OWA / OMA mit SSL

1. offizieller Beitrag

    Mahlzeit!


    Ich betreibe einen SBS2003 mit Exchange SP2 hinter einem NAT/Firewall Router. Ich habe mit ein bisschen Handarbeit DirectPush email ans Laufen bekommen, so dass sich mein WM5 über GPRS mit dem Exchange unterhält und mir meine emails etc zukommen lässt - sehr schön soweit, bis auf die Tatsache, dass das ganze noch ohne SSL läuft.


    1. Ist in der Konstellation Exchange <-> Router überhaupt SSL mit vertretbarem Aufwand möglich?
    2. Den Port, der benutzt wird, kann ich auf dem mobilen Gerät ja nicht verändern (habe seinerzeit SSL des IIS auf Port 4434 umgebogen, wobei ich nicht mehr weiss warum eigentlich.)


    gruss,
    nils

    • Offizieller Beitrag

    Hi,


    wenn Deine Firewall kein ISA Server oder was vergleichbares ist, kannst Du SSL nicht aktivieren.


    Die Push Funktion arbeitet über ActiveSync und dieses darf auf einen Exchange Postfachserver nicht SSL aktiviert werden.


    Entweder Dein PDA machst eine SSL Verbindung mit der Firewall (ISA) oder einen Exchange Frontendserver und dieser baut eine unverschlüsselte Verbindung mit Deinem Postfachserver auf oder Du musst es unverschlüsselt machen.


    Gruss
    Heinz

    Der Thread bzw. info ist schick, http://www.nobbysweb.de/community/newbb/howto/044.pdf


    aber ich habe auch einen SBS 2003 sauber mit allen Assistenten installiert und habe SSL mit Mobile5.0 am laufen. . . ? :-?


    Wenn der SBS installiert wird, kann man mit dem Internet-Assistenten Exchange und auch die Möglichkeiten einstellen. Dabei kann auch ein Serverzertifikat erstellt werden, welches dann für SSL genutzt werden kann.


    Der Trick ist, das beim erstellen dieses Certificats der Servername den externen Namen der Domain (FQDN) tragen muss.


    Wenn also der SBS z.B. "Server.Schmidt.local" heist, der externe Domainname dieser Firma z.B. "www.schmidt.de" ist, dann sollte das Zertifikat z.B. auf "extranet.schmidt.de" ausgestellt werden.


    Damit natürlich nicht genug: Der Name "extranet.schmidt.de" muss dann natürlich im Internet aufgelöst werden und auf die Firewall des Kunden zeigen (egal ob das z.B. dann eine feste IP oder ein dyndns ist).


    So wäre es also auch möglich - wenn man auf den DNS-Server des Providers für "schmidt.de" keinen Zugriff hat - das Certificat auf "schmidt.dyndns.org" auszustellen und diese Domain dann in der Firewall mit einem Dyndns-Account zu aktivieren...


    Nun muss das Zertifikat am SBS noch exportiert werden als "schmidt.crt" z.B.. Diese Datei kopiert man auf das Mobile 5.0 Gerät und ruft sie einfach auf. Dadurch wird dieses Certificat im WM 5.0 importiert und greift dann fortan bei Verbindungen mit "extranet.schmidt.de".


    Dann kann man auch bei ActivySync SSL aktivieren.


    Bin ich auf dem falschen Dampfer oder ist das korrekt ??


    Ich würde allerdings nun gerne einen anderen Port benutzen als 443. Ist am IIS ja kein Problem (auch Dank obigem Link prima beschrieben) - aber wie kann ich ActiveSync dazu bewegen einen anderen Port zu nutzen ?


    Wäre dankbar für weitere Tips dazu !


    Healey


    P.S. Habe gerade den Thread oben noch einmal angesehen. Kann es sein das ich im Certificat den SSL-Port ändern muss damit ich den auch in Active Syn nutzen kann??


    Muss ich dann in Active Sync den Servernamen konfigurieren mit "extranet.schmidt.de:port" ??


    Oder evtl. einen Reg-Eintrag im Mobile5.0 ändern dazu ?

    • Offizieller Beitrag

    Hi,
    zum Großteil stimme ich mit Dir überein.
    Allerdings um der Verwirrung entgegen zu wirken, hole ich mal etwas weiter aus!
    Exchange bietet mehrere Dienste auf Basis von http an. OWA (Exchange, Public) OMA ActiveSync PRC over HTTP (RPC) Die Funktionen werden im IIS unter verschiedenen Verzeichnissen abgebildet, die unabhängig voneinander konfiguriert werden können.
    Somit auch einzeln SSL Aktivierungen und Deaktivierungen. Wenn nur ein Exchange Server und auch kein ISA Server im Unternehmen bestehen, darf auf dem Exchange Postfachserver nicht jede Funktion SSL aktiviert werden.
    Somit geht nur OWA und RPC over http. Um auch OMA und ActiveSync SSL aktivieren zu können muss entweder ein weiterer Exchange Server oder ISA Server eingebunden werden, mit dem der Client eine SSL Verbindung hält.
    Dieser Server baut dann eine unverschlüsselte Verbindung zum Exchange Postfachserver auf. Bei SBS hast Du ja die Möglichkeit den ISA Server zu aktivieren. Dazu noch ein Artikel, der ein paar Beispiele zu dem Thema beinhaltet: http://www.nobbysweb.de/community/newbb/howto/044.pdf
    Somit ist OWA auf Basis von SSL das eine Thema und ActiveSync ohne SSL das andere. Wie die Push Funktion arbeit kann hier nachgelesen werden: Anleitung! Wie SSL für OWA aktiviert wird, findet Ihr hier: http://www.nobbysweb.de/community/newbb/howto/043.pdf Eine Aktivierung der anderen Funktionen für SSL verhält sich gleich, wenn die Voraussetzungen gegeben sind! Zwei weitere Punkte sind auch noch wichtig.


    1. Der in der URL verwendete Domainenname sollte der common name des Zertifikats sein, da dies sonst zu Problemen bei ActiveSync, OMA und RPC over HTTP führt! OWA Funktioniert unabhängig von dem verwendeten URL Namen!
    2. Bei einigen PDA ist die ActiveSync Funktion über SSL vom Werk aus aktiviert und muss ggf. zuvor deaktiviert werden. Generell empfehle ich nie eine Unverschlüsselte Verbindung aus dem Internet zu zulassen.


    http://www.nobbysweb.de/community/newbb/howto/068.pdf


    Gruß
    Heinz


    Hallo Heinz,
    ich stimme Dir in 2. absolut zu - deshlab suche ich ja eine sichere Verbindung zum Exchange per Active Sync..


    Bei mir läuft mit einem SBS2003 (ohne ISA!) der SSL-ActiveSync Problemlos. Am Mobile Gerät habe ich SSL aktiviert, der Sync klappt bestens..


    Um mehr Sicherheit zu erlangen würde ich gerne entweder
    1.) den SSL-Port anpassen um nicht den Std-SSL aufzumachen
    Siehe: http://www.nobbysweb.de/community/index.php/Thread/1433


    oder


    2.) einen VPN-Client auf dem Mobilen Client nutzen, um das Mobile Gerät dann per VPN-Tunnel auf der Firewall (Juniper) anzumelden, damit dann der eigentliche Sync im Tunnel (meinetwegen dann mit 443 oder auch mit 80) geschehen kann.
    Siehe: http://www.nobbysweb.de/community/index.php/Thread/1441


    Vielleicht kommt ja noch Infos zu einem funktionierenden VPN-Client, das wäre mir am liebsten...


    Gruss
    Healey