Windows Phone 7, SBS und nicht öffentliche Zertifikate

Wie kann ich mein WP7 mit meinem SBS 2008 mit selbst ausgestellten Zertifikaten syncronisieren ? Diese Frage wurde mir in den letzten Tagen öfters gestellt.

Hintergund ist: Solange das Phone das Root-Zertifikat des Exchangeservers nicht kennt, vertraut es dem Server nicht und läßt sich nicht syncen. Dieses Verhalten war schon beim Windows Mobile so und ist aus Sicherheitsgründen auch sehr vernünftig. Für Windows Mobile hat der SBS 2008 auch ein Zip-File mit dem selbst erstellten Root-Zertifikat zur Verfügung gestellt, dass über Active Sync oder File Copy am Device installiert werden konnte.

Beides geht nun am WP7 nicht mehr – kein Active Sync, kein Filecopy, keine Smartcard, keine Möglichkeit das Root-Zertifikat aufs Device zu bringen...

Ausser man ist ein klein wenig kreativ ;)

(Hier werde ich den Erfahrungsbericht von Harald Huber von Officio it gmbh https://www.officio.at verwenden)

  • Das Stammzertifizierungsstellen Zertifikat sowie das WEB-Server (Exchange-OWA) Zertifikat auf Skydrive hochladen
    Unter SBS2008 findet man im CompanyWEB unter Ankündigungen den Link zum File SBSCertificate.CER (\\SBS-SERVERNAME\public\downloads).
    Das WEB Server Zertifikat (OWA) einfach im IE als DER codiertes File (z.B. remote.meinedomain.at.cer) exportieren
  • Am Phone (wie vorgeschlagen) zur WEB-Seite skydrive.live.com surfen – dort die .CER Files öffnen (zuerst das Stammzertifizierungszertifikat) und entsprechend der Aufforderung am Phone installieren
  • Hat bei einem Kunden mit Exchange 2010 ebenso funktioniert
    Hier haben wir beide Zertifikate (Stamm & Server) aus dem IE 8 als DER kodiertes .CER File exportiert und über SkyDrive auf das Phone gebracht
    (Seite vom Exchange OWA im Sicherheitsbericht)

Damit kann auch jeder normale User mit einer kleinen Anleitung sein Windows Phone 7 einrichten… (hoffentlich)

Und es gilt wie immer: BOOT tut GUT

Erst nach dem Neustart des Phones war die Synchronisation erfolgreich

Danke an Harald fürs Ausprobieren und fürs schicken des Erfahrungberichtes....

Damit sollte einer Syncronisation nichts mehr im Wege stehen..

Christian Decker

Christian.Decker@microsoft.com

P.S.: Funktioniert meines Wissens nur, wenn ich den SBS mit Hilfe der Assistenten eingerichtet habe, weil meines Wissens nur dann das ZIP-File erzeugt wird. Für die Spezialisten, die den SBS ohne Assistenten einrichten können, wird das Abspeichern des Root-Zertifikates aber sicher sehr einfach sein....