Benachrichtigungen
Alles löschen

iOS 13 mit selbstsigniertem Zertifikat

  RSS

(@stefan1904)
New Member
Beigetreten: Vor 1 Jahr
Beiträge: 4
Themenstarter  

Hallo zusammen,

auf unserem Windows Server 2012 R2 nutzen wir eine eigene Zertifizierungsstelle und haben hiermit für Exchange ein SAN-Zertifikat erstellt. Dies funktioniert mit iOS 12 und aktuell mit iOS 13 noch. Allerdings steht nächsten Monat eine Zertifikatserneuerung sowohl des Root- als auch des Exchange-Zertifikats an. Für iOS 13 hat Apple ja die Zertifikatsanforderung verschärft, siehe Apple-Webseite.

Folgender Punkt verunsichert mich:

  1. Darüber hinaus müssen alle nach dem 1. Juli 2019 ausgestellten TLS-Serverzertifikate (wie im NotBefore-Feld des Zertifikats angegeben) den folgenden Richtlinien entsprechen:

    1. TLS-Serverzertifikate müssen eine ExtendedKeyUsage (EKU)-Erweiterung enthalten, die die "id-kp-serverAuth OID" enthält.
    2. TLS-Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern "NotBefore" und "NotAfter" des Zertifikats angegeben).

Ist 1.1 bei der Windows eigenen Zertifizierungsstelle gegeben?

Betrifft 1.2 auch das Root-Zertifikat oder in meinem Fall nur das Exchange-Zertifikat?

Nutzt eventuell jemand hier eine eigene Windows Server Zertifizierungsstelle und hat ein Exchange-Zertifikat, das nach dem 1. Juli 2019 erstellt wurde, mit iOS 13 am Laufen?

Danke, Stefan.


Zitat
Frank Zöchling
(@franky)
Admin
Beigetreten: Vor 11 Jahren
Beiträge: 429
Frank Zöchling - FacebookFrank Zöchling - Twitter
 

Hallo Stefan,

Punkt 1.1 betrifft das Exchange Zertifikat, im Normalfall macht dies aber keine Probleme, denn es handelt sich hier um das Flag "Erweiterte Schlüsselverwendung", Webserver Zertifikate von einer Windows CA enthalten hier bereits "Serverauthentifizierung (1.3.6.1.5.5.7.3.1)" und "Clientauthentifizierung (1.3.6.1.5.5.7.3.2)". Dies ist iOS 13 konform. Wichtig ist, dass die Zertifikate "nur" noch 825 Tage gültig sein dürfen, Zertifikate mit langer Laufzeit sind also nicht mehr vertrauenswürdig.

Gruß,

Frank


AntwortZitat
(@stefanl)
New Member
Beigetreten: Vor 11 Monaten
Beiträge: 3
 

@franky

Hallo Frank,

ich habe mich gestern ebenfalls mit diesem Problem gekämpft. Die Information von Apple am 29.02.2020 auf Deutsch veröffentlicht ist überholt. Die Zertifikate dürfen nur eine maximale Gültigkeit von 13 Monaten haben. Damit war dann zumindest ein Zugriff vom iPhone auf OWA möglich. Das Einrichten eines Kontos scheitert wahrscheinlich daran, dass noch TLS 1.1 von Exchange 2013 verwendet wird. Das kann ichaber nach Ostern testen.

Grüße und frohe Ostern,

Stefan

P.S.: Bei der Analyse der Probleme hat das paralle Testen auf auf einem Andoid-Gerät sehr geholfen, da dort die Fehlerinformationen "etwas" ausführlicher sind.

Diese r Beitrag wurde geändert Vor 11 Monaten von StefanL

AntwortZitat
(@prof-hase)
New Member
Beigetreten: Vor 6 Monaten
Beiträge: 3
 

Mal zum allgemeinen Verständnis.
Man hat eine PKI Infrastruktur und stellt nun ein SSL-Zertifikat via PKI für den Exchange-Server aus...
Die Clients innerhalb der Domäne in der auch die PKI beheimatet ist, vertrauen nun dem Zertifikat bzw. der Ausstellenden Stammzertifizierungsstelle.
Jetzt kommt ein nicht Domänen angehöriges Gerät in Form von zb. einem iPhone, dieses hat von der PKI noch nie etwas gehört und vertraut natürlich auch dessen Zertifikaten nicht. Was muss das iPhone denn bekommen, das es dieser PKI zukünftig vertraut?


