Jump to content
Sign in to follow this  
Zephyrus

SSL, ActiveSync, OWA, DC

Recommended Posts

Hi.

 

Ich habe eine Zertifizierungsstelle auf einem Exchange 2003 Domänencontroller installiert und darüber ein SSL-Zertifikat für OWA eingerichtet. Funktioniert sauber. Nur ist mir aufgefallen, dass im Speicher für Vertrauenswürdige Zertifikate kein SSL-Zertifikat für den Domänencontroller selbst vorhanden ist. Also keines, dass auf netbiosname.domänenname.local ausgestellt ist. Darum funktioniert scheinbar nur das senden über ActiveSync aber nicht das empfangen.

 

Jemand eine Idee wie ich ein SSL-Cert für nen DC einrichte ohne das SSL-Cert für den Webserver (OWA) wegzuschmeißen? Über http://netbiosname.domänenname.local/certsrv vielleicht?

 

Steige da nicht mehr durch :(

Share this post


Link to post

Wichtig ist, dass die Clients (wohl Mobilgeräte?) das Zertifikat der Root-CA (und ggf. Intermediate-CAs) in der Liste der vertrauenswürdigen Stammzert.-Stellen gelistet haben, damit das Zertifikat des Webservers als vertrauenswürdig eingestuft wird. Das SSL Cert. des Webservers muss auf den Clients nicht installiert sein.

 

Christoph

Share this post


Link to post

Wichtig sind folgende Sachen:

- Das mobile Gerät muss der Stammzertifizierungsstelle vertrauen

- Der Name den du beim Activesyng eingibst, muss dem Namen im Zertifikat entsprechen

 

Wird eines von beiden nicht erfüllt kannst du nicht synchronisieren.

Dann musst du noch unterscheiden zwischen Domänencontroller Zertifikat und SSL Zertifkat, das sind zwei verchiedene, die nebeneinander existieren können. Das SSL Zertifikat brauchst du für OWA / Activesync und das Domänencontroller Zertifikat brauchst du z. B. für VPN oder IPSec Authentifizierung, hat also mit deinem Problem nichts zu tun.

Share this post


Link to post

- OWA funktioniert, sowohl per Browser als auch auf den Mobilen-Geräten im Browser.

- SSL ist für owa.domain.de eingerichtet.

- Root-CA ist als Stamm-Cert auf dem Mobilen-Gerät vorhanden.

 

Beim synchronisieren kommt auch keine Fehlermeldung. Senden geht, empfangen nicht. Weder Mails, noch Kontakte, noch Termine.

 

Im System-Manager von Exchange, wenn man auf Öffentliche Ordner kommt, erscheint:

 

Der Servername auf dem SSL-Zertifikat ist falsch.

ID-Nr.: c103b404

Exchange-System-Manager

 

Das extern SSL für OWA hat aber einen richtigen Namen. Ich befürchte daher, dass ein zusätzliches SSL-Cert für den DC (Exchange) fehlt. Die Schritte für den Fehler oben habe ich übrigens schon ausprobiert, welche bei Microsoft dazu stehen.

 

Folgendes habe ich eben noch gefunden:

 

Hier die Lösung:

1. Im IIS für die Standardwebsite den Standard SSL-Zertifikat verwenden.

2. Den SSL-Port der Standardwebsite auf z.B. 445 wechseln.

3. Die Konfiguration der IIS Standardwebseite sichern.

4. Eine neue Webseite erstellen (aus Datei) die zuvor gesichete Konfigdatei einlesen.

5. Für die neue Webseite den offiziellen Zertifikat auf dem Port 443 verwenden und den richtigen hostheaderwert eintragen (z.B:owa.DOMÄNE.de )

Danach geht es.

 

Ich bin mir nur nicht sicher, ob ich das wagen sollte. Nicht das danach nichts mehr funktioniert.

Share this post


Link to post

Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt.

 

Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst.

 

Bei Server ActiveSync kommt diese Meldung nicht und nach einem gewissen TimeOut bricht es ab.

 

Abhilfe, entweder Server ActiveSync ohne SSL, also Port 80 (allerdings mir persönlich zu unsicher) oder ein öffentliches Zertifikat kaufen.

Share this post


Link to post

Hier die Möglichkeit, wie Du OWA auf SSL beläst, aber trotzdem Deine mobilen Geräte ohne SSL über Port 80 syncen kannst - allerdings ist das dann im Klartext, das muss Dir bewusst sein:

 

Ist Exchange (Webseite) nicht SSL, nur Punkt 1 machen!!!

