Jump to content

SSL, ActiveSync, OWA, DC


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi.

 

Ich habe eine Zertifizierungsstelle auf einem Exchange 2003 Domänencontroller installiert und darüber ein SSL-Zertifikat für OWA eingerichtet. Funktioniert sauber. Nur ist mir aufgefallen, dass im Speicher für Vertrauenswürdige Zertifikate kein SSL-Zertifikat für den Domänencontroller selbst vorhanden ist. Also keines, dass auf netbiosname.domänenname.local ausgestellt ist. Darum funktioniert scheinbar nur das senden über ActiveSync aber nicht das empfangen.

 

Jemand eine Idee wie ich ein SSL-Cert für nen DC einrichte ohne das SSL-Cert für den Webserver (OWA) wegzuschmeißen? Über http://netbiosname.domänenname.local/certsrv vielleicht?

 

Steige da nicht mehr durch :(

Link zu diesem Kommentar

Wichtig ist, dass die Clients (wohl Mobilgeräte?) das Zertifikat der Root-CA (und ggf. Intermediate-CAs) in der Liste der vertrauenswürdigen Stammzert.-Stellen gelistet haben, damit das Zertifikat des Webservers als vertrauenswürdig eingestuft wird. Das SSL Cert. des Webservers muss auf den Clients nicht installiert sein.

 

Christoph

Link zu diesem Kommentar

Wichtig sind folgende Sachen:

- Das mobile Gerät muss der Stammzertifizierungsstelle vertrauen

- Der Name den du beim Activesyng eingibst, muss dem Namen im Zertifikat entsprechen

 

Wird eines von beiden nicht erfüllt kannst du nicht synchronisieren.

Dann musst du noch unterscheiden zwischen Domänencontroller Zertifikat und SSL Zertifkat, das sind zwei verchiedene, die nebeneinander existieren können. Das SSL Zertifikat brauchst du für OWA / Activesync und das Domänencontroller Zertifikat brauchst du z. B. für VPN oder IPSec Authentifizierung, hat also mit deinem Problem nichts zu tun.

Link zu diesem Kommentar

- OWA funktioniert, sowohl per Browser als auch auf den Mobilen-Geräten im Browser.

- SSL ist für owa.domain.de eingerichtet.

- Root-CA ist als Stamm-Cert auf dem Mobilen-Gerät vorhanden.

 

Beim synchronisieren kommt auch keine Fehlermeldung. Senden geht, empfangen nicht. Weder Mails, noch Kontakte, noch Termine.

 

Im System-Manager von Exchange, wenn man auf Öffentliche Ordner kommt, erscheint:

 

Der Servername auf dem SSL-Zertifikat ist falsch.

ID-Nr.: c103b404

Exchange-System-Manager

 

Das extern SSL für OWA hat aber einen richtigen Namen. Ich befürchte daher, dass ein zusätzliches SSL-Cert für den DC (Exchange) fehlt. Die Schritte für den Fehler oben habe ich übrigens schon ausprobiert, welche bei Microsoft dazu stehen.

 

Folgendes habe ich eben noch gefunden:

 

Hier die Lösung:

1. Im IIS für die Standardwebsite den Standard SSL-Zertifikat verwenden.

2. Den SSL-Port der Standardwebsite auf z.B. 445 wechseln.

3. Die Konfiguration der IIS Standardwebseite sichern.

4. Eine neue Webseite erstellen (aus Datei) die zuvor gesichete Konfigdatei einlesen.

5. Für die neue Webseite den offiziellen Zertifikat auf dem Port 443 verwenden und den richtigen hostheaderwert eintragen (z.B:owa.DOMÄNE.de )

Danach geht es.

 

Ich bin mir nur nicht sicher, ob ich das wagen sollte. Nicht das danach nichts mehr funktioniert.

Link zu diesem Kommentar

Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt.

 

Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst.

 

Bei Server ActiveSync kommt diese Meldung nicht und nach einem gewissen TimeOut bricht es ab.

 

Abhilfe, entweder Server ActiveSync ohne SSL, also Port 80 (allerdings mir persönlich zu unsicher) oder ein öffentliches Zertifikat kaufen.

Link zu diesem Kommentar

Hier die Möglichkeit, wie Du OWA auf SSL beläst, aber trotzdem Deine mobilen Geräte ohne SSL über Port 80 syncen kannst - allerdings ist das dann im Klartext, das muss Dir bewusst sein:

 

Ist Exchange (Webseite) nicht SSL, nur Punkt 1 machen!!!

