Hallo zusammen,
ich suche schon seit längerem die Möglichkeit sich bei Exchange mit Client Zertifikaten anzumelden z.B. ein iPhone. Das einzige, was ich bisher ermittelt habe und ich mir relativ sicher bin, ist, dass man eine Zertifizierungsstelle benötigt und im IIS des Exchange Servers SSL auf "required" stellen sollte. Die restlichen Fragmente habe ich nicht zusammen bekommen. Könnte mich jemand führen?
Setup: Exchange 2019, Sophos WAF
Vielen Dank in Voraus,
Vendetta
Hi,
das Thema Client Zertifikate für ActiveSync ist hier im Detail beschrieben:
In Verbindung mit der UTM habe ich das allerdings noch nie probiert.
Gruß,
Frank
Auf der Seite war ich schon mal, habe aber absolut gaaaaar nichts verstanden. An Deine Anleitungen kommt halt nichts ran, Frank :c)
Das wäre mir eine Spende wert :)
Ich bin jetzt selbst so weit wie in diesem Link gekommen.
Das gilt natürlich nur für Webseiten. Im Falle eines Exchange Server erwarte ich jedoch ähnliches. Nur, nun kam ein neues Problem dazu:
Ich sichere meinen Webserver und Exchange Server mit einer WAF von Sophos (UTM SG). Diese bricht ja die Kette auf und es kommt ein 403 Verboten - logisch. Nur, wie bringt man die Firewall dazu die Zertifikate durchzureichen? Geht das überhaupt oder muss ich die WAF abschalten und per Port Forwarding arbeiten? Das wäre vermutlich weniger sicher oder wäre dann die Authentifizierung per Zertifikat sogar sicherer als über die WAF?
Hi,
die CBA über WAF ist mir bisher auch noch nicht gelungen. Aber per NAT direkt auf den/die Server oder Loadbalancer, das geht schon. Per WAF werden wohl die Benutzerzertifikate nicht korrekt weitergereicht.
Für die ganze Konfiguration fand ich die folgenden Artikel sehr hilfreich.
HTTP error 403.16 - client certificate trust issue
Viele Grüße
Matthias
Ich habe mal eine Testinstallation ohne Sophos gemacht. Ich kann mit dem Link von Frank sowei einrichten, dass OWA ein Zertifikat verlangt, das funktioniert schon mal. Ich hänge an zwei weiteren Punkten:
1) Outlook
Bei Outlook selbst habe ich keine Anleitung gefunden wie man ein Zertifikat hinzufügt, ausser für die MIME Verschlüsselung. Auch wird in Franks Link nicht beschrieben, dass auch die /mapi Seiten ein Client Zertifikat erfordern, nur /Microsoft-Active-Sync, /owa und /ecp. Kann man das Outlook bzw dem IIS unter /mapi überhaupt beibringen?
2) iPhone
Es muss ein Profil fürs iPhone erstellt werden. Ich habe leider keinen MAC, um das Profil zu erstellen. Das iPhone-Konfigurationsprogramm für Windows ist abgekündigt, mit der noch existierenden alten Version kommt beim laden des Benutzerzertifikats ins Profil die Fehlermeldung:
Zertifikatausnahmefehler: InitializeWithCertificate: Zertifikat konnte aufgrund einer Ausnahme nicht exportiert werden.
Was kann ich noch tun?
Danke Euch
Vendetta
Hi,
CBA funktioniert nicht mit Outlook. Die Zertifikate für die Mobiles werden normalerweise mit einem MDM System verteilt, für jeden Benutzer ein Profil für ein iPhone zu erstellen, wäre damit überflüssig.
Gruß,
Frank
Danke Frank.
Dann verwerfe ich mal CBA. Meinem Chef hätte es gefallen, dass sich nur Clients verbinden können, wenn sie ein Zertifikat besitzen - vor allem mit Outlook.
Irgendwie habe ich die beste Absicherungsmethode für einen Exchange Server noch nicht gefunden.