Anmelden mit Client...
 
Benachrichtigungen
Alles löschen

Anmelden mit Client Zertifikaten

10 Beiträge
3 Benutzer
1 Reactions
6,730 Ansichten
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Hallo zusammen,

ich suche schon seit längerem die Möglichkeit sich bei Exchange mit Client Zertifikaten anzumelden z.B. ein iPhone. Das einzige, was ich bisher ermittelt habe und ich mir relativ sicher bin, ist, dass man eine Zertifizierungsstelle benötigt und im IIS des Exchange Servers SSL auf "required" stellen sollte. Die restlichen Fragmente habe ich nicht zusammen bekommen. Könnte mich jemand führen?

Setup: Exchange 2019, Sophos WAF

 

Vielen Dank in Voraus,

 

Vendetta


   
Zitat
Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 14 Jahren
Beiträge: 512
 

Hi,

das Thema Client Zertifikate für ActiveSync ist hier im Detail beschrieben:

https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/configure-certificate-based-auth?view=exchserver-2019

In Verbindung mit der UTM habe ich das allerdings noch nie probiert.

Gruß,

Frank


   
AntwortZitat

(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Auf der Seite war ich schon mal, habe aber absolut gaaaaar nichts verstanden. An Deine Anleitungen kommt halt nichts ran, Frank :c)


   
AntwortZitat
Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 14 Jahren
Beiträge: 512
 

:-) Vielleicht schreib ich da mal ein kleines HowTo zu. 


   
Vendetta reacted
AntwortZitat

(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Das wäre mir eine Spende wert :) 


   
AntwortZitat
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Ich bin jetzt selbst so weit wie in diesem Link gekommen.

Das gilt natürlich nur für Webseiten. Im Falle eines Exchange Server erwarte ich jedoch ähnliches. Nur, nun kam ein neues Problem dazu:

Ich sichere meinen Webserver und Exchange Server mit einer WAF von Sophos (UTM SG). Diese bricht ja die Kette auf und es kommt ein 403 Verboten - logisch. Nur, wie bringt man die Firewall dazu die Zertifikate durchzureichen? Geht das überhaupt oder muss ich die WAF abschalten und per Port Forwarding arbeiten? Das wäre vermutlich weniger sicher oder wäre dann die Authentifizierung per Zertifikat sogar sicherer als über die WAF?

 

Diese r Beitrag wurde geändert Vor 5 Jahren von Vendetta

   
AntwortZitat

(@mkremer)
New Member
Beigetreten: Vor 5 Jahren
Beiträge: 3
 

Hi,

die CBA über WAF ist mir bisher auch noch nicht gelungen. Aber per NAT direkt auf den/die Server oder Loadbalancer, das geht schon. Per WAF werden wohl die Benutzerzertifikate nicht korrekt weitergereicht.

Für die ganze Konfiguration fand ich die folgenden Artikel sehr hilfreich.

Demystifying Certificate Based Authentication with ActiveSync in Exchange 2013 and 2016 (On-Premises)

HTTP error 403.16 - client certificate trust issue

Viele Grüße

Matthias


   
AntwortZitat
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Ich habe mal eine Testinstallation ohne Sophos gemacht. Ich kann mit dem Link von Frank sowei einrichten, dass OWA ein Zertifikat verlangt, das funktioniert schon mal. Ich hänge an zwei weiteren Punkten:

1) Outlook

Bei Outlook selbst habe ich keine Anleitung gefunden wie man ein Zertifikat hinzufügt, ausser für die MIME Verschlüsselung. Auch wird in Franks Link nicht beschrieben, dass auch die /mapi Seiten ein Client Zertifikat erfordern, nur /Microsoft-Active-Sync, /owa und /ecp. Kann man das Outlook bzw dem IIS unter /mapi überhaupt beibringen?

2) iPhone

Es muss ein Profil fürs iPhone erstellt werden. Ich habe leider keinen MAC, um das Profil zu erstellen. Das iPhone-Konfigurationsprogramm für Windows ist abgekündigt, mit der noch existierenden alten Version kommt beim laden des Benutzerzertifikats ins Profil die Fehlermeldung:

Zertifikatausnahmefehler: InitializeWithCertificate: Zertifikat konnte aufgrund einer Ausnahme nicht exportiert werden.

Was kann ich noch tun?

 

Danke Euch

 

Vendetta


   
AntwortZitat

Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 14 Jahren
Beiträge: 512
 

Hi,

CBA funktioniert nicht mit Outlook. Die Zertifikate für die Mobiles werden normalerweise mit einem MDM System verteilt, für jeden Benutzer ein Profil für ein iPhone zu erstellen, wäre damit überflüssig.

Gruß,

Frank


   
AntwortZitat
(@vendetta)
Estimable Member
Beigetreten: Vor 5 Jahren
Beiträge: 85
Themenstarter  

Danke Frank.

Dann verwerfe ich mal CBA. Meinem Chef hätte es gefallen, dass sich nur Clients verbinden können, wenn sie ein Zertifikat besitzen - vor allem mit Outlook. 

Irgendwie habe ich die beste Absicherungsmethode für einen Exchange Server noch nicht gefunden.


   
AntwortZitat

Teilen: