mail4exchange mit ssl, so wirds gemacht!

    hallo leute :-)


    nachdem ich per pn mehrfach drum gebeten wurde, hier nun ein paar kurze tips in form eines DIY für das erfolgreiche einrichten von ssl für mail4exchange 2.0 für small business server 2003 mit selbst signierten zertifikat.


    grundvorraussetzung für die ganze geschichte ist, das ihr das root-certificate der root-authority aus eurem sbs extrahiert. euer nokia wird ausschliesslich wurzel-zertifikate akzeptieren, die folgende zwei felder enthalten:


    basic constraints = "Subject Type=CA"
    key usage = "Certificate Signing"


    ich kann hier nur nochmal wiederholen, das hier zwingend das wurzel-zertifikat erforderlich ist, kein anderes wird funktionieren, da das telefon sonst dem zertifikat nicht vertraut.


    als nächstes exportiert ihr das zertifikat im format "DER encoded binary X-509 (.CER)", so das euer zertifikat nun im format deinzertifikat.CER erscheinen sollte.


    nun habt ihr im besten fall ein wurzelzertifikat, könnt damit aber noch nichts anfangen, denn es muss ins .DER format konvertiert werden. dies könnt ihr am einfachsten mit open ssl machen, was ihr kostenlos im netz bekommt. um das .CER in .DER zu konvertieren, muss das .CER vorher ins .PEM und dann ins .DER konvertiert werden. dies macht ihr über open ssl über die dosbox mit folgenden kommandos:


    .DER zu .PEM konvertieren:
    openssl x509 -inform der -in MYCERT.cer -out MYCERT.pem


    .PEM zu .DER konvertieren:
    openssl x509 -outform der -in MYCERT.pem -out MYCERT.der



    nun habt ihr schonmal das zertifikat im richtigen format vorliegen. jetzt heisst es noch , das zert ins nokia zu bekommen. problem ist hierbei, dass das über bluetooth oder dergleichen nicht klappen wird. geht zwar, aber das zert wird anschliessend nicht funktionsfähig importiert. um es ins nokia zu bekommen macht ihr folgendes:


    - ladet das zertifikat auf euren privaten webserver (z.b. Standardwebseite)


    - wechselt in den iis manager und öffnet die eigenschaften des ordners wohin ihr das cert geladen habt


    - öffnet den "http-headers"-reiter und klickt auf "mime types"


    - fügt einen benutzerdefinierten mime typ hinzu, dessen erweiterung .DER und der typ "application/x-x509-ca-cert" ist (ohne die anführungszeichen natürlich)


    - schnappt euch nun euer telefon und surft mit dem integrierten nokiabrowser auf die website wo ihr das cert abgelegt habt, also z.b. http://www.meineseite.de/meinzertifikat.der


    - das handy erkennt nun , das es sich um ein zertifikat handelt und fragt , ob es importiert werden soll (aufgrund des benutzerdefinierten mime-typs , den ihr angelegt habt). das wird natürlich mit ja beantwortet und das wars dann auch schon...


    - handy rebooten und freuen das es endlich geklappt hat ;)


    die häufigste fehlerquelle , sollte es nicht funktionieren, ist, dass ihr nicht das root zertifikat der root authority erwischt habt, sondern irgendein child, bzw es nicht die beiden zwingend notwenigend values basic constraints und key usage enthält..


    das ganze hat mich echt einige tage und jede menge nerven gekostet und natürlich kann ich keine garantie geben , dass das ganze auch bei euch funktioniert und ich distanziere mich auch davon wenn ihr euch euren server brickt. daher noch einen rat: wenn ihr beim zweiten lesen dieses threads noch nicht hundertprozentig verstanden habt, was ihr machen müsst, lasst es lieber..


    so, ich hoffe ich konnte ein wenig helfen und wünsche viel spass beim ausprobieren ;)

    troubleshooting begins at layer one.... ;)


    e65 + e90 + blackberry curve

    Hallo,


    und erst einmal Danke für Deine Hilfestellungen.
    Das Rootzertifikat habe ich erstellen können und nun habe ich dadurch endlich meine eigene Zertifizierungsstelle zu Hause. :) Auf den anderen WM-Handys, wovon ich im Moment ja keines mehr benutzen möchte, habe ich erfolgreich den Push testen können, also sind die Zertifikate in Ordnung. Auch konnte ich mit das neue Root-Zertifikat endlich auf dem E65 installieren.


    Nach diesen Erfolgsmeldungen steht eigentlich ja kein Hindernis im Weg, um endlich Mail for Exchange erfolgreich auf meinem neuen Handy benutzen zu können. Zumindest dachte ich das bis gestern. :mad: Mit der Zeit macht mich jedenfalls das bekloppte Handy, bzw. die miese MfE Software, echt depressiv. Ich bekomme immer die Meldung "Verbindungsfehler. Versuchen sie es später erneut." auf dem Display. Die Serverdaten stimmen 100%ig, jedenfalls laufen die Daten mit WM Handys (nein, keine Angst, nicht parallel). Auch sind Internet und WLAN, also zwei Zugriffsmöglichkeiten auf das Internet voll funktionsfähig. Ich kann also über beide z.B. surfen. Eine totale Neusynchronisation klappt auch nicht, ich werde es noch mit Roadsync versuchen, jedoch hätte ich gerne die Unterstützung von Aufgaben.


    Jedenfalls kann ich so langsam sicher jedem von Symbian und Push abraten. Dafür braucht man wirklich zu viel Zeit und zu viele Nerven. Der Support von Nokia ist auch ziemlich schlecht.


    Für Lösungen wäre ich natürlich noch dankbar, obwohl ich die Hoffnung eigentlich schon aufgegeben habe. Ansonsten kommt das Ding in ein paar Tagen weg. Dann werde ich halt von WM5 auf WM6 upgraden, das Geld ist es mir so langsam wirklich wert.


    Grüße an alle Leidensgenossen und an die, die MfE bändigen konnten!

    ja, perfekt ist es nicht und den fehler hab ich auch ab und an..symbian und wm5/6 sind für mich nur spielerei und ein bisschen bastelspass... um ernsthaft unterwegs zuverlässig meine emails zu empfangen nutze ich blackberry, der geht immer

    troubleshooting begins at layer one.... ;)


    e65 + e90 + blackberry curve

    Danke für das gute Do-it-yourself – werde ich aber jetzt immer referenzieren –, aber vielleicht kann man es noch vereinfachen:

    Zitat

    Original geschrieben von fearomoon
    über bluetooth oder dergleichen nicht klappen wird. geht zwar, aber das zert wird anschliessend nicht funktionsfähig importiert.

    Welche Fehlermeldung bekommst Du über Bluetooth – ich meine, dass es bei mir so geht. :confused:

    Zitat

    Original geschrieben von fearomoon
    könnt [mit einem .CER] aber noch nichts anfangen, denn es muss ins .DER format konvertiert werden.

    Darf man fragen, warum? Es müsste doch bereits im DER-Format vorliegen, hat halt nur die falsche Endung? Welche Fehlermeldung kam, als Du es installieren wolltest oder wie sah es im Texteditor aus?

    Zitat

    Original geschrieben von fearomoon
    grundvorraussetzung für die ganze geschichte ist, das ihr das root-certificate der root-authority aus eurem sbs extrahiert.

    Könntest Du dies Schritt für Schritt erklären, also Start > Programme > …, da ich denke, dass dies der Punkt ist ,woran die meisten scheitern. Da ich selbst keinen Windows Server habe, kann ich das nicht machen. :top:

    zu 1) du kannst ein zertifikat per bluetooth schicken, keine frage, u.U. wird das telefon dies auch installieren, jedoch reicht das für m4e nicht aus um es als sicher zu identifizieren, aus irgendeinem mir nicht erfindlichen grund


    zu 2) es liegt in zwar im .der format vor, aber wie du schon sagtest mit der falschen endung. hier reicht es leider nicht, das zertifikat von .cer in .der umzubenennen, es muss tatsächlich auf so umständliche art und weise konvertiert werden. der grund hierfür würde zu weit ins technische detail gehen und bringt auch nicht wirklich weiter.



