ActiveSync mit Windows Mobile 5.0 und eigenem SSL-Zertifikat


Im November letzten Jahres hatte ich eine Blogcastreihe zum Thema E-Mail-Zugriff via Direct Push-Technologie und höhere Gerätesicherheit durch MSFP veröffentlicht. Darin stellte ich in kurzen Videos die verschiedenen neuen Funktionen und die Konfiguration für Exchange ActiveSync (EAS) und Direct Push EMail vor.


Seit diesem Zeitpunkt erreichen mich immer wieder Fragen zu der genauen Konfiguration. Insbesondere die Implementierung mit einem selbst generierten Zertifikat bereitet Schwierigkeiten und viele Fragesteller haben schon nahezu Handstände ausgeführt, um zum Ziel zu kommen. Eine oft nachgefragte Fehlermeldung lautet zum Beispiel:


Das Sicherheitszertifikat auf dem Server ist ungültig. Ihr Exchange Server-Administrator oder Internetdienstanbieter muss zunächst ein gültiges Zertifikat auf dem Server installieren.


Unterstützungscode: 0x80072F0D


Im Internet kursieren die verschiedensten, teilweise obskuren Anleitungen, wie man das mobile Gerät so konfigurieren kann, daß es das eigene Zertifikat als vertrauenswürdig einstuft. Hauptsächlich basieren diese Anleitungen auf falschen Annahmen und fehlenden Kenntnissen über die Funktionsweise von SSL-Zertifikaten.


Ich habe deshalb einen neuen Blogcast erstellt, indem ich die genaue Vorgehensweise außerhalb einer virtuellen Umgebung mit einem echten Windows Mobile 5.0 PDA (mein MDA Pro) und einem echten Exchange Server 2003 SP2 aufgezeichnet habe. Dieser Blogcast ist der erste Teil einer geplanten Reihe zur Konfiguration des Clientzugriffs auf den Exchange Server 2003, welche ich in Zusammenarbeit mit der Community von MCSEBoard.de veröffentlichen werde.


Ich hoffe, diese Schritt-für-Schritt Anleitung räumt auf mit einigen Mythen und zeigt, wie einfach die Konfiguration sein kann. Der Blogcast hat eine Länge von 16:57 min und steht als Online-Stream zum sofortigen Anschauen sowie als Offline-Archiv zum Download zur Verfügung.



Videostream im WMV-Format   ·   Download der ZIP-Datei 

Aus aktuellem Anlaß ein Hinweis in eigener Sache: Wer meine Blogcasts auf seiner eigenen Seite oder in eigenen Artikeln in Boards, Blogs oder Newsgroups verlinken möchte, darf das ausdrücklich tun. Bitte aber nicht den Deeplink des Videos nutzen, sondern auf den jeweiligen Blogartikel verweisen. Danke!

Comments (9)

  1. Thomas K.H. Bittner says:

    Hallo Daniel,

    verständlich, dass Du die Serveradresse ausblendest in Deiner Demo, aber dem Benutzer bleibt damit verborgen, ob er lediglich nur den Servernamen oder auch den Namen des virtuellen Verzeichnisses, in diesem Fall ‘Microsoft-Server-ActiveSync’ mit angeben muß oder sollte 😉

    Gruß,

    Thomas

  2. dmelanchthon says:

    Hallo Thomas,

    das stimmt. Der Benutzer muß den nur den Servernamen (FQDN) eingeben, wie er von außen erreichbar ist. Ohne "https://" davor und ohne "/…" dahinter. In meinem anderen ActiveSync-Blogcast habe ich eine interne Testmaschine benutzt. Da sieht man es sehr schön.

    Danke für das Feedback und Viele Grüße!

    Daniel

  3. Hallo Daniel,

    das war schon einmal sehr informativ und hilfreich. Großes Lob.

    Was mich jetzt noch sehr interessiert, wie man ein Zertifikat für den MDA anfordert. Ich gehe dafür in die Einstellungen / Verbindungen / Drahtloses Lan / Anmeldung (letztes Tab).

    Dort kann ich die Daten für das Zertifikat eintragen (Benutzername, Passwort, Server).

    Allerdings bekomme ich dann immer eine Meldung, dass das Zertifikat nicht vom Host abgerufen werden konnte. Auf dem Server steht dann folgendes in der Eventlog:

    Ereignistyp: Warnung

    Ereignisquelle: CertSvc

    Ereigniskategorie: Keine

    Ereigniskennung: 53

    Datum: 15.04.2006

    Zeit: 16:17:42

    Benutzer: Nicht zutreffend

    Computer:

    Beschreibung:

    Die Anforderung 53 wurde abgelehnt, da Die angeforderte Zertifikatvorlage wird von dieser Zertifizierungsstelle (CA) nicht unterstützt. 0x80094800 (-2146875392). Die Anforderung war für CN=SubjectName-Should Be OverWritten by CA. Weitere Informationen: Verweigert vom Richtlinienmodul  0x80094800, Die Anforderung war für eine Zertifikatvorlage, die von den Richtlinien der Zertifizierungsstelle nicht unterstützt wird: ClientAuth.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

    Was macht man nun?

  4. dmelanchthon says:

    Gegenfrage: Was willst Du eigentlich erreichen? Die Zertifikatsanforderung ist für "Client Authentication" – damit kannst Du auf Benutzername + Kennwort bei der Benutzung des Geräts verzichten, da es sich über das Clientzertifikat anmeldet. Wie das genau
    einzurichten geht, steht in diesem Whitepaper:

    Microsoft Exchange Server ActiveSync Certificate-Based Authentication Deployment
    http://www.microsoft.com/downloads/details.aspx?FamilyId=82510E18-7965-4883-A8C3-F73F1F4733AC&displaylang=en

    Mein Blogcast hier zeigt, wie man dem Windows Mobile 5.0 PocketPC  beibringt, einem selbsterstellten *Serverzertifikat* zu vertrauen. Das sind zwei völlig verschiedene Paar Schuhe.

    Übrigens steht in der von Dir geposteten Fehlermeldung doch der Grund schon drin: "Die Anforderung war für eine Zertifikatvorlage, die von den Richtlinien der Zertifizierungsstelle nicht unterstützt wird: ClientAuth."

  5. Anonymous says:

    Viele Anfragen, die ich in letzter Zeit bekomme, drehen sich um die Konfiguration von Windows Mobile-Geräten…

  6. Anton says:

    Hallo!

    Ich bekomme leider immer folgende Meldung:

    "Zum Synchronisieren müssen die Exchange Server-Sicherheitsrichtlinien übernommen werden. Starten sie die Synchronisierung und lassen Sie die Änderung der Sicherheitsrichtlinie zu, wenn Sie dazu aufgefordert werden. "

    Wenn ich dieser aber zustimme ist mein Mobile 5(Qtek 8310)wieder auf Werkseinstellung zurückgesetzt.

    Bitte kann mir da jemand weiterhelfen?

  7. Matze says:

    Hallo,

    ich möchte auch gerne ein Clientzertifikat auf meinen MDA installieren. Besteht die Möglichkeit hierzu auch ohne einen Exchange Server oder benötigt man diesen dazu unbedingt?

    Wäre super wenn das jemand weiß.

    MfG

    Matze