Hello everyone,
auf unserem Windows Server 2012 R2 nutzen wir eine eigene Zertifizierungsstelle und haben hiermit für Exchange ein SAN-Zertifikat erstellt. Dies funktioniert mit iOS 12 und aktuell mit iOS 13 noch. Allerdings steht nächsten Monat eine Zertifikatserneuerung sowohl des Root- als auch des Exchange-Zertifikats an. Für iOS 13 hat Apple ja die Zertifikatsanforderung verschärft, siehe Apple-Webseite.
Folgender Punkt verunsichert mich:
-
Darüber hinaus müssen alle nach dem 1. Juli 2019 ausgestellten TLS-Serverzertifikate (wie im NotBefore-Feld des Zertifikats angegeben) den folgenden Richtlinien entsprechen:
- TLS-Serverzertifikate müssen eine ExtendedKeyUsage (EKU)-Erweiterung enthalten, die die "id-kp-serverAuth OID" enthält.
- TLS-Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern "NotBefore" und "NotAfter" des Zertifikats angegeben).
Ist 1.1 bei der Windows eigenen Zertifizierungsstelle gegeben?
Betrifft 1.2 auch das Root-Zertifikat oder in meinem Fall nur das Exchange-Zertifikat?
Nutzt eventuell jemand hier eine eigene Windows Server Zertifizierungsstelle und hat ein Exchange-Zertifikat, das nach dem 1. Juli 2019 erstellt wurde, mit iOS 13 am Laufen?
Danke, Stefan.
Hallo Stefan,
Punkt 1.1 betrifft das Exchange Zertifikat, im Normalfall macht dies aber keine Probleme, denn es handelt sich hier um das Flag "Erweiterte Schlüsselverwendung", Webserver Zertifikate von einer Windows CA enthalten hier bereits "Serverauthentifizierung (1.3.6.1.5.5.7.3.1)" und "Clientauthentifizierung (1.3.6.1.5.5.7.3.2)". Dies ist iOS 13 konform. Wichtig ist, dass die Zertifikate "nur" noch 825 Tage gültig sein dürfen, Zertifikate mit langer Laufzeit sind also nicht mehr vertrauenswürdig.
Greetings,
Frank
Hello Frank,
ich habe mich gestern ebenfalls mit diesem Problem gekämpft. Die Information von Apple am 29.02.2020 auf Deutsch veröffentlicht ist überholt. Die Zertifikate dürfen nur eine maximale Gültigkeit von 13 Monaten haben. Damit war dann zumindest ein Zugriff vom iPhone auf OWA möglich. Das Einrichten eines Kontos scheitert wahrscheinlich daran, dass noch TLS 1.1 von Exchange 2013 verwendet wird. Das kann ichaber nach Ostern testen.
Grüße und frohe Ostern,
Stefan
P.S.: Bei der Analyse der Probleme hat das paralle Testen auf auf einem Andoid-Gerät sehr geholfen, da dort die Fehlerinformationen "etwas" ausführlicher sind.
Mal zum allgemeinen Verständnis.
Man hat eine PKI Infrastruktur und stellt nun ein SSL-Zertifikat via PKI für den Exchange-Server aus...
Die Clients innerhalb der Domäne in der auch die PKI beheimatet ist, vertrauen nun dem Zertifikat bzw. der Ausstellenden Stammzertifizierungsstelle.
Jetzt kommt ein nicht Domänen angehöriges Gerät in Form von zb. einem iPhone, dieses hat von der PKI noch nie etwas gehört und vertraut natürlich auch dessen Zertifikaten nicht. Was muss das iPhone denn bekommen, das es dieser PKI zukünftig vertraut?
Hallo, mein selbst signiertes Exchange Zertifikat läuft in ungefähr einem Monat ab. Wie verlängere ich es nun am besten, sodass ich keine Problem mit den Apple Geräten bekomme (> 13 Monate ist ja ab IOS 13 nicht mehr OK) ?
Wenn ich das Zertifikat über die ECP Weboberfläche nun verlängere, wird es dann standartmäßig um 5 Jahre oder nur um eines verlängert? In Verwendung ist Ex Server 2016.
Thank you for your help.
Was spricht dagegen, einfach ein Lets encrypt oder sonstiges Zertifikat zu nutzen?
https://www.frankysweb.de/neue-version-des-exchange-zertifikatsassistent-fuer-lets-encrypt/
Alternativ erstell das Zertifikat einfach per Powershell:
http://woshub.com/how-to-create-self-signed-certificate-with-powershell/
weil alles einwandfrei funktioniert und ich es so beibehalten möchte wenn es mit einem Klick bzw einem Befehl erneuert werden kann und dann im Anschluss alles wieder funktioniert.
und: weil es mich interessiert ;)
Na dann mach doch deinen einen Klick. ;) Wenns nicht geht, hast du ja nur einen Klick zuviel gemacht.
… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)
Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(
Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...
Hat hier nicht irgendjemand Erfahrungen gemacht?
… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)
Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(
Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...
Hat hier nicht irgendjemand Erfahrungen gemacht?
Hi,
wenn es deine Umgebung zulässt, dann würde ich es mit LetsEncrypt machen:
https://www.frankysweb.de/exchange-2016-zertifikatsassistent-fuer-lets-encrypt/
… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)
Naja, wer sich so unsicher ist.... :)
Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(
Nein, die meisten kaufen eins oder nutzen Let's Encrypt ist meine Vermutung. :)
Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...
Deswegen hab ich dir ja Links geschickt, wie du das anders handhaben kannst. Aber wenn du eben nur klicken willst, bleibt dir nicht viel übrig.
Bye
Norbert
... Das Einrichten eines Kontos scheitert wahrscheinlich daran, dass noch TLS 1.1 von Exchange 2013 verwendet wird. Das kann ichaber nach Ostern testen.
Hello!
Mittlerweile habe ich:
- TLS1.2 auf dem Server aktiviert,
- das DNS von .local auf .de umgestellt,
- öffentliche Zertifikate konfiguriert,
- die aktuellen Verschlüsselungs-Suiten aktiviert !
Der letzte Punkt hat dann den Erfolg gebracht. Dazu habe ich das Tool "IIS Crypto" von Nartac Software verwendet. Danach waren alle Warnungen beim Einrichten eines Exchange-Kontos unter Android verschwunden und die Einrichtung unter iOS13 verlief ohne Probleme.
Anscheinend gibt es aber noch Probleme mit dem DNS. iOS scheint, so ist im Augenblick meine Kenntnisstand, nicht immer den lokalen DNS-Sserver im LAN zu verwenden. Erst das Anpassen des DNS-Servers für das WLAN brachte eine Langzeitstabilität.
Noch eine Anmerkung zur Verwendung einer eigenen (Windows)-CA:
- Laufzeit des CA-Zertifikats 2 Jahre, SHA256
- Laufzeit des Exchange-Zertifikats ein Jahr
Gruß, Stefan
