Exchange 2010 - ActiveSync für PDA

[viper990 10]

Hallo zusammen,

 

ich richte gerade in unserer Firma einen Exchange2010 ein und habe dabei noch ein Problem mit dem Zertifikat.

Ziel ist es PDA´s per Active Sync zu synchronisieren. OWA funktioniert.

Suchfunktion hatte ich im Board auch schon benutzt :)

 

Ich habe mir per PS ein neues Zertifikat generiert und im IIS unter Bindungen eingetragen:

New-ExchangeCertificate `

-SubjectName "c=DE, o=companyname, cn=server.companyname.de" `

-IncludeAcceptedDomains `

-IncludeAutoDiscover `

-privatekeyexportable $true `

-domainName server, server.companyname.de `

-Services "SMTP, IMAP, POP, UM, IIS"

 

Dann die externe Adresse im Exchange unter Activce-Sync-Eigenschaften eingetragen und der ECP:

https://server.companyname/Microsoft-Server-ActiveSync

 

Wenn ich nun unter https://www.testexchangeconnectivity.com/ den Test

durchlaufen lasse, bekomme ich folgenden Fehler:

 

Validating certificate trust for Windows Mobile Devices

Certificate trust validation failed

Tell me more about this issue and how to resolve it

Additional Details

The certificate chain did not end in a trusted root. Root = CN=server.companyname.de, O=companyname, C=DE

Das ist der letzte Punkt in der Liste, alles andere signalisiert er mit grün.

nslookup server.companyname.de funktioniert auch.

 

Wer kann weiterhelfen?

 

GRuß

ViPeR990

[fluehmann 10]

Hallo viper990

 

Additional Details

The certificate chain did not end in a trusted root. Root = CN=server.companyname.de, O=companyname, C=DE

 

Bei self Signed Zertifikaten könnte das eigentlich auch richtig sein. Ev. bräuchtest du da ein öffentliches Zertifiakt um den test erfolgreich abschliessen zu können.

 

Etwas ist mir aber noch aufgefallen:

 

-SubjectName "c=DE, o=companyname, cn=server.companyname.de"

 

Das Country c= und Organisation o= Attribut brauchst du doch nur bei einem Request eines öffentlichen Zertifikats.

 

Understanding TLS Certificates: Exchange 2010 Help

 

Wichtig bei self Signed Zertifikaten ist dann auch, dass diese auf den Smartphones installiert werden bei Activesync.

 

Grüsse

fluehmann

[viper990 10]

Ich sitze mitlerweile schon etwas über dem Thema und bin nun soweit:

 

Informationen zum selbstsignierten Zertifikat in Exchange 2007: Exchange 2007-Hilfe

Einschränkungen eines selbst signierten Zertifikates:

• Exchange ActiveSync: Das selbstsignierte Zertifikat kann nicht zum Verschlüsseln der Kommunikation zwischen Microsoft Exchange ActiveSync-Geräten und dem Servercomputer mit Exchange verwendet werden.

 

Also habe ich mir eine Unternehmens CA installiert und per Powershell einen Request generiert. Diesen dann in der CA signiert und das generierte Zertifikat am Exchange importiert.

Anschließend die Dienste zugewiesen und mein Root Zertifikat auf meinen PDA installiert. -> Fehler 0x80072F17

 

Auf https://www.testexchangeconnectivity.com/ bekomme ich mit meinem NB folgendes:

Certificate chain could not be built. You may be missing required intermediate certificates, See KB 927465

Root Zertifkate ist auch hier importiert. Die alten habe ich natürlich gelöscht.

 

Den Request hab ich mir hier generieren lassen: https://www.digicert.com/easy-csr/exchange2010.htm

 

Ich denke nicht das die Einträge c= und o= stören,

lasse mich jedoch auch gerne belehren :)

[BrainStorm 10]

Hallo viper990,

 

Auf https://www.testexchangeconnectivity.com/ bekomme ich mit meinem NB folgendes:

Certificate chain could not be built. You may be missing required intermediate certificates, See KB 927465

Root Zertifkate ist auch hier importiert. Die alten habe ich natürlich gelöscht.

 

dieser Test wird mit einer eigenen PKI Infrastruktur IMMER fehlschlagen, da deine RootCA im Internet (bzw. der Website testexchangeconnectivity) nicht vertauenswürdig ist.

 

Der Fehler 0x80072F17 bedeutet ERROR_INTERNET_SEC_CERT_ERRORS. Kannst du via OWA ohne Zertifikatsfehlermeldung auf deine Mailbox zugreifen?