 

1. Exchange System Manager starten: Globale Einstellungen > Mobile Dienste > Eigenschaften

Häkchen: OMA aktivieren, Nicht unterstützte Geräte aktivieren

2. IIS am Exchange ausführen

3. Contextmenü auf Ordner Exchange > Alle Tasks > Konfig in Datei sichern

4. Dateiname: ExchangeVDir

5. Contextmenü auf Ordner Standardwebsite > Neu > Virtuelles Verzeichnis (aus Datei)

6. Importieren: ExchangeVDir

7. Ort Exchange anwählen > OK > Alias: ExchDAV

8. Contextmenü auf Ordner ExchDAV > Eigenschaften > Verzeichnissicherheit > Bearbeiten (Authentifizierung & Zugriffssteuerung)

9. Häkchen: Integriert, Standardauth.

10. Bearbeiten (Einschränkungen für IP-Adressen und Domänennamen)

11. Zugriff verweigert > Hinzufügen > Einzelner Rechner > IP des Exchange

12. Bearbeiten (Sichere Kommunikation)

13. KEIN SSL

14. IIS beenden

15. Regedit starten

16. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters

17. Context auf Parameters > Neu > Zeichenfolge > Eingabe: ExchangeVDir

18. Contextmenü ExchangeVDir > Ändern > /ExchDAV

19. WWW Publishingdienst neu starten – Fertig

Link zu diesem Kommentar
Also meines Wissens kannst Du keine eigenen Zertifikate einer OrganisationCA für Server ActiveSync verwenden, die nicht von einer Vertrauenswürdigen, öffentlichen CA wie z.B. VeriSign und Konsorten kommt.

 

Ich nehme an, wenn Du innerhalb der Domäne den OWA machst, geht das Ganze ohne Zertifikatwarnung. Wenn Du versuchst, den OWA über das Internet zu erreichen, bekommst Du diese Zertifikat-Vertrauens-Fehlermeldung, die Du da ja bequem mit Trotzdem machen annehmen kannst.

 

Leider total falsch. Wenn du es richtig einrichtest und das SSL-Zertifikat deiner eigenen Zertifizierungsstelle exportierst und auf den Clients im Stammspeicher für Vertrauenswürdige blabla importierst, erscheint auch beim externen Aufruf keine Zertifikatswarnung mehr. ;)

 

Die zweite Anleitung hast du auch falsch verstanden und ist im Original von der Microsoft Webseite. Es ist DIE möglichkeit, OWA mit Formularbasierter Authentifizierung und SSL zu verwenden und DENNOCH ActiveSync über SSL nutzen zu können.

 

Link:

Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003

Link zu diesem Kommentar

Morgen,

 

zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten - mag sein, dass ich da immer Fehler gemacht habe - jedoch ging ein öffentliches Zertifikat immer auf Anhieb.

Außerdem meine ich mich zu erinnern bei einem Track von Daniel Melanchton letztes Jahr genau gleiches Problem gehört zu haben, dass eigene CA's dabei Schwierigkeiten machen.

 

Just for fun könntest Du ja mal zur Fehlereingrenzung das Ganze nur mal ohne SSL probieren (natürlich im LAN). Gehts dann hast Du zumindest die Gewissheit, dass es an der SSL Kommunikation hakt.

 

zu 2) Richtig, die kleine Anleitung hat was mit dem Link zu tun, den Du gepostet hast. Jedoch abgewandelt. Meine Beschreibung erklärt den Weg für den Fall, dass OWA zwingend SSL erfordert, Du aber Server Active Sync über Port 80 machst. Sollte Dein OWA Formbased sein, müßte meine Erklärung nachmal weiter abgewandelt werden.

 

Was passiert da?

Wenn Du im IIS das Verzeichnis /Exchange mit SSL zwingend versiehst, würde OWA und AS auch zwingend SSL erfordern.

Mit der Anleitung erzeugst Du Dir ein zusätzliches /Exchange Verzeichnis in Kopie, modelst das in nicht SSL um und sagst in der Reg., Kamerad - Du bist das nicht SSL Verzeichnis wo du zu syncen hast.

Daher ist meine 2. Aussage was den Gedanken angeht vollkommen richtig ;) Ob Du es tun möchtest ist eine andere Sache

Link zu diesem Kommentar
zu 1) Also mir ist es bisher noch nicht gelungen, meine eigene CA in einem mobilen Gerät als vertrauenswürdig einzurichten

Das Problem liegt dabei hauptsächlich bei Smartphones. Diese sind nämlich vor Installationen abgesichert, somit lässt sich dort auch kein eigenes Stammserver Zertifikat als vertrauenswürdig einrichten, da dass einen Systmeingriff darstellt. Daher würde ich dort auch immer kommerzielle Zertifikate empfehlen.

Hat man allerdings kein Smartphone, sondern z. B. einen HTC Universal (MDA Pro etc.), dann kann man ohne Probleme Stammserver Zertifikate installieren und dann klappt auch der Activesync problemlos.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...