11
Verbindung mit Zertifikat sichern , iphone , juniper, active sync exchange, Grundlegende Fragen ?!
Szenario :
Ich möchte meine Firmenmails von einem iPhone abrufen können, egal wo ich bin.
Also habe ich eine Active-Sync-Verbindung auf unserem Exchange-Server eingerichtet, seitdem bekomme ich die E-Mails wenn ich im WLAN (Firmennetz) bin, soweit so gut.
Nun möchte ich auch über all auf der Welt meine Firmenmails bekommen, also habe ich auf unserer Juniper eine SSL-Verbindung eingerichtet, nun bekomme ich meine Mails auch aus dem Internet.
Nun möchte ich diese Verbindung absichern, ich möchte das ich nur auf der Juniper durchgelassen werde, wenn ich ein passendes Zertifikat habe und daran scheitert es.
Ich habe keine Ahnung von Zertifikaten und habe mir gedacht so schwer kann das ja nicht sein.
Also habe ich auf einem Server die Microsoftzertifikatdienste installiert und wie wild rum probiert ...
Ich möchte einfach nur irgendein Zertifikat auf der Juniper hinterlegen welches ich auf meinem iPhone auch haben muss damit die Verbindung hergestellt wird.
Wenn ich das Zertifikat nicht habe, soll die Verbindung nicht aufgebaut werden.
Hat jemand Erfahrung oder Tipps für mich , wie oder was ich wo machen muss um eine sichere Verbindung zwischen iPhone und Exchange zu schaffen ?
Ich hoffe ihr könnt mir helfen,
BQuiet
Ich möchte meine Firmenmails von einem iPhone abrufen können, egal wo ich bin.
Also habe ich eine Active-Sync-Verbindung auf unserem Exchange-Server eingerichtet, seitdem bekomme ich die E-Mails wenn ich im WLAN (Firmennetz) bin, soweit so gut.
Nun möchte ich auch über all auf der Welt meine Firmenmails bekommen, also habe ich auf unserer Juniper eine SSL-Verbindung eingerichtet, nun bekomme ich meine Mails auch aus dem Internet.
Nun möchte ich diese Verbindung absichern, ich möchte das ich nur auf der Juniper durchgelassen werde, wenn ich ein passendes Zertifikat habe und daran scheitert es.
Ich habe keine Ahnung von Zertifikaten und habe mir gedacht so schwer kann das ja nicht sein.
Also habe ich auf einem Server die Microsoftzertifikatdienste installiert und wie wild rum probiert ...
Ich möchte einfach nur irgendein Zertifikat auf der Juniper hinterlegen welches ich auf meinem iPhone auch haben muss damit die Verbindung hergestellt wird.
Wenn ich das Zertifikat nicht habe, soll die Verbindung nicht aufgebaut werden.
Hat jemand Erfahrung oder Tipps für mich , wie oder was ich wo machen muss um eine sichere Verbindung zwischen iPhone und Exchange zu schaffen ?
Ich hoffe ihr könnt mir helfen,
BQuiet
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195086
Url: https://administrator.de/contentid/195086
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo BQuiet
Ist eigentlich recht einfach:
Das SSL Zertifikat auf dem Exchange Server einbinden und im IIS der entsprechenden Site zuteilen. Danach lediglich unter den SSL Einstellungen die Verwendung eines SSL Zertifikates erzwingen.
Danach lediglich auf der Firewall den Port 443 auf den Exchange durchleiten und die Verbindung findet verschlüsselt statt.
Falls du noch Fragen hast, schreib ruhig.
Gruss
Raphael S.
Ist eigentlich recht einfach:
Das SSL Zertifikat auf dem Exchange Server einbinden und im IIS der entsprechenden Site zuteilen. Danach lediglich unter den SSL Einstellungen die Verwendung eines SSL Zertifikates erzwingen.
Danach lediglich auf der Firewall den Port 443 auf den Exchange durchleiten und die Verbindung findet verschlüsselt statt.
Falls du noch Fragen hast, schreib ruhig.
Gruss
Raphael S.
Hi,
danke für deine Antwort.