    zu 3) hierzu gibt es keine direkte anleitung, da dies echt bei jedem individuell unterschiedlich sein kann. ebenso dort über ein forum support zu leisten ist so gut wie nicht machbar. ich kann hier nur ein paar tips als hilfestellung geben. im zertifikatmanager werden ja alle zertifikate angezeigt, hier kann man über die eigenschaften herausfinden, ob man sich gerad das root-zertifikat anschaut, oder ein child. auf dem letzten reiter der eigenschaften eines zertifikates sieht man i.d.r. eine baumdarstellung wobei das oberste das gesuchte root-cert ist. dies dann ganz einfach exportieren und wie im how-to beschrieben ins telefon importieren

    troubleshooting begins at layer one.... ;)


    e65 + e90 + blackberry curve

    Nein, ich meinte: Wo lungert der Zertifikatmanager an sich rum? Ich denke, daran scheitern viele.


    zu 2., hast Du da einen Link was da los ist? Wenn es auch keinem weiter hilft, interessiert mich das schon.

    aaaah ok, jetzt weiss ich was du meinst :-)


    start -> ausführen -> mmc eintippen und enter drücken -> ins fenster wechseln und strg+m drücken um ein snapin hinzuzufügen -> links unten auf hinzufügen klicken und im darauffolgenden fenster "zertifizierungsstelle" auswählen -> ok drücken -> links den baum erweitern und auf "ausgestellte zertifikate" wechseln -> das cert mit der zertifikatvorlage webserver doppelklicken -> voilá ;)



    kann dir da leider so auch nicht weiterhelfen, ich weiss dahingehend auch nur, dass es nicht funktioniert mit dem einfach umbenennen... möglicherweise würde es auch funktionieren , wenn du das .cer in PKCS12 package (.p12 format) packst, dann könntest du es, soweit die theorie, auch per file transfer auf das mobile schicken.. das hab ich allerdings nicht probiert

    troubleshooting begins at layer one.... ;)


    e65 + e90 + blackberry curve

    Erstmal danke für das Howto, aber ich krieg bald echt einen rappel. Versuche schon seit einer Woche diese Kacke mit dem N95 hinzukriegen...


    Habe deine Anleitung ganz genau befolgt und die Zertifikate erfolgreich installiert, allerdings bekomme ich beim Syncen die Meldung: "Systemfehler: Versuchen Sie es später erneut." (Was soll das für eine Fehlermeldung sein? Warum gibt Nokia nicht mal eine vernüftige Meldung aus?)


    Unser RootCA ist von Solarsystem Trustcenter. Habe mich auch schon mit unserem Exchange Admin zusammen gesetzt und der wusste auch nicht mehr weiter. Mit den ganzen Windows Mobile Handys klappt das alles problemlos. (Verbindungseinstellungen sind identisch mit meinem N95)


    Das komische ist: Wenn ich das Zertifikat installiert habe und dann per Browser die Exchange Schnittstelle öffnen will (https://mobile.meinefirma.de) kommt die Meldung: "Internet: Vorgang kann nicht ausgeführt werden". Wenn ich das Zertifikat lösche bekomme ich die Meldung: "Diese Seite hat ein unbeglaubigtes Zertifikat gesendet. Trotzdem fortfahren?" Wenn ich fortfahren drücke, wird die Seite mir im Browser angezeigt. Es ist doch zum verzweifeln!!!



    Achja ich habe es mal mit einem Exchange Server von http://mail2web.com/ probiert und es klappt dort problemlos...

    also das mit dem zertifikat haste richtig gemacht, nur das mail4exchange spinnt... normalerweise reicht es das m4e zu deinstallieren, reboot und dann nochmal zu installieren. danach erneut neu starten und dann einen sync versuchen, dann sollte es klappen

    troubleshooting begins at layer one.... ;)


    e65 + e90 + blackberry curve

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden