0
ActiveSync über TMG mit Clientzertifikaten veröffentlichen
Hallo,
ich habe folgendes Problem bzw. folgende Anforderung.
Ich habe einen Exchange 2010 SP2 im LAN und einen TMG in der DMZ stehen.
Über den TMG mache ich meine Veröffentlichungen für OWA und ActiveSync.
Dabei habe ich beim Weblistener (Port 443) eingestellt, dass ein Clientzertifikat zwingend erforderlich ist.
Die Clientzertifikate erstelle ich in meiner eigenen CA und verteile diese auf die Clients, die auf OWA bzw. ActiveSync zugreifen sollen.
Der Zugriff von meinem Laptop mit Clientzertifikat funktioniert einwandfrei.
Probleme macht ActiveSync.
Ich möchte ActiveSync ebenfalls mit einem Clientzertifkat absichern (nicht am EX sondern am TMG über Weblistener).
Dabei habe ich das gleiche Clientzertifikat dass ich auch auf dem Laptop für OWA habe mit dem CA Root Zertifikat auf dem IPAD installiert.
Leider scheitert dabei die Kommunikation. Es sieht so aus als ob das IPAD das Zertifikat nicht zum TMG zur Authentifizierung mitschickt.
Es kommt auch keine Anforderung oder Auswahl dafür, anders als beim Laptop.
Wenn man die OWA Seite im Safari Browser aufruft, so wird das Client Zertifikat automatisch verwendet.
Warum nicht in der MAIL APP vom IPAD?
Wenn ich zwischenzeitlich auf dem TMG die Einstellung "Clientzertifikat erforderlich" deaktiviere, funktioniert ActiveSync einwandfrei.
Weblistener Einstellungen:
Authentifizierung: HTML-Formularauthentifizierung (Windows AD)
- Erweitert: SSL-Clientzertifikat anfordern
ActiveSync Veröffentlichungsregel:
Authentifizierungsdelegierung: Standardauthentifizierung
Auf dem Exchange Server wurde die externe URL analog zur OWA Einstellung eingetragen.
Auf der Seite Test Exchange Remote Connectivity kommt als Antwort zurück: Clientzertifikat erforderlich.
Hat jemand so eine Konstellation schon erfolgreich implementiert bzw. hat jemand Tips?
Gruß
V-FSI
ich habe folgendes Problem bzw. folgende Anforderung.
Ich habe einen Exchange 2010 SP2 im LAN und einen TMG in der DMZ stehen.
Über den TMG mache ich meine Veröffentlichungen für OWA und ActiveSync.
Dabei habe ich beim Weblistener (Port 443) eingestellt, dass ein Clientzertifikat zwingend erforderlich ist.
Die Clientzertifikate erstelle ich in meiner eigenen CA und verteile diese auf die Clients, die auf OWA bzw. ActiveSync zugreifen sollen.
Der Zugriff von meinem Laptop mit Clientzertifikat funktioniert einwandfrei.
Probleme macht ActiveSync.
Ich möchte ActiveSync ebenfalls mit einem Clientzertifkat absichern (nicht am EX sondern am TMG über Weblistener).
Dabei habe ich das gleiche Clientzertifikat dass ich auch auf dem Laptop für OWA habe mit dem CA Root Zertifikat auf dem IPAD installiert.
Leider scheitert dabei die Kommunikation. Es sieht so aus als ob das IPAD das Zertifikat nicht zum TMG zur Authentifizierung mitschickt.
Es kommt auch keine Anforderung oder Auswahl dafür, anders als beim Laptop.
Wenn man die OWA Seite im Safari Browser aufruft, so wird das Client Zertifikat automatisch verwendet.
Warum nicht in der MAIL APP vom IPAD?
Wenn ich zwischenzeitlich auf dem TMG die Einstellung "Clientzertifikat erforderlich" deaktiviere, funktioniert ActiveSync einwandfrei.
Weblistener Einstellungen:
Authentifizierung: HTML-Formularauthentifizierung (Windows AD)
- Erweitert: SSL-Clientzertifikat anfordern
ActiveSync Veröffentlichungsregel:
Authentifizierungsdelegierung: Standardauthentifizierung
Auf dem Exchange Server wurde die externe URL analog zur OWA Einstellung eingetragen.
Auf der Seite Test Exchange Remote Connectivity kommt als Antwort zurück: Clientzertifikat erforderlich.
Hat jemand so eine Konstellation schon erfolgreich implementiert bzw. hat jemand Tips?
Gruß
V-FSI
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194383
Url: https://administrator.de/contentid/194383
Printed on: April 19, 2024 at 01:04 o'clock
