Zertifikatsbasierte Authentifizierung - ActiveSync

Hallo zusammen,

wie der Titel bereits vermuten lässt versuche ich, dass meine ActiveSync Clients (Windows Mobile 5 MFSP) mittles Client Zertifikaten authentifiziert werden. Leider funktioniert das nicht so wie ich es mir vorgestellt habe. Ich schildere mal eben mein Vorgehen:

Zunächst die Umgebung:

- MS Exchange 2003 SP2 Frontend Server
- das ganze steht hinter einem ISA Server
- die mobilen Clients haben Windows Mobile 5 MFSP
- eigene Zertifizierungsstelle

Was funktioniert:

- die Verbindung generell, sowohl über http als auch über https (SSL) funktioniert
- Stammzertifikat der eigenen Zertifizierungsstelle ist auf den Devices eingerichtet

Was habe ich getan für die Zertifikatsbasierte Authentifizierung?:

Clientseitig:
- Benutzerzertifikat an dre Zertifizierungsstelle angefordert (http://meinserver/certsrv)
- Benutzerzertifikat wurde im IE installiert
- aus dem IE habe ich es exportiert als (*.pfx, also mit persönlichen Schlüssel)
- die *.pfx Datei habe ich mittels p12imprt.exe auf den mobilen Devices importiert. Sie werden auch im Zertifikaztsspeicher "Persönlich" gelistet

Serverseitig:
- Im IIS des Frontendservers im ActiveSync Ordner SSL aktiviert
- Und "Require Client Certificate" aktiviert

Leider bekomme ich folgende Fehlermeldung während des syncen auf dem Device:

"Ihr Konto auf dem Microsoft Exchange Server hat keine Berechtigung zur Synchronisierung mit den z.Zt. aktiven Einstellungen....."

Unterstützungscode: 0x85010004

Die offizielle Beschreibung des Unterstützungscode hilft mir auch nicht weiter. Nun hoffe ich, dass ihr mir sagen könnt, was ich falsch mache, was richtig und wo ich nach schauen sollte.

Danke im voraus,

Andy

Hallo,

ich wollte nur ein kleines Update liefern:

Nach ein wenig rumschrauben am ISA bekomme ich nun auf dem Device folgende Fehlermeldung:

"Für die Anmeldung bei Exchange Server sind Zertifikate erforderlich. Verbinden Sie das Gerät mit einem PC im Firmennetzwerk, um ein Zertifikat abzurufen"

Unterstützungscode: 0x85030027 (hierzu liefert das WEB keine Beschreinbung).

Dabei habe ich doch ein persönliches Zertifikat auf dem Gerät installiert. Evtl. habe ich bei diesem Schritt einen fehler gemacht...

Gruss,
Andy

Hallo,

Fassi

ja. ich habe es noch gelesen ;-)... ich kann das Benutzer Zertifikat leider nicht als "Stammzertifikat" registieren lassen, da der nächste Schritt seien wird, das Zertifikat auf eine Smartcard (im SD Form) zur Verfügung zu stellen. Und das Smartcard Tool plaziert das Zertifikat in "Persönliche Zertifikate". Trotzdem danke für den Hinweis.. werde es auch mal ausprobieren...

MAJO

ja.. das Tool habe ich mir bereits mal angeschaut. Hierbei handelt es sich aber anscheinend um eine Anleitung bzw. der Implementierung der automatischen Verteilung von Benutzer Zertifikaten. Das ist in meinem Fall nicht notwendig, weil ich die Zertifikate später auf einer Smartcard verteilen werde.
Habe das Tool aber auch schon ausprobiert... Ergebnis: Funktioniert immer noch nicht

@all
Nun meldet mein ActiveSync auf dem Device, dass mein mein Exchange Konto nicht über die erforderlichen Berechtigungen vergfügt... ohne das ich etwas an der Konfiguration verändert habe.. sehr seltsam...

Für weitere Hinweise/Vorschläge wäre ich Dankbar...

Gruss,
Andy