Windows Phone 7 & Exchange 2007 mit Zertifikat - Es geht nicht...

LaMagra-X

LaMagra-X

Enthusiast
Thread Starter
Mitglied seit
17.01.2004
Beiträge
5.578
Ort
127.0.0.1
Hi zusammen.
Ich verzweifel langsam an einem WP7 Mobiltelefon. Es will einfach nicht auf einen Exchange mit einem eigens erstellen Zertifikat verbinden.

Die Fehlermeldung seht ihr im Screenshot.

Ich habe jetzt schon vesucht das Zertifikat (in verschiedenen Formaten) über einen Webmail Account zu installieren, was auch geklappt hat. Aber die Fehlermeldung bleibt trotudem dieselbe.

Habt ihr noch eine Idee?
 

Anhänge

  • IMAG0130.jpg
    IMAG0130.jpg
    62,6 KB · Aufrufe: 40
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Laut dem Fehlercode passt der Name vom Server im Zertifikat nicht mit dem Namen vom Server überein.
 
Aha.
Wie lässt sich das überprüfen bzw. ändern? Ich hab Zugriff auf den Zertifikatsserver (CA).

Danke schon für den Hinweis!

Grüße
 
Im Zertifikat müsste ja irgendwo z.B. exchange.domain.tld stehen. Und wenn du den Server jetzt über: exchange1.domain.tld aufrufst ist das Zertifikat ungültig.
 
Erstelle einfach ein neues Zertifikat. Anleitungen dazu gibts zu Hauf im Netz. Entweder du lässt eins über die Exchange PowerShell erstellen und verwendest dies (ist glaube ich ein Jahr lang gültig) oder aber du hast ne eigene CA in deiner/eurer Domain und erstellst dir dort eins... Das ganze musst du dann noch über die Exchange PowerShell auf dem Exchange einbinden. Wie gesagt, google hilft dir da weiter mit Anleitungen zu Hauf. Ansonsten einfach mal beim technet vorbei schauen. MS hat da auch Anleitungen, wenn du des englischen mächtig bist...

Wichtig ist halt, das du für ActiveSync ein Zertifikat ausstellst, was auch auf den extern erreichbaren FQDN des Servers passt. Ist das nicht der Fall, so kommt die Fehlermeldung. Leider können Windows Mobile Geräte wohl die Meldung nicht ignorieren. Beim iPhone zum Beispiel geht das einfach zu ignorieren... ;)

Die wohl sauberste Methode wäre aber wohl ein Zertifikat zu kaufen ;) Das auch anständig signiert ist und offiziell anerkannt ist. Sowas kost auch nicht sonderlich viel Geld.
 
Zuletzt bearbeitet:
Du musst ein Multiple Domain Zertifikat erstellen.
Dies kannst Du entweder inoffiziell am Server erstellen (ein Jahr gültig, dann erneuern) oder aber offziell bei z.B. GoDaddy.
Ich denke Du wirst bei Smartphones etc nicht um godaddy herumkommen.

Den Rest, wie man beispielsweise das Cert erstellt, kannst Du bei msxfaq nachlesen.

Im Grunde benötigst Du nur New-ExchangeCertificate.
 
Hummerman schrieb:
Laut dem Fehlercode passt der Name vom Server im Zertifikat nicht mit dem Namen vom Server überein.
Zum Vergrößern anklicken....

Das war des Rätsels Lösung.

Die externe IP des Exchanges hat keinen DNS Eintrag. Wenn man jedoch den DNS Namen eingibt und sich im WLAN (also im internen Netz befindet, wo der Name aufegelöst werden kann) funktioniert das Zertifikat und die Mails können abgerufen werden.

Vielen Dank nochmal für den entscheidenden Tipp :)

EDIT:


Hummerman schrieb:
Man muss nur das eigene CA-Zertifikat auf dem Smartphone installieren, dann gehen auch eigene.
Zum Vergrößern anklicken....

Wie genau ist das gemeint? Bzw. wo kann ich das CA Zertifikat exportieren?

Danke
 
Hummerman schrieb:
Wenn er als Fehler meldet, dass das Stammzertifikat ungültig ist, muss man das CA-Cert installieren. Das findet man bei einer Windows-CA unter http://servername/certsrv
Zum Vergrößern anklicken....

Ich denke wenn muss es https heißen, oder?

Das funktioniert bei dem Mailserver leider nicht. Habe ich schon getestet.

Im IIS ist das Zertifikat aber sichtbar (von und für Mailserver).
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    11,9 KB · Aufrufe: 28
Zuletzt bearbeitet:
Das mit dem https:// ist ab Windows Server 2008 sehr wahrscheinlich, bei 2003 ist es standardmäßig nicht verschlüsselt.

Certsrv gibt es aber nur auf dem Server, auf dem auch die Zertifizierungsstelle läuft.
 
Zuletzt bearbeitet:
Muss man da nicht noch die Bindung aktivieren?

Wenn ja bei welcher Site? Default-Website?

Habe jetzt die relevanten Server probiert...keiner hostet die entsprechende Seite.

Aber ich kenne die URL vom Server 2008.
 
Ich habe das zuletzt bei 2003 eingerichtet, wie das bei 2008 genau ist, kann ich dir nicht sagen.

Aber wenn du direkten Zugriff auf die Zertifizierungsstelle hast, kannst du es dir auch dort raus kopieren.
 
Hummerman schrieb:
Wenn er als Fehler meldet, dass das Stammzertifikat ungültig ist, muss man das CA-Cert installieren. Das findet man bei einer Windows-CA unter http://servername/certsrv
Zum Vergrößern anklicken....

Moment, das sind zwei paar Schuhe...
Der Exchange hat für seine Dienste eine eigene Zertifikatsverwaltung.
Das heist, es brauch beispielsweise ein Zertifikat für Outlook Web Access (Webmail) und auch ActiveSync (was hier von bedeutung ist) ebenso wie für IMAP, POP, SMTP usw.

Da es sich hier um Website Zugriff handelt, ist das Ganze ist im IIS7 Manager sichtbar... Dort kann man im lokalen Zertifikatsspeicher die aktuellen mit dem IIS verankerten Zertifikate ansehen. Und auf Website ebene kann man die Bindung der Website mit einem Zertifikat betrachten/ändern. Std. mäßig stellt der Exchange diese Zertifikate selbst aus, die sind dann ein Jahr lang gültig.
Nach dem Jahr bedarf es neue...
Für das Vorhaben hier ist es erforderlich, das Zertifikat von ActiveSync einfach auf dem SmartPhone vertraut zu machen. Wie man das anstellt ist eigentlich recht Banane.
Also man kann das jetztige Zertifikat nehmen und auf dem Phone einspielen, oder man kann ein neues ausstellen und zum Phone schaffen sowie in den ISS portieren und für ActiveSync nutzen. Ob das neue Zertifikat von der CA der Domäne kommt oder vom Exchange selbst lokal ausgestelt wurde, spielt erstmal keine Rolle.
In größeren Umgebungen bietet es sich aber an die CA dafür zu nutzen... Einfach weil man so viel einfacher viel mehr Clients erreichen kann. In dem Fall greift dann die Methode CA-Zertifikat auf Client. Aber auch nur in dem Fall ;)
Ist das für ActiveSync registrierte Zertifikat vom Exchange selbst, so nutzt das CA Zertifikat nix ;)


Im übrigen, Zertifikate sind ein heißes Eisen... Ich an der Stelle des TEs würde da nicht so rumfuschen, es klingt nicht gerade, als steigt er durch die Matherie durch... ;) Nichts für ungut, aber Zertifikate sollen für Sicherheit sorgen, und bei falscher Handhabe geht das schnell nach hinten los.

LaMagra-X schrieb:
Im IIS ist das Zertifikat aber sichtbar (von und für Mailserver).
Zum Vergrößern anklicken....

Wenn bei von und für der lokale Mailserver drin steht, so ist das Zertifikat durch ihn selbst ausgestellt wurden. Das bedeutet, es ist ein ein Jahr gültiges offiziell als Testzertifikat gemeintes Std. Zertifikat um überhaupt erstmal Sachen machen zu können.
Siehe paar Zeilen weiter oben, das CA Zertifikat wird dir in dem Fall wenig nutzen ;)

Aber anhand deines Bildes sieht man, das dein Zertifikat dort noch 3 Monate gültig ist, sprich du solltest dir langsam gedanken machen, dort was neues reinzubekommen...
Denn wenn das Teil abgelaufen ist, gehts wieder nicht mehr... Es sei denn die Geräte können Zertifikatsmeldungen ignorieren. ;)

Du könntest in dem Fall gleich ein Zertifikat über die CA ausstellen, bzw. an diese eine Anforderung senden und ein CA Zertifikat nutzen. Das macht die Sache dann etwas leichert, auch kannst du dort die Laufzeit von einem Jahr nach oben drehen...

