Problem mit selbst signiertem Exchange-Zertifikat

[NorbertFe 2.013]

vor 32 Minuten schrieb wolfiru:

Sehr ärgerlich so ein Aufwand, nur weil diese iPhones das nicht ignorieren können und sich ein paar Mitarbeiter das einbilden haben zu müssen.

Sehr ärgerlich, wenn man einen nicht sinnvoll konfigurierten Exchange hat und von den Mitarbeitern erwartet, dass Sie die Fehler einfach wegklicken. ;)

vor 33 Minuten schrieb Gerber:

Mails/Kalender/Kontakte auf dem Handy doch auch wichtig sind

Ja, aber er meint ja, dass es unbedingt ein iphone statt android sein muss. ;) 

[wolfiru 0]

vor 1 Stunde schrieb Gerber:

Naja, dafür hast du dann einen korrekt konfigurierten Exchange Server...

Ich besitze zwar kein IPhone, bilde mir aber durchaus auch ein, dass Mails/Kalender/Kontakte auf dem Handy doch auch wichtig sind .
 

 

Grundsätzlich natürlich schon. Aber wenn ich das auf einem Android-Handy mache und mich an den Exchange binde, dann kann ich ihm sagen, dass das Zertifikat okay ist und alles funktioniert. Die Option sollte auch bei einem iPhone gegeben sein, denke ich. Nachdem das Android Handy wieder schreit, wenn sich das Zertifikat ändert, ist das auch kein Sicherheitsrisiko.

 

Problem gelöst:

 

Das selbstsignierte Zertifikat ist überhaupt kein Problem. Auch nicht ein "nicht korrekt konfigurierter Exchange Server", wie hier behauptet wird.

 

Das Problem war das Betriebssystem beim iPhone.

 

- Denn selbst wenn man ihm das CA Zertifikat installiert, dann vertraut es diesem per se noch nicht. Man muss dann noch in den Einstellungen anhaken, dass es sich um ein "Vertrauenswürdiges Zertifikat" handelt. Nach diesem Extraschritt, der am iPhone noch auszuführen war, funktioniert auch alles.

Die Option befindet sich tief versteckt unter Einstellungen - Allgemein - Über - Einstellungen - [Vertrauenswürdige Zertifikate]

 

Beste Grüße
Wolfi

bearbeitet 27. September 2021 von wolfiru

[tesso 373]

vor 38 Minuten schrieb wolfiru:

 

- Denn selbst wenn man ihm das CA Zertifikat installiert, dann vertraut es diesem per se noch nicht. Man muss dann noch in den Einstellungen anhaken, dass es sich um ein "Vertrauenswürdiges Zertifikat" handelt. Nach diesem Extraschritt, der am iPhone noch auszuführen war, funktioniert auch alles.

Und das erklärst du dann jedem iPhone User? Viel Spaß.

BTW: Bei iOS 15 heissen die Punkte anders. 

 

Das kann man evtl. bei einer handvoll Geräten machen. Selbst da wäre es mir die paar Euro für ein Zertifikat wert.

[wolfiru 0]

vor 1 Minute schrieb tesso:

Und das erklärst du dann jedem iPhone User? Viel Spaß.

BTW: Bei iOS 15 heissen die Punkte anders. 

 

Das kann man evtl. bei einer handvoll Geräten machen. Selbst da wäre es mir die paar Euro für ein Zertifikat wert.

 

Bei 3 oder 4 iPhone Usern wohl nicht wirklich ein Problem. Vor allem, da die ohnehin zu uns kommen zum Einrichten. Da muss nichts erklärt werden. Man kann sich Probleme auch herbeireden. Für mich die praktikabelste Lösung :)

[tesso 373]

vor 11 Minuten schrieb wolfiru:

Bei 3 oder 4 iPhone Usern wohl nicht wirklich ein Problem. Vor allem, da die ohnehin zu uns kommen zum Einrichten. Da muss nichts erklärt werden. Man kann sich Probleme auch herbeireden. Für mich die praktikabelste Lösung :)

Wenn das für dich ok, dann mach es halt so. 

Sinnvoll finde ich es trotzdem nicht. 

[wolfiru 0]

vor 1 Minute schrieb tesso:

Wenn das für dich ok, dann mach es halt so. 

Sinnvoll finde ich es trotzdem nicht. 

 

Was die Frage aufwirft was sinnvoll ist in diesem Fall:

 

Wir sind hier ein Admin Team von 2 Personen im öffentlichen Dienst, die an die 200 PCs betreuen. Wir können nicht jede Software, die im Einsatz ist bis ins kleinste Detail kennen. Das bedeutet: Ja manches kann man sicher optimaler lösen. Das bedeutet aber auch, dass ich für optimalere Lösungen manchmal teure Externe Dienstleister zukaufen müsste. Wäre grundsätzlich kein Problem, die Steuerzahler müssen das eben einfach bezahlen.

