Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbindung mit Zertifikat sichern , iphone , juniper, active sync exchange, Grundlegende Fragen ?!

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: BQuiet

BQuiet (Level 1) - Jetzt verbinden

28.11.2012 um 17:49 Uhr, 5546 Aufrufe, 11 Kommentare

Szenario :
Ich möchte meine Firmenmails von einem iPhone abrufen können, egal wo ich bin.
Also habe ich eine Active-Sync-Verbindung auf unserem Exchange-Server eingerichtet, seitdem bekomme ich die E-Mails wenn ich im WLAN (Firmennetz) bin, soweit so gut.
Nun möchte ich auch über all auf der Welt meine Firmenmails bekommen, also habe ich auf unserer Juniper eine SSL-Verbindung eingerichtet, nun bekomme ich meine Mails auch aus dem Internet.

Nun möchte ich diese Verbindung absichern, ich möchte das ich nur auf der Juniper durchgelassen werde, wenn ich ein passendes Zertifikat habe und daran scheitert es.

Ich habe keine Ahnung von Zertifikaten und habe mir gedacht so schwer kann das ja nicht sein.
Also habe ich auf einem Server die Microsoftzertifikatdienste installiert und wie wild rum probiert ...

Ich möchte einfach nur irgendein Zertifikat auf der Juniper hinterlegen welches ich auf meinem iPhone auch haben muss damit die Verbindung hergestellt wird.

Wenn ich das Zertifikat nicht habe, soll die Verbindung nicht aufgebaut werden.

Hat jemand Erfahrung oder Tipps für mich , wie oder was ich wo machen muss um eine sichere Verbindung zwischen iPhone und Exchange zu schaffen ?

Ich hoffe ihr könnt mir helfen,

BQuiet
Mitglied: 108399
28.11.2012 um 23:04 Uhr
Hallo BQuiet

Ist eigentlich recht einfach:

Das SSL Zertifikat auf dem Exchange Server einbinden und im IIS der entsprechenden Site zuteilen. Danach lediglich unter den SSL Einstellungen die Verwendung eines SSL Zertifikates erzwingen.

Danach lediglich auf der Firewall den Port 443 auf den Exchange durchleiten und die Verbindung findet verschlüsselt statt.

Falls du noch Fragen hast, schreib ruhig.

Gruss
Raphael S.
Bitte warten ..
Mitglied: BQuiet
28.11.2012 um 23:32 Uhr
Hi,
danke für deine Antwort.
Das mit dem SSL-Zertifikat habe ich schon hinbekommen.

Also ich kann mit meinem iPhone über SSL mit Benutzername und Passwort meine Mails abrufen, das ist für uns aber zu unsicher und wir wollen zusätzlich noch ein Client-Zertifikat.
Es soll nur eine Verbindung hergestellt werden wenn ein solches Zertifikat auf dem iPhone vorhanden ist, wenn nicht soll keine Verbindung möglich sein.

Und das habe ich bisher leider noch nicht geschafft
Bitte warten ..
Mitglied: 108399
28.11.2012 um 23:38 Uhr
Hi

Da hörts bei mir auf - müsste ich mich im Detail damit befassen. Eventuell findest du hier etwas: http://mobilitydojo.net/2010/05/19/securing-exchange-activesync-with-cl ...

Ansonsten könntest du mit der Quarantine für Mobile Devices arbeiten, wobei du jedes Gerät manuell freigeben musst.

Gruss
Raphael S.
Bitte warten ..
Mitglied: BQuiet
28.11.2012 um 23:46 Uhr
Das mit der Quarantäne hört sich interessant an , wo kann ich diese finden ? Oder meinst du die Einschränkungen der Ip-Adressen. das kann ich leider nicht nutzen da die mobilen Geräte ja immer neue Ips vom Provider bekommen :/
Bitte warten ..
Mitglied: 108399
28.11.2012 um 23:51 Uhr
Die Quarantine beläuft sich auf das Gerät, Infos findest du im TechNet, unter anderem:

http://msdn.microsoft.com/en-us/library/exchange/hh509085%28v=exchg.140 ...
http://technet.microsoft.com/en-us/library/ff959225%28v=exchg.141%29.as ...

gruss
raphael s.
Bitte warten ..
Mitglied: BQuiet
29.11.2012 um 13:55 Uhr
Die gibts warcheintlich nur bei neueren Exchange-Servern oder ? Wir haben noch einen 2003er
Bitte warten ..
Mitglied: 108399
29.11.2012 um 13:59 Uhr
Hallo BQuit

Ich glaub das gibt es erst ab Exchange 2007 - bin mir aber nicht sicher...

Für Exchange 2003 gestaltet sich dies wohl jetzt etwas schwieriger, kann dir da aber nicht weiterhelfen, da ich bei deisem Exchange schlicht zu wenig Erfahrung habe.

Wäre ein Upgrade der Umgebung möglich?

Gruss
Raphael S.
Bitte warten ..
Mitglied: BQuiet
29.11.2012 um 16:33 Uhr
Ja das wird demnächst auch kommen (2013), leider soll die iPhone-Lösung jetzt die nächste Zeit schon funktionieren :/
Bitte warten ..
Mitglied: marioalfa
29.11.2012 um 19:13 Uhr
Servus,

die von dir gewünschte Funktion ist mit Benutzerzertifikaten in Exchange 2007 und 2010 für Activesync und OWA möglich. Funktioniert auf jeden Fall mit einer AD CA.
Das nennt sich certificate based client user authentication, oder kurz CBA.

Vorraussetzung Mobile Phone
- iPhone/iPad, es wird mittels iPhone Configuration Utility ein Profil erstellt, das die Definitionen für den Benutzer, den Activesync Server, das Root CA Zertifikat und das Benutzerzertifikat (mit privatem Schlüssel) beinhaltet. Dieses Profil wird dann entweder per USB oder OTA auf dem iOS Gerät installiert.
- Windows Phone, es muss nur das Root CA Zertifikat und das Benutzer Zertifikat installiert werden; ab Windows Phone 7.5 das Root Ca mit http downloaden, mit https dann das Benutzerzertifikat.

Jetzt zum Exchange Server bzw Juniper. Bei meiner Recherche zur Implementierung habe ich ein ein Dokument von Juniper gefunden, das die Konfiguration für CBA beschreibt. Technisch verifiziert die Juniper das Benutzerzertifikat mit dem AD und leitet den Request dann mit den Benutzerrechten weiter. Damit weiß Exchange, von welchem Benutzer die Anfrage kommt und liefert die entsprechenden Daten.
Zweite Möglichkeit ohne Juniper ist das direkte Durchleiten der https CAS Anforderungen auf den Exchange CAS. Hier sind am Exchange/IIS noch Role Services und Settings für das Clientcertificatemapping zu konfigurieren.

Hier sollten genug Schlagworte zum Suchen enthalten sein, es gibt genügend Doku im Netz. Habe grad leider keine Zeit um Links rauszusuchen

Ciao
Bitte warten ..
Mitglied: BQuiet
29.11.2012 um 19:50 Uhr
Wow danke für deine Mühen , ich werde morgen gleich mal gucken ob mich das weiterbringt . Vielen dank nochmals
Bitte warten ..
Mitglied: Maxiee
14.08.2013, aktualisiert um 10:04 Uhr
Hallo BQuiet,
hast du das Scenario zum Laufen gekriegt? Ich suche auch nach derselben Lösung.
Zum Juniper gibt es gute Beschreibung hier: http://www.juniper.net/techpubs/software/ive/guides/howtos/ClientCertCh ...
Aber CA Teil fehlt mir leider noch.
Kannst du kurz die Lösung beschreiben?

Danke und Gruss,
Max
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...