Zertifizierung für active sync - how to gescheitert

1. offizieller Beitrag

    Hallo!
    Also ich scheitere an diesem how to: Anlage


    Wenn ich der Anleitung folge will noch nicht mal mein iphone (appel kümmert sich wenig um Windows Zertifikate) noch die Windows Smartphones meiner Kollegen mit dem Exchange-Server kommunizieren. Alles hat funktioniert bis das Zertifikat ablief und nun brennt es langsam.
    Also ich habe Win 2003 R2, dort läuft das Exchange und ich habe eine feste öffentliche IP. Da das alte Zertifikat nicht von mir erstellt wurde bin ich mir etwas unsicher ob ich überhaupt richtig anfange.
    bei allgemeiner Name der Zertifizierungsstelle wähle ich:
    mail.meinefirma.xy ist das richtig oder sollte ich nur die intere Bezeichnung meines Server nehmen: server01, server01.meinefirma.xy oder die offentliche IP???


    Später wird der gemeinse Name (CN) erfragt, hier sollte dann wohl auf jeden Fall mail.meinefirma.xy stehen oder?


    Entgültig scheitere ich dann am einstellen der sicheren Kommunikation, denn wenn ich SSL und 128 Bit wähle kommt der im Anschluß gezeigte Vererbungsdialog nicht.
    Vermutlich ist daß das Problem, weshalb sich die mobilen Geräte nicht mit dem Exchange synchronisieren wollen.


    wenn ich https://mail.meinefirma.xy komme ich zum immerhin Anmeldedialog


    Wer weiß Rat? Besten Dank vorab.

    • Offizieller Beitrag

    Moin,


    Zitat


    TF135 schrieb:
    Hallo!
    Also ich scheitere an diesem how to:


    da ist aber grundsätzlich alles drin.


    Zitat


    Wenn ich der Anleitung folge will noch nicht mal mein iphone (appel kümmert sich wenig um Windows Zertifikate) noch die Windows Smartphones meiner Kollegen mit dem Exchange-Server kommunizieren.


    Das mit dem IPhone ist merkwürdig, der nimmt normalerweise alles nach einer Rückfrage.


    Zitat


    Später wird der gemeinse Name (CN) erfragt, hier sollte dann wohl auf jeden Fall mail.meinefirma.xy stehen oder?


    *Das* ist das einzig wichtig Feld. Hier musst die externe (!) URL rein. Alle anderen Felder sind in Deinem Fall unwichtig.


    Zitat


    Entgültig scheitere ich dann am einstellen der sicheren Kommunikation, denn wenn ich SSL und 128 Bit wähle kommt der im Anschluß gezeigte Vererbungsdialog nicht.
    Vermutlich ist daß das Problem, weshalb sich die mobilen Geräte nicht mit dem Exchange synchronisieren wollen.



    Ein wenig mehr Ablauf- und Fehlerbeschreibungen wären schön.


    Was sagt der hier: https://www.testexchangeconnectivity.com/

    also externe URL wäre dann in meinem Fall: mail.meinefirma.xy?


    Fehlerbeschreibung für das scheitern ist etwas schwer, weil der Diaglog für die Vererbung (letztes Bild im howto bevor der Autor das Ganze probiert) einfach nicht erscheint - ich wähle SSL und 128 Bit, klicke auf OK und dann im übergeordneten Fenster auf übernehmen / ok und es passiert rein gar nichts.


    Den Test habe ich ausgeführt, für active sync - scheitert:


    Testing Exchange ActiveSync
    Exchange ActiveSync test Failed
    Test Steps
    Attempting AutoDiscover and Exchange ActiveSync Test (if requested)
    Failed to test AutoDiscover for Exchange ActiveSync
    Test Steps
    Attempting each method of contacting the AutoDiscover Service
    Failed to contact the AutoDiscover service successfully by any method
    Test Steps
    Attempting to test potential AutoDiscover URL https://XXX/AutoDiscover/AutoDiscover.xml
    Failed testing this potential AutoDiscover URL
    Test Steps
    Attempting to resolve the host name XXX.com in DNS.
    Host successfully resolved
    Additional Details
    IP(s) returned: XXX.XXX.XXX.XXX


