Iphone mit Exchange 2010 - Zertifikat nicht gültig

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
Hallo Ihr Lieben,
ich versuche hier gerade auf ein Iphone 7 mit IOS 11.3.1 ein Exchange2010 Konto einzurichten. Leider sagt das Iphone, dass das Zertifikat nicht vertrauenswürdig ist. Jetzt habe ich extra einen neuen RAS-Schlüssel mit der Schlüsselgröße 2048 machen lassen, aber auch hier vertraut das Iphone dem nicht.
Es sagt,
Kritisch: Ja
Verwendung: Digital Signature, Key Encipherment

Alle anderen Geräte (Iphone6 und Android-Geräte) haben kein Problem mit dem Schlüssel. Oder suche ich an der falschen Stelle. Mit dem Konto sollen nur Termine abgeglichen werden.
Hoffe auf Eure Hilfe :)

lg Marco
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Hallo Marco,
erstmal herzlich willkommen hier im Forum:D
Die Möglichkeit einfach auf "Fortsetzen" ist nicht vorhanden?
Wenn nicht, ein gültiges Zertifikat per E-Mail schicken und installieren.

LG
Thomas
 
  • Like
Reaktionen: MarcoKropp

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
Danke für die schnelle Antwort.
Nein leider kein Button mit Fortsetzen oder ähnliches.
Kannst du das etwas genauer erklären. Wo bekomme ich das Zertifikat her? Muss ich mir das vom Exchange server holen?
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Ja, auf dem Exchange Server erstellen, dann per Mail auf das iPhone, aber nicht mit Outlook verschicken, *.cer Anlagen werden blockiert.
Ich nutze für solche Fälle ein Gmail Konto.
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
hmm... OK.
Wenn ich das Zertifikat exportiere, dann erhalte ich .pfx-Datei und nicht *.cer
Außerdem gibt es auf dem Server ein Zertifikat mit dem Status "Dies ist eine ausstehende Zertifikatssignieranforderung" - Muss ich da was fregeben?
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Details kann ich dir zur Erstellung der cer Datei leider nicht geben, das macht immer unser Exchange Admn.
Und den kann ich im Moment nicht fragen, habe leider :eek:Urlaub
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
na der Urlaub sei dir doch gegönnt :)
Ich habe jetzt das pfx-Zertifikat auf dem Iphone installiert - aber ich sehe es nicht unter "Einstellungen" > "Allgemein" > "Info" > "Zertifikatsvertrauenseinstellungen".
Auch wenn ich jetzt das Konto neu einrichten will, vertraut er dem Zertifikat nicht. Ein anderes Zertifikat kann ich nirgendwo auswählen.
Ich glaub ich kauf dem Kollegen ein Android gerät :confused::p
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Nur nicht so schnell aufgeben, du schaffst das :D
oder das Konto gefühlte 100 Mal einrichten, dann soll es irgendwann auch ohne Zertifikat klappen.
Hat mir mal jemand erzählt, habe ich noch nie ausprobiert, dafür bin ich zu ungeduldig.
Das seltsame an dem Zertifikatsproblem ist ja auch, das es nicht bei jedem iPhone auftritt, auch wenn alle die selbe IOS Version installiert haben:rolleyes:
 

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
21.414
Du musst cer benutzen und im Idealfall hast Du ein Password darin.
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
ohje... 100 x ... Puhhh.... bin erst bei 8 x... :(
Mein eigenes Konto funktioniert übrigens auch nicht... :mad:

Wie bekomme ich ein *.cer Zertifikat?
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Das er cer nutzen muss, das ist ihm scon bekannt:rolleyes:
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
OK, kann es an dem selbst signifiziertem Zertifikat liegen? Muss ich vielleicht eins kaufen? Jedenfalls kann ich nur als pfx exportieren.
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Nein, kaufen musst du nix.
Beim Erstellen des Zertifikates gibt es auf dem Exchange Server eine Möglichkeit ein CER Zertifikat zu erstellen.
 

Mitglied 98257

Gast
Hallo,

zur Not spielst Du das Stammzertifikat von der Active-Directory-Zertifizierungsstelle als vertrauenswürdiges Stammzertifikat auf dem iPhone ein?!?

Mache ich grundsätzlich.

Alternativ kann man auch einen reversen Proxy mit öffentlichem (z.B. via LetsEncrypt signiertem) Zertifikat bor den Exchanger klemmen.

Gruß,
Jörg
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
Hallo Jörg,

das mit dem Stammzertifikat habe ich versucht. Wo ist der Fehler:
1. Zertifizierungsstelle auf dem AD öffnen und Zertifikat öffen.
2. Unter Details den Button "In Datei kopieren..."
3. DER-codiert-binär X.509 (.CER) wählen, Namen vergeben und speichern.
4. Per Gmail ans Iphone schicken und installieren.

Wo finde ich dann dieses Zertifikat? Unter Zertifikate wird es mir nicht angezeigt. Das pfx konnte ich unter Profile finden...

was habe ich falsch gemacht?

Gruß - Marco
 

MarcoKropp

Golden Delicious
Registriert
22.05.18
Beiträge
10
Wenn ich jetzt das Konto auf dem Iphone einrichten will kommt folgende Meldung: Serveridentität kann nicht überprüft werden. Im Zertifikat steht "Nicht vertrauenswürdig" , obwohl es sich um unser Zertifikat handelt. ;-(
 

Mitglied 98257

Gast
Hallo,

Du kannst keine Zertifikate per E-Mail an ein iPhone schicken - die werden wegzensiert...

Ich lade die immer per ftp auf einen Webspace und tippe die URL im Safari ein. Letztendlich muss das unter Profile auftauchen.

Ein Clouddienst dürfte das auch können.

Gruß,
Jörg

Edit: Wollte gerade Screenshots hochladen, aber leider geht das hier mit meinem iPhone nicht. Warum delegierst Du das eigentlich nicht an den Admin? Der wird dafür bezahlt...
 

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
Natürlich kann man Zertifikate an ein iPhone schicken, schon oft genug gemacht.
Nur nicht mit Outlook als Client, habe ich aber auch schon so geschrieben
 
  • Like
Reaktionen: trexx

ThomasBn

Lambertine
Registriert
08.12.15
Beiträge
703
@ MarcoKropp

Also ich sehe die CER Zertifikate unter Allgemein => Profile.
Wenn es nicht da ist, ist beim installieren was schief gelaufen.
 

Mitglied 98257

Gast
Hallo,

in den Details von dem Zertifikat sollte bei Verwendung "Digital Signature", "Cert Sign" und "CRL Sign" stehen.

Das eigentliche Zertifikat muss die interne und externe URL vom Exchange beinhalten und diese müssen natürlich auch korrekt vom Autodiscover geliefert werden. Das ist nicht immer selbstverständlich... ;)

Gruß,
Jörg