Bei meinem MDA Pro ist es kein Problem ein Stammzertifizierungsstellen zertifikat als vertrauenswürdig einzustufen und da klappt es wunderbar. Zitieren Link zu diesem Kommentar
Zephyrus 10 Geschrieben 1. September 2006 Autor Melden Teilen Geschrieben 1. September 2006 Hat jemand nun noch eine Idee?: http://www.mcseboard.de/windows-forum-ms-backoffice-31/ssl-activesync-owa-dc-97267.html#post595466 Sollte ich das mal probieren oder bringt das garnichts? Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 2. September 2006 Melden Teilen Geschrieben 2. September 2006 Hat jemand nun noch eine Idee? Nein Der Servername auf dem SSL-Zertifikat ist falsch. ID-Nr.: c103b404 Exchange-System-Manager Selbst der Server sagt es Dir und wenn Du dann Antworten als falsch bezeichnest bzw. ignorierst ist das Dein Problem Zitieren Link zu diesem Kommentar
ChristianHemker 10 Geschrieben 3. September 2006 Melden Teilen Geschrieben 3. September 2006 Bitte prüfe nochmal genau die Zertifikate: MSXFAQ.DE - Exchange ActiveSync Server Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.