 

1. Exchange System Manager starten: Globale Einstellungen > Mobile Dienste > Eigenschaften

Häkchen: OMA aktivieren, Nicht unterstützte Geräte aktivieren

2. IIS am Exchange ausführen

3. Contextmenü auf Ordner Exchange > Alle Tasks > Konfig in Datei sichern

4. Dateiname: ExchangeVDir

5. Contextmenü auf Ordner Standardwebsite > Neu > Virtuelles Verzeichnis (aus Datei)

6. Importieren: ExchangeVDir

7. Ort Exchange anwählen > OK > Alias: ExchDAV

8. Contextmenü auf Ordner ExchDAV > Eigenschaften > Verzeichnissicherheit > Bearbeiten (Authentifizierung & Zugriffssteuerung)

9. Häkchen: Integriert, Standardauth.

10. Bearbeiten (Einschränkungen für IP-Adressen und Domänennamen)

11. Zugriff verweigert > Hinzufügen > Einzelner Rechner > IP des Exchange

12. Bearbeiten (Sichere Kommunikation)

13. KEIN SSL

14. IIS beenden

15. Regedit starten

16. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters

17. Context auf Parameters > Neu > Zeichenfolge > Eingabe: ExchangeVDir

18. Contextmenü ExchangeVDir > Ändern > /ExchDAV

19. WWW Publishingdienst neu starten – Fertig

Share this post


Link to post
Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt.

 

Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst.

 

Leider total falsch. Wenn du es richtig einrichtest und das SSL-Zertifikat deiner eigenen Zertifizierungsstelle exportierst und auf den Clients im Stammspeicher für Vertrauenswürdige blabla importierst, erscheint auch beim externen Aufruf keine Zertifikatswarnung mehr. ;)

 

Die zweite Anleitung hast du auch falsch verstanden und ist im Original von der Microsoft Webseite. Es ist DIE möglichkeit, OWA mit Formularbasierter Authentifizierung und SSL zu verwenden und DENNOCH ActiveSync über SSL nutzen zu können.

 

Link:

Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003

Share this post


Link to post

Morgen,

 

zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten - mag sein, dass ich da immer Fehler gemacht habe - jedoch ging ein öffentliches Zertifikat immer auf Anhieb.

Außerdem meine ich mich zu erinnern bei einem Track von Daniel Melanchton letztes Jahr genau gleiches Problem gehört zu haben, dass eigene CA's dabei Schwierigkeiten machen.

 

Just for fun könntest Du ja mal zur Fehlereingrenzung das Ganze nur mal ohne SSL probieren (natürlich im LAN). Gehts dann hast Du zumindest die Gewissheit, dass es an der SSL Kommunikation hakt.

 

zu 2) Richtig, die kleine Anleitung hat was mit dem Link zu tun, den Du gepostet hast. Jedoch abgewandelt. Meine Beschreibung erklärt den Weg für den Fall, dass OWA zwingend SSL erfordert, Du aber Server Active Sync über Port 80 machst. Sollte Dein OWA Formbased sein, müßte meine Erklärung nachmal weiter abgewandelt werden.

 

Was passiert da?

Wenn Du im IIS das Verzeichnis /Exchange mit SSL zwingend versiehst, würde OWA und AS auch zwingend SSL erfordern.

Mit der Anleitung erzeugst Du Dir ein zusätzliches /Exchange Verzeichnis in Kopie, modelst das in nicht SSL um und sagst in der Reg., Kamerad - Du bist das nicht SSL Verzeichnis wo du zu syncen hast.

Daher ist meine 2. Aussage was den Gedanken angeht vollkommen richtig ;) Ob Du es tun möchtest ist eine andere Sache

Share this post


Link to post
zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten

Das Problem liegt dabei hauptsächlich bei Smartphones. Diese sind nämlich vor Installationen abgesichert, somit lässt sich dort auch kein eigenes Stammserver Zertifikat als vertrauenswürdig einrichten, da dass einen Systmeingriff darstellt. Daher würde ich dort auch immer kommerzielle Zertifikate empfehlen.

Hat man allerdings kein Smartphone, sondern z. B. einen HTC Universal (MDA Pro etc.), dann kann man ohne Probleme Stammserver Zertifikate installieren und dann klappt auch der Activesync problemlos.

Share this post


Link to post

@Christian

 

Wenn das der Grund ist könnt ich mich in den A... beißen. Hab das letztes Jahr nämlich vergeblich auf meinem SDA (Smartphone) probiert, bis ich mir ein teures VeriSign gekauft hab.

 

Denn diesen Installationsschutz kann man bei Smartphones ja ganz bequem aufheben.

 

Muss ich mal testen ... nur so um mich zu ärgern :(

Share this post


Link to post

Hat jemand nun noch eine Idee?

 

Nein

 

Der Servername auf dem SSL-Zertifikat ist falsch.

ID-Nr.: c103b404

Exchange-System-Manager

 

Selbst der Server sagt es Dir und wenn Du dann Antworten als falsch bezeichnest bzw. ignorierst ist das Dein Problem

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...