Exchange mit Self-s...
 
Notifications
Clear all

[Solved] Exchange mit Self-signed Certificate und iOS 14

4 Posts
3 Users
0 Reactions
13.1 K Views
(@enzowt)
New Member
Joined: 4 years ago
Posts: 2
Topic starter  

Hallo an alle,

wir betreiben einen Exchange 2013 CU 23 mit Self-signed Certificate sowie ein paar Firmenhandys (alles iPhones mit aktuellem iOS 14.4.2 oder 14.5).

Der Exchange ist über eine dyndns-Adresse erreichbar. Jedoch wurde in den Mail-Einstellungen mancher der Handys die (feste) Internet-IP als Server-Adresse eingetragen anstelle der dyndns-Adresse. Die erstmalige Einrichtung der Mail App erfolgte da noch zu Zeiten, als man im iOS dem Zertifikat trotz Warnung noch einfach per Klick vertrauen konnte.

Nach einer Änderung unserer Internet-IP-Adresse im Zuge des Wechsels unseres Internet Providers stellt dies bei den Handys, wo die Internet-IP anstelle der dyndns-Adresse eingetragen ist, nun einen neuen Mail-Server dar und es akzeptiert die Verbindung aufgrund selbst-signiertem Zertifikat bei Korrektur der Einstellungen nun nicht mehr. Die anderen Handys (mit dyndns-Adresse) funktionieren weiterhin anstandslos.

Ich habe nun zunächst nur mit einem der betroffenen Handys verschiedene Lösungsansätze versucht. Dazu zählt Entfernen des Mail-Profils und versuchsweises Neuhinzufügen mit dyndns-Adresse sowie alternativ mit nun neuer Internet-IP. Auch das händische Löschen der "ExchangeActiveSyncDevices"-OU im Active Directory für diesen einzelnen Nutzer habe ich in diesem Zuge versucht.

Auch gibt es ja einen Lösungsansatz, wonach man sich das Server-Zertifikat per Mail auf das Handy senden soll und dann als "Profil laden" und das Zertifikat manuell installieren kann. Dies funktionierte mit zwei verschiedenen Versuchen nicht. Vermutlich mache ich hierbei etwas falsch / mein Verständnis von Server-Zertifikaten ist gebe ich offen zu leider auch sehr begrenzt.

Ich kann das Zertifikat über den Exchange nicht exportieren, da dies vermutlich entweder nicht vorgesehen ist oder bei der Server-Einrichtung die Möglichkeit, den privaten Schlüssel mit zu exportieren, nicht gestzt wurde. Bei Exportier-Versuch erhalte ich den Fehler "Der private Schlüssel konnte nicht als PKCS-12 exportiert werden. Entweder war kein Zugriff möglich, oder der Schlüssel kann nicht exportiert werden."

Auch habe ich über einen Webbrowser das Zertifikat als pem-Datei gespeichert und versucht im iPhone hinzuzufügen. Das "Installieren" klappt auch aber er vertraut dem Zertifikat dennoch nicht.

Am iPhone erhalten ich weiterhin die Meldung "Die Identität von {Serveradresse} kann nicht überprüft werden". Bei Klick auf "Details" zeigt es mir das Zertifikat mit Vermerk "nicht vertrauenswürdig" an.

Selbst ein Neuaufsetzen des iPhones mit iOS 10 oder 11 und Einrichtung der Mail App und anschließendem Wieder-Hoch-Patchen war eine Überlegung wert, ist aber offiziell gar nicht mehr möglich, da bereits einschließlich alle iOS-Versionen einschließlich 13 nicht mehr seitens Apple zur Installation freigegeben sind.

Da es mit den anderen iPhones jedoch grundsätzlich ebenfalls funktioniert, meine oder hoffe ich, es auch mit den drei "Problem-Handys" wieder hinbekommen zu können.

Für jegliche Hilfestellung bedanke ich mich im Voraus!

Freundliche Grüße,

Enrico


   
Quote
(@enzowt)
New Member
Joined: 4 years ago
Posts: 2
Topic starter  

Hallo zusammen,

ich antworte mir hier "mal selbst", da ich das Problem nun plötzlich gelöst bekommen habe. Ich habe den Mail-Account nochmals gänzlich aus dem iPhone gelöscht und die "ExchangeActiveSyncDevices"-OU im Active Directory für den betroffenen Nutzer nochmals gelöscht.

Dann habe ich Schritt für Schritt diesem externen Lösungsvorschlag gefolgt und es hat funktioniert.

Gruß,

Enrico


   
ReplyQuote

(@exsus)
Trusted Member
Joined: 4 years ago
Posts: 83
 

Die einfachste Möglichkeit wäre es ein offizielles Zertifikat zu kaufen. Du kannst dann im IIS auf dem Exchange Server für die "Default Web Site" eine neue Bindung anlegen: HTTPS, Port z.B. 4043 mit dem gekauften Zertifikat. Dann kannst Du auf den iPhone als Server den Port angeben z.B. myserver.de:4043. Dies wäre auch eine Lösung, welche zukünftige Probleme mit eigenen Zertifikaten vermeidet. Die Lösung gilt für ActiveSync, ich haben keine Erfahung mit z.B. der Outlook App bzgl. Port-Angabe.

Noch ein Sicherheitshinweis: die beste Lösung ist natürlich die Verbindung der iPhone mit VPN. Ansonsten den ActiveSync Port(s) entsprechend in der vorgeschalteten Firewall absichern.


   
ReplyQuote
NorbertFe
(@norbertfe)
Joined: 4 years ago
Posts: 1583
 

@enzowt

Und das ganze Gehampel, weil man sich die paar € für ein richtiges Zertifikat sparen will? ? 


   
ReplyQuote

Share: