Exchange

[mercuryy]

Moin,

ich muss gestehen, die Thematik "Zertifikate" ist Neuland für mich.
Zur aktuellen Problematik: Ich habe Exchange auf einem WinServer 2012 virtualisiert im Einsatz.
Das hat bis vor ein paar Monaten hervorragend funtktioniert.

Innherhalb vom Netz funktioniert dies hervorragend.
Jetzt ist es so das die Mails nicht mehr auf dem Handy ankommen.
Bei einem Windows Phone konnte ich vor kurzem noch bestätigen das ich die Verbinung trotz kein SSL herstellen möchte.
Neuerdings kommen dort auch keine Mails / Kalendereinträge mehr an.
Beim iPhone wurde mir die Möglichkeit gar nicht geboten.
Beim Neukonfigurieren  bzw. neu Hinzufügen des Accounts am iPhone kommt jetzt eine Meldung "Verbindung über SSL unmöglich - Möchtest du versucnen, den Account ohne SSL einzurichten?"
Dies funktioniert aber auch nicht.

Gibt es ein Zertifikat für den externern Verkehr bzw. den mobilen Einsatz?
Oder was kann ich unternehmen?

Vielen Dank.

 

 

"Verbindung über SSL unmöglich"
Möchtest du versuchen, den Account ohne SSL einzurichten?

[_n4p_]

Es müsste sowahl unter iOS als auch unter Android in den erweiterten Einstellungen der Verbindung die Möglichkeit geben "fehlerhafte" oder "alle" Zertifikate zu akzeptieren. Das könnte als vorübergehender workaround helfen.

Ansonsten lies mal hier: https://community.spiceworks.com/topic/1032559-separate-cert-for-internal-and-external-exchange-2013

[mercuryy]

vor 59 Minuten schrieb _n4p_:

Es müsste sowahl unter iOS als auch unter Android in den erweiterten Einstellungen der Verbindung die Möglichkeit geben "fehlerhafte" oder "alle" Zertifikate zu akzeptieren. Das könnte als vorübergehender workaround helfen.

Ansonsten lies mal hier: https://community.spiceworks.com/topic/1032559-separate-cert-for-internal-and-external-exchange-2013

Es müsste sowahl unter iOS als auch unter Android in den erweiterten Einstellungen der Verbindung die Möglichkeit geben "fehlerhafte" oder "alle" Zertifikate zu akzeptieren. Das könnte als vorübergehender workaround helfen.
Nein - aber das ist nun erstmal egal, da es nun unter Android u. WindowsPhone auch nicht mehr geht.

Also muss eine generelle Lösung her.
Ggf. ein neues Zertifikat ausstellen / kaufen?
Nur welches?

Danke für den Link - aber welches müsste dann gelöscht werden?

[mercuryy]

OWA ist von extern auch nicht zu erreichen.
In der Securepoint ist mir nichts Auffällig vorgekommen.

[Bennox]

Der Mailserver wird durch einen Namen angesprochen z.b.  mail.haumich.net

Zum einen muss Autodiscover funktionieren und die Domain sollte über ein SSL Zertifikat gesichert werden. Hier müsste man dann schauen ob ein Zertifikat für die o.a. Domain reichen würde oder ihr mehr verschlüsseln möchtet, dann würde ein Wildcard-Cert funktionieren die dann alles der Domain bestätigen können. *.haumich.net

Kostet natürlich auch etwas. WIchtig ist, dass die Domain auch von außen (also aus dem INet) angesprochen werden kann. Somit brauchst du das nicht auf deinem internen DNS machen, sonder bei deinem Provider bei dem du deine Domain beziehst. Natürlich kannst du das auch selbst gehostet haben, dann hast du einen DNS auch für extern zu stellen der ansprechbar ist. Der Mailserver prüft dann durch Autodiscover die Verbindung zum Mailserver und checkt ob das Zertifikat gültig und nachvollziehbar ist.

Die Zertifikat muss du auch auf deinem Exchange im IIS einspielen und dort kann man auch bei der Beantragung die Schlüssellänge und den Schlüssel generieren lassen. AUf dem Server ist dann auch der private Key hinterlegt den du dir dann sicher verwahren solltest !Diesen solltest du dann auch explizit exportierbar machen, damit du diesen sichern kannst.

OWA ist eigentlich das gleiche Problem, da dies auch auf ein Zertifikat angewiesen ist. Wichtig ist auch nach der DSGVO, dass du diesen Verkehr komplett verschlüsselst. Somit musst du dir ein Zertifikat holen!