In diesem Artikel habe ich beschrieben wie aktuelle Smartphones für Active Sync mit Exchange 2010 eingerichtet werden. Bei dem Einrichten der Windows Mobile Smartphones bin ich auf ein Problem gestoßen, welches unangenehme Folgen für den Administrator haben kann. Ich hatte meine Testumgebung wie folgt aufgebaut:
Rechner EX1 ist ein Multi Role Exchange Server mit den 3 Rollen Mailbox, Hub Transport und Client Access. Auf Rechner DC1 läuft das Active Directory und eine Active Directory integrierte Unternehmens Zertifizierungsstelle. Und genau mit der Unternehmens Zertifizierungsstelle scheint Windows Mobile 6.1 sowie 6.5 ein Problem zu haben. Ich konnte das Stammzertifizierungsstellen Zertifikat zwar erfolgreich auf dem Test-Smartphone unter Windows Mobile 6.1 installieren, allerdings erhielt ich in Active Sync immer den Fehler 0x80072f0d. Dieser Fehler deutet auf ein Problem mit dem Zertifikat hin. Laut der Fehlercode Tabelle von Microsoft ist das Zertifikat des Servers ungültig. Auch der Internet Explorer auf dem Smartphone meldet mir beim Zugriff auf die OWA Webseite des Exchange Servers, dass zwar Name und Datum auf dem Zertifikat passen. Das Zertifikat aber von einer nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde. Ich dachte zunächst daran, dass Windows Mobile das Zertifikat als ungültig ansieht, da das Stammzertifizierungsstellen Zertifikat im Container „Zwischen“ auf dem Windows Mobile Gerät installiert wurde und nicht im Container „Stamm“. Aber auch das Installieren des Zertifikats im Container „Stamm“, wie hier beschrieben, brachte die gleiche Fehlermeldung.
Nach doch etwas längerer Fehlersuche, bin ich darauf gestoßen das Windows Mobile 6 scheinbar ein Problem damit hat, wenn bei der Installation der Zertifizierungsstelle SHA512 oder höher als Hashalgorithmus ausgewählt wird. Per Default wird hier SHA1 vorgeschlagen. Ich hatte allerdings SHA512 ausgewählt. Ich hatte SHA512 gewählt, weil SHA1 ein recht in die Jahre gekommenes Verfahren ist und zudem als geknackt anzusehen ist (Quelle: Bruce Schneiers Blog).
Wenn nun SHA512 als Hashalgorithmus gewählt wird, werden alle Zertifikate die von der Stammzertifizierungsstelle ausgestellt werden mit SHA512 signiert. Dies lässt sich nach der Installation nicht mehr ändern.
Anscheinend kann Windows Mobile 6 aber nichts mit SHA512 anfangen, auch im Netz bin ich dazu nicht fündig geworden, ob das nun erlaubt ist oder nicht. In meinem Fall zumindest wurde immer das Stammzertifizierungsstellen Zertifikat als ungültig erklärt. Da sich der Hashalgorithmus nach der Installation der Stammzertifizierungsstelle aber nicht mehr ändern lässt musste ich die komplette Rolle neuinstallieren und SHA1 auswählen.
Nun kann man aber in produktiven Umgebungen nicht einfach die Unternehmens Zertifizierungsstelle neuinstallieren, in manchen Umgebungen kann dies zu einem großen Problem werden. Als kleiner Tipp gibt es hier eine Migrationsanleitung.
Nachdem ich also die Stamm-ZS neuinstalliert hatte und SHA1 ausgewählt hatte, war der Rest ein Kinderspiel. Zertifikat auf das Windows Mobile Smartphone übertragen und installiert. Active Sync eingerichtet und es funktioniert auf Anhieb.
1 Gedanke zu „Windows Mobile 6: Stammzertifizierungsstellenzertifikat ungültig (0x80072f0d)“