Iphone mit Exchange 2010 - Zertifikat nicht gültig

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
ja unter Profile habe ich es gefunden, auch schon das pfx-Zertifikat. Aber irgendwie akzeptiert das Handy dieses Zertifikat nicht. Ich habe den Fall vorhin an einen Externen weiter gegeben. Der ist überzeugt, dass es es hinbekommt, ohne ein sicheres Zertifikat kaufen zu müssen. Mal sehen, ob wir morgen weiter kommen. Euch schon mal ganz lieben Dank für die tolle Hilfestellung.
 
  • Like
Reaktionen: ThomasBn und dg2rbf

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Bin auf die Lösung gespannt!
Bitte Rückmeldung geben;)
 

Mitglied 98257

Gast
Hallo,

meine Vermutung ist:
- das Exchange-Zertifikat wurde statt des Stammzertifikates eingespielt
- das Exchange-Zertifikat stammt von einer anderen Zertifizierungsstelle
- Die URLs vom Autodiscover passen nicht zum Zertifikat

Mich würde es auch interessieren :)

Gruß,
Jörg
 

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.332
Unabhängig vom Zertifikat, was funktioniert hat bei mir in der Fa:

Per Teamvierwer mit dem Handy verbinden, dort gibt es dann die Möglichkeiten das Exchange Konto als Profil einzugeben und zu übertragen. Man kann es zwar auf dem Handy Anschl. Nicht mehr ändern, aber auf jeden Fall akzeptiert iOS dann ohne Änderung das Konto und sein Zertifikat.
 
  • Like
Reaktionen: dg2rbf

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
Guten Morgen. Der Externe hat gestern abend erst mal den Exchangeserver von SP1 auf SP3.1 upgedatet. Leider kann ich es immer noch nicht direkt einrichten. Per Outlook-App geht es jedoch komischer weise. Dort kommt die Abfrage, ob ich dem unsicheren Zertifikat vertraue. Lt. Externen gibt es da Probleme beim Apfel.
Der Kollege wollte eigentlich nur die Termine aus dem Exchange in seinem Kaledner haben. Jetzt hat er einen zusätzlichen Kalender. Mal sehen, ob ihm das so reicht.
 

Mitglied 98257

Gast
Hallo,

unglaublich, dass Externe an derartige simplen Dingen scheitern.

Ich bin noch viel zu billig.

Gruß,
J.

Ergänzung: Die Outlook-App ist datenschutztechnisch sehr umstritten.
 
Zuletzt bearbeitet von einem Moderator:

Mitglied 231919

Gast
Ich hänge mich hier mal an, da ich auch mit der Exchange Einrichtung auf einem iPhone beschäftigt bin. Wie bekomme ich denn das Exchange Zertifikat auf das iPhone übertragen? Ich habe nicht den Eindruck dass es intelligent ist das Zertifikat per E-Mail zu verschicken und so im Internet zu verbreiten. Oder sehe ich das falsch?
 

Mitglied 98257

Gast
Hallo,

genau das habe ich ein paar Antworten vorher beschrieben.

Gruß,
Jörg
 

Mitglied 231919

Gast
Moin,
Jau, habe mir gestern auch temporär einen ftp organisiert. Dann liegt das Zertifikat wenigstens nicht auf irgendwelchen Gmail-Servern rum und ich kann es danach gleich wieder löschen.
MfG
 

Mitglied 231919

Gast
Kann mir jemand einen Tipp geben wie ich mit Safari auf den FTP-Server komme? Wenn ich ftp://....: portnummer eintippe sagt er nur "Sie haben nicht die Berechtigung auf ... zuzugreifen." Ist ja richtig, nur habe ich keine Möglichkeit die Zugangsdaten einzugeben. Und wenn ich ftp://username: passwort@... eingebe ignoriert Safari dies einfach.

Und die Installation von FTPManager findet auf dem Gerät nicht statt. Habe zwei mal im Store auf Laden gedrückt und nichts ist passiert.
 
Zuletzt bearbeitet von einem Moderator:

Samson39

Wohlschmecker aus Vierlanden
Registriert
15.10.17
Beiträge
237
Zum Thema: SHA1 oder SHA256? SHA1 ist böse. Die Windows-CA muss man umkonfigurieren, damit sie SHA256 ausstellt. Google hilft.
 

Mitglied 231919

Gast
Also. Habe unser Exchange-Zertifikat auf unserem Fritz-NAS abgelegt und über Safari runtergeladen, installiert und Root-Zugriff aktiviert. Bei der anschließenden Einrichtung des Exchange-Kontos hat das iPhone trotzdem gemault, dass das Zertifikat nicht vertrauenswürdig ist. Es handelt sich um ein selbst ausgestelltes SHA1 Zertifikat. Es scheint also jetzt am Zertifikat selber zu liegen. Wenn unsere Windows-CA auf SHA256 umgestellt wird, wird es dann klappen oder wird das Gerät immernoch maulen, dass das Zertifikat von einer nicht vertrauenswürdigen Stelle ausgestellt wurde?
 
Zuletzt bearbeitet von einem Moderator:

Balkenende

Manks Küchenapfel
Registriert
12.06.09
Beiträge
11.228
Eher nicht, aber wenn es von Dir kommt, könntest Du es dennoch akzeptieren, wenn wieder gemeckert wird...
 

Mitglied 231919

Gast
Mich wundert ohnehin, dass er das Zertifikat trotz Root-Zugriff bemängelt. Normalerweise müsste er doch nach der Freischaltung mit dem Zertifikat arbeiten.
 

Mitglied 98257

Gast
Hallo,

zum dritten Mal - das sind unterschiedliche Zertifikate.