 

Externe Zertifikate um das "sauber" umzusetzen kosten Jährlich vermutlich so um die 150€. Ein externer Dienstleister, welcher mir den Exchange jetzt "optimal" herrichtet, kommt vermutlich auch auf ~1.000,- EUR.

 

Was meinst du ist für den Steuerzahler besser? Dass ich hier mit einem selbstsignierten Zertifikat fahre, welches mit keinerlei Folgekosten verbunden ist und ihm auch noch die Kosten der Uminstallation erspare. Oder hier jetzt das Geld einfach nehme, das alles "optimal" Umbaue, aber trotzdem in der Anwendung keinen Mehrwert habe. Sicherheitsrisiko oder Stabilitätsrisiko ist es m.E. nicht.

 

Die meiste Zeit habe ich jetzt eigentlich damit verschwendet, da ich dachte ich müsste wirklich vom selbstsignierten Zertifikat weg, weil dies das Problem ist. Aber das hat dem Steuerzahler nichts gekostet, weil ich hier sowieso arbeite und einsparen könnte man mich wohl auch schlecht. Mit einer Person kann man keine 200 PCs und Server betreuen.

Soviel zu "sinnvoll".

 

Beste Grüße

Wolfi

[BOfH_666 577]

vor 5 Minuten schrieb wolfiru:

Externe Zertifikate um das "sauber" umzusetzen kosten Jährlich vermutlich so um die 150€. Ein externer Dienstleister, welcher mir den Exchange jetzt "optimal" herrichtet, kommt vermutlich auch auf ~1.000,- EUR.

 

Ein Zertifikat kostet wohl eher so um die 15€. Und da Du ja sowieso bezahlt wirst, könntest Du doch die entsprechende Konfiguration erledigen - es ist ja schließlich keine Geheimwissenschaft, die einen Doktor-Titel für's Verständnis erfordert. Und 15€ auf die Steuerzahler umgelegt, ist bestimmt ein guter Deal.   

[wolfiru 0]

vor 5 Minuten schrieb BOfH_666:

 

Ein Zertifikat kostet wohl eher so um die 15€. Und da Du ja sowieso bezahlt wirst, könntest Du doch die entsprechende Konfiguration erledigen - es ist ja schließlich keine Geheimwissenschaft, die einen Doktor-Titel für's Verständnis erfordert. Und 15€ auf die Steuerzahler umgelegt, ist bestimmt ein guter Deal.   

 

Hatte keinen Anbieter gefunden, der um 15€ ein Wildcard oder Multidomain-Zertifikat für 3 Domains hergibt. Den Anbieter postest du hier bitte noch.

Geheimwissenschaft sicher nicht, aber entsprechend aufwendig sich da einzuarbeiten und in einem laufenden System umzusetzen. Ich habe auch noch andere Aufgaben. Frage mich, was jemand arbeitet, der so eine Kalkulation aufstellt? Und der Mehrwert für diese vielen Stunden ist dann genau welcher?

 

Beende hiermit jetzt auch die Debatte und bedanke mich :)

Grüße
Wolfi

bearbeitet 27. September 2021 von wolfiru

[mwiederkehr 373]

Nur der Vollständigkeit halber: Certify the Web kann Let's-Encrypt-Zertifikate automatisch bei Exchange hinterlegen. Aber persönlich tausche ich lieber einmal jährlich geplant ein gekauftes Zertifikat aus, statt mich auf solche Automatismen zu verlassen. Zumindest bei Sachen wie Exchange.

[cj_berlin 1.306]

vor 2 Stunden schrieb wolfiru:

Und der Mehrwert für diese vielen Stunden ist dann genau welcher?

Das kann ich Dir erklären. Aber da ich es nicht in meinen "eh da"-Stunden mache, sondern in der Freizeit, nur soviel: Der Tagessatz für Notfall-Wiederherstellung nach einem erfolgreichen Angriff ist mindestens der doppelte  

[NorbertFe 2.013]

vor 3 Stunden schrieb wolfiru:

Wir sind hier ein Admin Team von 2 Personen im öffentlichen Dienst, die an die 200 PCs betreuen. Wir können nicht jede Software, die im Einsatz ist bis ins kleinste Detail kennen.

Ja, deswegen hat man im allgemeinen Dienstleister für die Dinge die man selbst nicht kann. Ich gehe ja auch zum Arzt wenn ich krank bin und definiere mich nicht einfach als gesund. ;) aber naja was soll’s.

[Damian 1.518]

Bevor jetzt wieder Sinnfragen diskutiert werden, sollten wir uns alle entspannt zurücklehnen. Zumal der OT das Problem ja schon als gelöst gemeldet hat.

 

OK?

 

 

VG

Damian