Das mit dem SSL-Zertifikat habe ich schon hinbekommen.
Also ich kann mit meinem iPhone über SSL mit Benutzername und Passwort meine Mails abrufen, das ist für uns aber zu unsicher und wir wollen zusätzlich noch ein Client-Zertifikat.
Es soll nur eine Verbindung hergestellt werden wenn ein solches Zertifikat auf dem iPhone vorhanden ist, wenn nicht soll keine Verbindung möglich sein.
Und das habe ich bisher leider noch nicht geschafft
danke für deine Antwort.
Das mit dem SSL-Zertifikat habe ich schon hinbekommen.
Also ich kann mit meinem iPhone über SSL mit Benutzername und Passwort meine Mails abrufen, das ist für uns aber zu unsicher und wir wollen zusätzlich noch ein Client-Zertifikat.
Es soll nur eine Verbindung hergestellt werden wenn ein solches Zertifikat auf dem iPhone vorhanden ist, wenn nicht soll keine Verbindung möglich sein.
Und das habe ich bisher leider noch nicht geschafft
Hi
Da hörts bei mir auf - müsste ich mich im Detail damit befassen. Eventuell findest du hier etwas: http://mobilitydojo.net/2010/05/19/securing-exchange-activesync-with-cl ...
Ansonsten könntest du mit der Quarantine für Mobile Devices arbeiten, wobei du jedes Gerät manuell freigeben musst.
Gruss
Raphael S.
Da hörts bei mir auf - müsste ich mich im Detail damit befassen. Eventuell findest du hier etwas: http://mobilitydojo.net/2010/05/19/securing-exchange-activesync-with-cl ...
Ansonsten könntest du mit der Quarantine für Mobile Devices arbeiten, wobei du jedes Gerät manuell freigeben musst.
Gruss
Raphael S.
Das mit der Quarantäne hört sich interessant an , wo kann ich diese finden ? Oder meinst du die Einschränkungen der Ip-Adressen. das kann ich leider nicht nutzen da die mobilen Geräte ja immer neue Ips vom Provider bekommen :/
Die Quarantine beläuft sich auf das Gerät, Infos findest du im TechNet, unter anderem:
http://msdn.microsoft.com/en-us/library/exchange/hh509085%28v=exchg.140 ...
http://technet.microsoft.com/en-us/library/ff959225%28v=exchg.141%29.as ...
gruss
raphael s.
http://msdn.microsoft.com/en-us/library/exchange/hh509085%28v=exchg.140 ...
http://technet.microsoft.com/en-us/library/ff959225%28v=exchg.141%29.as ...
gruss
raphael s.
Die gibts warcheintlich nur bei neueren Exchange-Servern oder ? Wir haben noch einen 2003er
Hallo BQuit
Ich glaub das gibt es erst ab Exchange 2007 - bin mir aber nicht sicher...
Für Exchange 2003 gestaltet sich dies wohl jetzt etwas schwieriger, kann dir da aber nicht weiterhelfen, da ich bei deisem Exchange schlicht zu wenig Erfahrung habe.
Wäre ein Upgrade der Umgebung möglich?
Gruss
Raphael S.
Ich glaub das gibt es erst ab Exchange 2007 - bin mir aber nicht sicher...
Für Exchange 2003 gestaltet sich dies wohl jetzt etwas schwieriger, kann dir da aber nicht weiterhelfen, da ich bei deisem Exchange schlicht zu wenig Erfahrung habe.
Wäre ein Upgrade der Umgebung möglich?
Gruss
Raphael S.
Ja das wird demnächst auch kommen (2013), leider soll die iPhone-Lösung jetzt die nächste Zeit schon funktionieren :/
Servus,
die von dir gewünschte Funktion ist mit Benutzerzertifikaten in Exchange 2007 und 2010 für Activesync und OWA möglich. Funktioniert auf jeden Fall mit einer AD CA.
Das nennt sich certificate based client user authentication, oder kurz CBA.
Vorraussetzung Mobile Phone
- iPhone/iPad, es wird mittels iPhone Configuration Utility ein Profil erstellt, das die Definitionen für den Benutzer, den Activesync Server, das Root CA Zertifikat und das Benutzerzertifikat (mit privatem Schlüssel) beinhaltet. Dieses Profil wird dann entweder per USB oder OTA auf dem iOS Gerät installiert.
- Windows Phone, es muss nur das Root CA Zertifikat und das Benutzer Zertifikat installiert werden; ab Windows Phone 7.5 das Root Ca mit http downloaden, mit https dann das Benutzerzertifikat.
Jetzt zum Exchange Server bzw Juniper. Bei meiner Recherche zur Implementierung habe ich ein ein Dokument von Juniper gefunden, das die Konfiguration für CBA beschreibt. Technisch verifiziert die Juniper das Benutzerzertifikat mit dem AD und leitet den Request dann mit den Benutzerrechten weiter. Damit weiß Exchange, von welchem Benutzer die Anfrage kommt und liefert die entsprechenden Daten.
Zweite Möglichkeit ohne Juniper ist das direkte Durchleiten der https CAS Anforderungen auf den Exchange CAS. Hier sind am Exchange/IIS noch Role Services und Settings für das Clientcertificatemapping zu konfigurieren.
Hier sollten genug Schlagworte zum Suchen enthalten sein, es gibt genügend Doku im Netz. Habe grad leider keine Zeit um Links rauszusuchen
Ciao
die von dir gewünschte Funktion ist mit Benutzerzertifikaten in Exchange 2007 und 2010 für Activesync und OWA möglich. Funktioniert auf jeden Fall mit einer AD CA.
Das nennt sich certificate based client user authentication, oder kurz CBA.
Vorraussetzung Mobile Phone
- iPhone/iPad, es wird mittels iPhone Configuration Utility ein Profil erstellt, das die Definitionen für den Benutzer, den Activesync Server, das Root CA Zertifikat und das Benutzerzertifikat (mit privatem Schlüssel) beinhaltet. Dieses Profil wird dann entweder per USB oder OTA auf dem iOS Gerät installiert.
- Windows Phone, es muss nur das Root CA Zertifikat und das Benutzer Zertifikat installiert werden; ab Windows Phone 7.5 das Root Ca mit http downloaden, mit https dann das Benutzerzertifikat.
Jetzt zum Exchange Server bzw Juniper. Bei meiner Recherche zur Implementierung habe ich ein ein Dokument von Juniper gefunden, das die Konfiguration für CBA beschreibt. Technisch verifiziert die Juniper das Benutzerzertifikat mit dem AD und leitet den Request dann mit den Benutzerrechten weiter. Damit weiß Exchange, von welchem Benutzer die Anfrage kommt und liefert die entsprechenden Daten.
Zweite Möglichkeit ohne Juniper ist das direkte Durchleiten der https CAS Anforderungen auf den Exchange CAS. Hier sind am Exchange/IIS noch Role Services und Settings für das Clientcertificatemapping zu konfigurieren.
Hier sollten genug Schlagworte zum Suchen enthalten sein, es gibt genügend Doku im Netz. Habe grad leider keine Zeit um Links rauszusuchen
Ciao
Wow 
danke für deine Mühen , ich werde morgen gleich mal gucken ob mich das weiterbringt . Vielen dank nochmals
danke für deine Mühen , ich werde morgen gleich mal gucken ob mich das weiterbringt . Vielen dank nochmals
Hallo BQuiet,
hast du das Scenario zum Laufen gekriegt? Ich suche auch nach derselben Lösung.
Zum Juniper gibt es gute Beschreibung hier: http://www.juniper.net/techpubs/software/ive/guides/howtos/ClientCertCh ...
Aber CA Teil fehlt mir leider noch.
Kannst du kurz die Lösung beschreiben?
Danke und Gruss,
Max
hast du das Scenario zum Laufen gekriegt? Ich suche auch nach derselben Lösung.
Zum Juniper gibt es gute Beschreibung hier: http://www.juniper.net/techpubs/software/ive/guides/howtos/ClientCertCh ...
Aber CA Teil fehlt mir leider noch.
Kannst du kurz die Lösung beschreiben?
Danke und Gruss,
Max