Das iPhone benötigt nicht das Exchange-Zertifikat, sondern das Zertifikat von der Stammzertifizierungsstelle (welche das Stammzertifikat ausgestellt hat).

Weiterhin muss das Exchange-Zertifikat alle(!) Hostnamen des Exchange-Dienstes abdecken. Es soll ja Pappenheimer geben, die intern und extern mit unterschiedlichen Namen arbeiten :)

Gruß,
Jörg
 
  • Like
Reaktionen: trexx und dg2rbf

check71

Erdapfel
Registriert
02.12.18
Beiträge
3
Nabend zusammen,

bin neu hier und habe mich extra für die Antwort (und hoffentlich) Lösung angemeldet:

Folgendes habe ich mit unserem (echt genialen) Externen am Freitag „erkämpft“ ;o)

1. Wie schon mehrfach hier geschrieben, muss das root!!! Zertifikat der Domäne auf dem IOS Gerät installiert werden (wie das geht steht hier auch schon mehr als einmal)

2. wenn das passiert ist (und das steht hier noch nicht) muss diesem Zerifikat noch aktiv!!! in Einstellungen - Allgemein - Info - Zertifikatsvertrauenseinstellungen vertraut werden ( Schalter auf Ein stellen)

3. Exchange Konto neu anlegen. Im Feld Server muss der Name so angegeben werden, wie er im Zertifikate hinterlegt ist.
Da ich ausschließlich via VPN reingehe, steht da bei mir

ExchangeServer.domäne.local

Dann MUSS es gehen. Selbst getestet...

Hat mich und unseren Externen am Freitag 1-2 Stunden gekostet.

Das „Phänomen“ scheint bei frischem IOS 12 Geräten aufzutreten, welche unter älteren IOSen dem Exchange Zert. noch nicht durch „Fortsetzen“ vertraut haben.

Hoffe es hilft dem ein oder anderen weiter.

Bis denn

Edit: geht auch mit SHA1
 
Zuletzt bearbeitet:
  • Like
Reaktionen: trexx und dg2rbf

Mitglied 98257

Gast
Hallo,

dann muss er ja irgendwie die AD-Domäne auflösen können.

Schiebt der alle DNS Anfragen via VPN auf den DC oder nur die AD-Domäne?

Was für VPN Gateways nutzt Ihr?

Gruß,
Jörg
 

check71

Erdapfel
Registriert
02.12.18
Beiträge
3
Hallo,

ja das muss er, ohne das zu können, wird es auch nicht funktionieren, weil er ja den ExchangeServer gegen den Eintrag in dem Zertifikat abgleicht.

Wir setzen Lancom ein, dort wird dann der richtige DNS des AD auch mit übergeben.

Ich hoffe dass ich deine Fragen beantworten konnte.

VG
 
Zuletzt bearbeitet:

pietnömmes

Fießers Erstling
Registriert
12.11.12
Beiträge
127
Guten Morgen,

gefühlt habe ich mich schon 3-4 Jahre nicht mehr angemeldet, immer nur still mitgelesen. Zum Thema Exchange würde ich aber gerne meinen Senf dazugeben.

Also:

Grundsätzlich sollte der Exchange 2010 durch einen 216er abgelöst werden... aber das löst hier nicht das eigentliche Problem. Ist nur meine Meinung.

Ich halte die ganzen Warnmeldungen vom iPhone für berechtigt! Selbst signierte Zertifikate oder falsch konfigurierte Exchange, sollten in heutigen Zeiten nicht vertraut werden.

Um es richtig und sauber zu konfigurieren, sollte der MX Eintrag und der Autodiscover beim Provider auf das richtige Ziel zeigen.

Das MailGateWay, Firewall, Router, UTM oder was auch immer bei euch steht, sollte die SMTP Anfragen zum Exchange durchleiten.

Der Exchange bekommt nun ein offiz. Zertifikat spendiert. Diese, knapp 150 Euro (Jahr), sollte jede Firma investieren.

Ich kann die DV Zertifikate von GlobalSign Empfehlen. Hier ist neben dem eigentlichen Namen (z.B. mail.meinefirma.de) der Autodiscover Eintrag (z.B. autodiscover.meinefirma.de) kostenlos dabei.

Der Admin stellt nun eine neue Anforderung auf dem Exchange welche an den richtigen Stellen die beiden Einträge (mail.xxxx und autodiscover.cccc) enthalten, schließt die Anforderung ab, weist die Dienste zu und konfiguriert die Virtuellen Verzeichnisse (intern UND extern) auf dem Exchange. Infos , für Exchange unerfahrene Admins, gibt es massenhaft im Netz. Der Admin sollte auch nicht vergessen den internen DNS entsprechend zu konfigurieren. Stichwort: Split DNS. Zudem verteile ich das Ausgestellte Zertifikat vorher gerne noch per GPO. So kennen die Clients dieses schon vor Umstellung des Exchange Servers.

Hat euer Admin / Netzwerkadmin alles richtig gemacht, ist der Exchange nun immer über "mail.meinefirma.de" zu erreichen. Es kommen auch keine Zertifikatswarnungen mehr...Outlook, Handys etc laufen einfach!

Für den ein oder anderen liest sich das jetzt vermutlich wie eine Wochenaufgabe. Sowas ist aber, wenn Zertifikat vorhanden, in einer Stunde durchkonfiguriert.

Zusammengefasst mein Tip: Exchange mit offiz. Zertifikat einmal richtig konfigurieren. Dann ist Ruhe im Karton.
 
  • Like
Reaktionen: dg2rbf