v-fsi09
Goto Top

ActiveSync über TMG mit Clientzertifikaten veröffentlichen

Hallo,

ich habe folgendes Problem bzw. folgende Anforderung.

Ich habe einen Exchange 2010 SP2 im LAN und einen TMG in der DMZ stehen.
Über den TMG mache ich meine Veröffentlichungen für OWA und ActiveSync.
Dabei habe ich beim Weblistener (Port 443) eingestellt, dass ein Clientzertifikat zwingend erforderlich ist.
Die Clientzertifikate erstelle ich in meiner eigenen CA und verteile diese auf die Clients, die auf OWA bzw. ActiveSync zugreifen sollen.

Der Zugriff von meinem Laptop mit Clientzertifikat funktioniert einwandfrei.

Probleme macht ActiveSync.
Ich möchte ActiveSync ebenfalls mit einem Clientzertifkat absichern (nicht am EX sondern am TMG über Weblistener).
Dabei habe ich das gleiche Clientzertifikat dass ich auch auf dem Laptop für OWA habe mit dem CA Root Zertifikat auf dem IPAD installiert.

Leider scheitert dabei die Kommunikation. Es sieht so aus als ob das IPAD das Zertifikat nicht zum TMG zur Authentifizierung mitschickt.
Es kommt auch keine Anforderung oder Auswahl dafür, anders als beim Laptop.
Wenn man die OWA Seite im Safari Browser aufruft, so wird das Client Zertifikat automatisch verwendet.
Warum nicht in der MAIL APP vom IPAD?

Wenn ich zwischenzeitlich auf dem TMG die Einstellung "Clientzertifikat erforderlich" deaktiviere, funktioniert ActiveSync einwandfrei.

Weblistener Einstellungen:
Authentifizierung: HTML-Formularauthentifizierung (Windows AD)
- Erweitert: SSL-Clientzertifikat anfordern

ActiveSync Veröffentlichungsregel:
Authentifizierungsdelegierung: Standardauthentifizierung

Auf dem Exchange Server wurde die externe URL analog zur OWA Einstellung eingetragen.

Auf der Seite Test Exchange Remote Connectivity kommt als Antwort zurück: Clientzertifikat erforderlich.

Hat jemand so eine Konstellation schon erfolgreich implementiert bzw. hat jemand Tips?

Gruß
V-FSI

Content-ID: 194383

Url: https://administrator.de/contentid/194383

Ausgedruckt am: 23.11.2024 um 09:11 Uhr