    Testing TCP Port 443 on host XXX to ensure it is listening and open.
    The port was opened successfully.
    Testing SSL Certificate for validity.
    The SSL Certificate failed one or more certificate validation checks.
    Tell me more about this issue and how to resolve it
    Additional Details
    A network error occurred while communicating with remote host
    Exception Details:
    Message: The handshake failed due to an unexpected packet format.
    Type: System.IO.IOException
    Stack Trace:
    at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost, X509CertificateCollection clientCertificates, SslProtocols enabledSslProtocols, Boolean checkCertificateRevocation)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost)
    at Microsoft.Exchange.Tools.ExRca.Tests.SSLCertificateTest.PerformTestReally()





    Attempting to test potential AutoDiscover URL https://autodiscover.XXX.com/AutoDiscover/AutoDiscover.xml
    Failed testing this potential AutoDiscover URL
    Test Steps
    Attempting to resolve the host name autodiscover.XXX.com in DNS.
    Host successfully resolved
    Additional Details
    IP(s) returned: XXX.XXX.XXX.XXX


    Testing TCP Port 443 on host autodiscover.XXX.com to ensure it is listening and open.
    The port was opened successfully.
    Testing SSL Certificate for validity.
    The SSL Certificate failed one or more certificate validation checks.
    Tell me more about this issue and how to resolve it
    Additional Details
    A network error occurred while communicating with remote host
    Exception Details:
    Message: The handshake failed due to an unexpected packet format.
    Type: System.IO.IOException
    Stack Trace:
    at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
    at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost, X509CertificateCollection clientCertificates, SslProtocols enabledSslProtocols, Boolean checkCertificateRevocation)
    at System.Net.Security.SslStream.AuthenticateAsClient(String targetHost)
    at Microsoft.Exchange.Tools.ExRca.Tests.SSLCertificateTest.PerformTestReally()





    Attempting to contact the AutoDiscover service using the HTTP redirect method.
    Failed to contact AutoDiscover using the HTTP Redirect method
    Test Steps
    Attempting to resolve the host name autodiscover.XXX.com in DNS.
    Host successfully resolved
    Additional Details
    IP(s) returned: XXX.XXX.XXX.XXX


    Testing TCP Port 80 on host autodiscover.XXX.com to ensure it is listening and open.
    The port was opened successfully.
    Checking Host autodiscover.XXX.com for an HTTP redirect to AutoDiscover
    Failed to get an HTTP redirect response for AutoDiscover
    Additional Details
    A Web Exception occurred because an HTTP 404 - NotFound response was received from Unknown




    Attempting to contact the AutoDiscover service using the DNS SRV redirect method.
    Failed to contact AutoDiscover using the DNS SRV redirect method.
    Test Steps
    Attempting to locate SRV record _autodiscover._tcp.XXX.com in DNS.
    Failed to find AutoDiscover SRV record in DNS.
    Tell me more about this issue and how to resolve it

    es bringt mich noch um den Verstand, sorry
    weil es unbedingt gehen muss habe ich mich den ganzen Mittag damit beschäftigt, folgender Zwischenstand


    mein iphone kann syncen, solange ich kein SSL aktivere, egal mit oder ohne 128 gehts nimmer


    mein win mobile phone kann mit active gar nicht syncen mit der Fehlermeldung 0x80072F0D
    (auf dem Exchange wäre kein gültiges Zertifikat installiert)


    was tun nun?

    ja genau das ist das Problem, weil klar ist das Zertifikat ungültig, aber ich bekomme ja kein gültiges ... ich folge dem how tow, von Anfang bis Ende und dann steht da Zertifikat erstellt und wenn man es benützen möchte ist es dann aber doch ungültig. Hört sich irgendwie paradox an, ist aber so :(

    • Offizieller Beitrag

    Moin,


    nein, denn ein selbsterstellte (d.h. durch eine eigene CA unterschriebenes) Zertifikat ist per Definition erstmal nicht vertrauenswürdig.


    Exportiere den öffentlichen Schlüssel der CA und importiere den in einen Client als "vertrauenswürdigen Herausgeber".


    Danach akzeptiert der Client dann auch das OWA-Zertifikat (ist das gleiche wie bei EAS).


    Dann machst Du das bei Windows Mobile.


    Das IPhone hat normalerweise gar keine Probleme mit einem ungültigen Zertifikat, eine Warnung und gut.