Für eine sofortige Lösung nimmst du dir aber dieses Zertifikat, was dort drin steht, was gebunden ist an die Website, wo ActiveSync drin läuft und spielst es auf das SmartPhone ein. So wird es auch Zugriff haben, zumindest bis zum Ablauf.
 
Okay.
Soweit habe ich alles verstanden. Die Sache ist nur, dass ich die Zertifikatsverwaltung in diesem konkreten Fall nicht selbst aufgebaut habe. Daher wusste ich nicht genau, ob nun doch eine hirarchische Zertifikatsverwaltung besteht oder nicht.

Offenbar nicht wie du auch schon selbst festgestellt hast. Unser Exchange hat das Zertifikat selbst ausgestellt.

fdsonne schrieb:
Für eine sofortige Lösung nimmst du dir aber dieses Zertifikat, was dort drin steht, was gebunden ist an die Website, wo ActiveSync drin läuft und spielst es auf das SmartPhone ein. So wird es auch Zugriff haben, zumindest bis zum Ablauf.
Zum Vergrößern anklicken....


Aber jetzt kommt der Knackpunkt. Ich habe das bestehende Zertifikat schon in jeglicher Form auf dem WP7 bekannt gemacht.

Ich habe es (in mehreren Formen) exportiert, mir an einen Webmail Account geschickt...es auf dem WP7 geöffnet und installiert.

Trotzdem will das WP7 das Outlook Konto nicht synchronisieren, wenn man die IP Adresse des Servers verwendet.

Nur wenn ich im internen WLAN bin (mit DNS Auflösung des Namens "Mailserver") synchronisiert WP7.

Ich weiss jetzt auch nicht, was ich noch machen soll. Das Zertifikat ist auf jeden Fall auf dem "blöden" WP7 installiert und bekannt.


Das Zertifikat entählt aber lediglich den Public-Key. Kann es sein, dass es noch den Private-Key benötigt?


Grüße und danke!
 
Zuletzt bearbeitet:
Es nützt nichts, wenn das Zertifikat installiert ist, du aber über die IP den Server ansprichst.

@fdsonne: Diese eigenen Exchange-Zertifikate sind mir beim 2003er nicht bekannt, bei 2010 habe ich die nur kurz zum Testen benutzt, sind halt sehr unpraktisch.
 
LaMagra-X schrieb:
Aber jetzt kommt der Knackpunkt. Ich habe das bestehende Zertifikat schon in jeglicher Form auf dem WP7 bekannt gemacht.

Ich habe es (in mehreren Formen) exportiert, mir an einen Webmail Account geschickt...es auf dem WP7 geöffnet und installiert.

Trotzdem will das WP7 das Outlook Konto nicht synchronisieren, wenn man die IP Adresse des Servers verwendet.

Nur wenn ich im internen WLAN bin (mit DNS Auflösung des Namens "Mailserver") synchronisiert WP7.

Ich weiss jetzt auch nicht, was ich noch machen soll. Das Zertifikat ist auf jeden Fall auf dem "blöden" WP7 installiert und bekannt.


Das Zertifikat entählt aber lediglich den Public-Key. Kann es sein, dass es noch den Private-Key benötigt?


Grüße und danke!
Zum Vergrößern anklicken....

Mhhh stimmt, ich vergaß, du wirst wohl doch nicht um das Austauschen des Zertifikates drum rum kommen...
Einfach aus dem Grund, das Std. Zertifikat ist nur auf den internen FQDN des Mailservers ausgestellt. Deswegen funktioniert das Zertifikat im WLAN, wo eben DNS funktioniert und das SmartPhone über den internen DNS Namen den Mailserver erreichen kann...
Von extern über die INet Leitung geht es logischerweise nicht, weil der externe DNS Name unter dem ActiveSync erreichbar ist, nicht mit dem Zertifikat passt.
Das heist, du musst doch ein Zertifikat ausstellen und dies für ActiveSync verdrahten. Beim Ausstellen des Zertifikates kannst du dann die DNS Namen für die es gilt auch selbst bestimmen. Dort trägst du einfach zusätzlich zum internen DNS Namen den externen DNS Namen ein, welchen das SmartPhone für ActiveSync wählt. Per IP sollte das denke ich auch gehen, aber DNS ist sinnvoller in meinen Augen.
Dieses Zertifikat stellst du am besten gleich über die CA aus. Dann kannst du das CA Zertifikat auch gleich auf dem SmartPhone verdrahten und schon rennt der Hase...

Mir ist aber auch schon aufgefallen, das Windows Mobile da sehr stürrisch ist, andere Gerätschaften können Zertifikatswarnungen einfach ignorieren ;)
Am sichersten wäre es hier übrigens ein gekauftes Zertifikat zu nutzen, das würde in dem Fall sogar dem Outlook Web Zugriff ohne Warnmeldungen von jeglichen PCs weltweit erlauben. Mit nem CA ausgestellten Zertifikat wären die Meldungen nur für Domänen PCs weg. Von Zuhause hingegen nicht.

Hummerman schrieb:
Es nützt nichts, wenn das Zertifikat installiert ist, du aber über die IP den Server ansprichst.

@fdsonne: Diese eigenen Exchange-Zertifikate sind mir beim 2003er nicht bekannt, bei 2010 habe ich die nur kurz zum Testen benutzt, sind halt sehr unpraktisch.
Zum Vergrößern anklicken....

Die sind halt standardmäßig dabei... Also nach der Installation des 2007ers in dem Fall sind die dort drin. Und es funktioniert ja auch für den Anfang. Nur sollte man diese halt normal austauschen und seinen bedürfnissen anpassen. Was in dem Fall nicht geschehen ist...
Aber wie gesagt, zu unterscheiden ist ganz klar ein vom Exchange selbst ausgestelltes gegenüber einem von der CA ausgestelltes. Mit der CA ist man deutlich flexibler, es macht aber auch etwas mehr aufwand, und man muss mit der CA vertraut sein ;)
 
fdsonne schrieb:
Mir ist aber auch schon aufgefallen, das Windows Mobile da sehr stürrisch ist, andere Gerätschaften können Zertifikatswarnungen einfach ignorieren ;)
Zum Vergrößern anklicken....
manche sehe dieses verhalten einiger systeme als sehr sicherheitskritisch und entgegen dem sinn eines zertifikats
fdsonne schrieb:
Am sichersten wäre es hier übrigens ein gekauftes Zertifikat zu nutzen, das würde in dem Fall sogar dem Outlook Web Zugriff ohne Warnmeldungen von jeglichen PCs weltweit erlauben. Mit nem CA ausgestellten Zertifikat wären die Meldungen nur für Domänen PCs weg. Von Zuhause hingegen nicht.
Zum Vergrößern anklicken....
die class 1 zertifikate von startssl sind gratis und in modernen systemen ist die root ca von startssl in der vertrauenswürdigen liste drin -> keine warnmeldung auch von zu hause und das für lau.

StartSSL
 
Zuletzt bearbeitet:
0711 schrieb:
manche sehe dieses verhalten einiger systeme als sehr sicherheitskritisch und entgegen dem sinn eines zertifikats
Zum Vergrößern anklicken....

Das ist natürlich richtig, aber wenn ich als Systemadministrator in einer Firma den Firmen Exchange dazu bringen will, mit Firmen SmartPhones zu reden, so muss ich in dem Fall dennoch ein offizielles Zertifikat besorgen, oder mich eben verbiegen mit Sachen ala Zertifikate importieren usw.

Für den privat Gebrauch, von wegen, ich nutze mein SmartPhone in Verbindung mit einem Exchange von einem Anbietet im Netz ist das natürlich anders...
 
fdsonne schrieb:
Mir ist aber auch schon aufgefallen, das Windows Mobile da sehr stürrisch ist, andere Gerätschaften können Zertifikatswarnungen einfach ignorieren ;)
Zum Vergrößern anklicken....

Das ist es eben. Windows Mobile & Phone 7 sind da einfach nicht "smart" genug.

Das ist einfach nur nervig und macht einfach unnötig viel Arbeit.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh