Jump to content

Exchange 2016 und mobile Smartphone Anbindung mittels Selfsign CA Zertifikat

Dirk-HH-83

Von Dirk-HH-83
in MS Exchange Forum

Empfohlene Beiträge

Dirk-HH-83 Mentor

Dirk-HH-83   14

Geschrieben
Geschrieben

Hallo,   

 

oftmals hört man ja 
aktuelle Smartphones und Selfsign Zertifikate funktionieren mittlerweile nicht mehr. Ist das auf jeden Fall richtig? 
(kann ja sein, das Parameter wie Laufzeit/SHA256 nur ausschlaggebend sind)

Gekaufte SSL Zertifikate sind günstig und sollten sofort besorgt werden, weil man sich damit die Probleme mit Selfsign vom Hals hällt.

 

Selfsign Zertifikat haben meiner Vermutung nach kein Vorteil in ganz kleinen KMU´s.

 

Habe ein Exchange 2016 vorgefunden mit Selfsign Zertifikat.

Hab Vorort geprüft, bei den zwei Power Usern am iPhone   unter "iOS / Allgemein / info / Zertifikatsvertrauenseinstellungen"  habe ich kein installierte CA Root Zertifikat gesehen.

Trotzdem funktioniert der Emailsync.
Relativ sicher hatten die beiden iPhones hatten aktuelles iOS.
Kann man so leicht erklären wieso das funktioniert?  
Ich weiß, am besten man testet das nochmal mit einem frischen iPhone nach Reset.

 

+++

 

Dann kam noch ein Nachzügler mit Android an den Tresen.

Habe das o.g. Selfsign Exchange CA Certifikat meiner Vermutung nach erfolgreich im Android installiert.
Konnte dann allerdings das Exchangekonto nicht hinzufügen. 

Ob die Android Fehlermeldung: "Bestätigen des Konto nicht möglich, Sicherheitsfehler, Serverzertifikat nicht vertrauenswürdig"

das Hauptproblem war weiß ich nicht mehr genau.
Muss man im Android Selfsign Zertifikat nochmal explizit erlauben? (wie beim iPhone)

Selfsign CA Zertifikate im Android fügt man scheinbar an dieser Stelle hinzu:

Android / Einstellungen / weitere Sicherheitseinstellungen 

Sicherheitszertifikate anzeigen

Benutzerzertifikate

vom Gerätespeicher installieren

testperson Grand Master

testperson   1.860

Geschrieben
Geschrieben

Hi,

 

unter diesen Umständen würde ich mir derzeit die Frage gar nicht stellen. Der Exchange hängt ja scheinbar (direkt) am Internet und Mitte Oktober ist es mit dem Support vorbei. Evtl. sollte man hier über eine Migration zu Exchange Server SE (oder in Exchange online) nachdenken und in diesem Step direkt nach Best Practices vorgehen, die sich im Falle von ExO von alleine erledigen:

  • Split DNS
  • öffentliches Zertifikat
    • Falls es nichts "kosten" darf -> Let's Encrypt oder ähnlich

Generell würde ich beim Vorfinden eines solchen Exchanges einen Fahrplan in Richtung Split DNS + öffentliches Zertifikat aufstellen bzw. dankend ablehnen. (Zusätzlich wäre zu beleuchten, ob der Exchange wirklich direkt und ohne Web Application Firewall im Internet hängen muss, sofern er dies denn derzeit tut.)

 

Gruß

Jan

  • Like 1
Dirk-HH-83 Mentor

Dirk-HH-83   14

Geschrieben
  • Autor
Geschrieben
Am 28.9.2025 um 12:58 schrieb testperson:

Hi,

 

unter diesen Umständen würde ich mir derzeit die Frage gar nicht stellen. Der Exchange hängt ja scheinbar (direkt) am Internet und Mitte Oktober ist es mit dem Support vorbei. Evtl. sollte man hier über eine Migration zu Exchange Server SE (oder in Exchange online) nachdenken und in diesem Step direkt nach Best Practices vorgehen, die sich im Falle von ExO von alleine erledigen:

  • Split DNS
  • öffentliches Zertifikat
    • Falls es nichts "kosten" darf -> Let's Encrypt oder ähnlich

Generell würde ich beim Vorfinden eines solchen Exchanges einen Fahrplan in Richtung Split DNS + öffentliches Zertifikat aufstellen bzw. dankend ablehnen. (Zusätzlich wäre zu beleuchten, ob der Exchange wirklich direkt und ohne Web Application Firewall im Internet hängen muss, sofern er dies denn derzeit tut.)

 

Gruß

Jan

 

Doch es darf was kosten.  Ich weiß, öffentliche Zertifikate kosten unter 50€.


Wenn der On-Prem-Exchange auf öffentliches Zertifikat gewechselt wird, dann bekommen alle User meiner Erinnerung nach die Outlookmeldung  á la "temporäres Postfach oder altes Postfach verwenden".  Will sagen, Wechsel auf öffentliches Zertifikat  bedarf meines Wissens nach u.U.  kurz ein neues Outlookprofil bei allen. 

 

 

Sorry - was meinst du mit
SPLIT DNS- Split DNS
Ist dies gemeint?  >  .das man im internen Netzwerk problemlos https://mail.contoso.com/owa aufrufen kann?

 

Stimmt, noch kein WAF vorhanden, Geoblocker(/IPS sind aktuell nur aktiviert.

 

NorbertFe Grand Master

NorbertFe   2.283

Geschrieben
Geschrieben
vor 14 Minuten schrieb Dirk-HH-83:

Wenn der On-Prem-Exchange auf öffentliches Zertifikat gewechselt wird, dann bekommen alle User meiner Erinnerung

Dann machst du was falsche oder deine Erinnerung trügt, oder beides.

 

vor 15 Minuten schrieb Dirk-HH-83:

Wechsel auf öffentliches Zertifikat  bedarf meines Wissens nach u.U.  kurz ein neues Outlookprofil bei allen. 

Nein.

 

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...