AntwortZitat
(@ghammerle)
New Member
Beigetreten: Vor 4 Monaten
Beiträge: 3
 

Hallo, mein selbst signiertes Exchange Zertifikat läuft in ungefähr einem Monat ab. Wie verlängere ich es nun am besten, sodass ich keine Problem mit den Apple Geräten bekomme (> 13 Monate ist ja ab IOS 13 nicht mehr OK) ?

Wenn ich das Zertifikat über die ECP Weboberfläche nun verlängere, wird es dann standartmäßig um 5 Jahre oder nur um eines verlängert? In Verwendung ist Ex Server 2016.

Danke für Eure Hilfe.


AntwortZitat
NorbertFe
(@norbertfe)
Estimable Member
Beigetreten: Vor 4 Monaten
Beiträge: 160
 

Was spricht dagegen, einfach ein Lets encrypt oder sonstiges Zertifikat zu nutzen?

https://www.frankysweb.de/neue-version-des-exchange-zertifikatsassistent-fuer-lets-encrypt/

Alternativ erstell das Zertifikat einfach per Powershell:

http://woshub.com/how-to-create-self-signed-certificate-with-powershell/


AntwortZitat
(@ghammerle)
New Member
Beigetreten: Vor 4 Monaten
Beiträge: 3
 

@norbertfe

weil alles einwandfrei funktioniert und ich es so beibehalten möchte wenn es mit einem Klick bzw einem Befehl erneuert werden kann und dann im Anschluss alles wieder funktioniert.

und: weil es mich interessiert ;)


AntwortZitat
NorbertFe
(@norbertfe)
Estimable Member
Beigetreten: Vor 4 Monaten
Beiträge: 160
 

Na dann mach doch deinen einen Klick. ;) Wenns nicht geht, hast du ja nur einen Klick zuviel gemacht.


AntwortZitat
(@ghammerle)
New Member
Beigetreten: Vor 4 Monaten
Beiträge: 3
 

@norbertfe

… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)

Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(

Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...

Hat hier nicht irgendjemand Erfahrungen gemacht?


AntwortZitat
(@prof-hase)
New Member
Beigetreten: Vor 6 Monaten
Beiträge: 3
 
Veröffentlicht von: @ghammerle

@norbertfe

… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)

Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(

Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...

Hat hier nicht irgendjemand Erfahrungen gemacht?

Hi,

wenn es deine Umgebung zulässt, dann würde ich es mit LetsEncrypt machen:

https://www.frankysweb.de/exchange-2016-zertifikatsassistent-fuer-lets-encrypt/


AntwortZitat
NorbertFe
(@norbertfe)
Estimable Member
Beigetreten: Vor 4 Monaten
Beiträge: 160
 
Veröffentlicht von: @ghammerle

… und unter umständen dann auch viel mehr Arbeit alles wieder zurecht zu biegen, wenns nicht funktionieren sollte... ;)

Naja, wer sich so unsicher ist.... :)

Veröffentlicht von: @ghammerle

Hat hier niemand versucht das Zertifikat um 1 Jahr bzw. 13 Monate zu verlängern - und kann von seinem vorgehen bzw. von seiner Erfahrung berichten? :(

Nein, die meisten kaufen eins oder nutzen Let's Encrypt ist meine Vermutung. :)

Veröffentlicht von: @ghammerle

Ich befürchte ein Klick wird das Zertifikat um 5 Jahre verlängern und dann wird es auf den Apple Geräten zu Problemen kommen...

Deswegen hab ich dir ja Links geschickt, wie du das anders handhaben kannst. Aber wenn du eben nur klicken willst, bleibt dir nicht viel übrig.

Bye

Norbert


AntwortZitat
(@stefanl)
New Member
Beigetreten: Vor 11 Monaten
Beiträge: 3
 
Veröffentlicht von: @stefanl

... Das Einrichten eines Kontos scheitert wahrscheinlich daran, dass noch TLS 1.1 von Exchange 2013 verwendet wird. Das kann ichaber nach Ostern testen.

Hallo!

Mittlerweile habe ich:

  • TLS1.2 auf dem Server aktiviert,
  • das DNS von .local auf .de umgestellt,
  • öffentliche Zertifikate konfiguriert,
  • die aktuellen Verschlüsselungs-Suiten aktiviert !

Der letzte Punkt hat dann den Erfolg gebracht. Dazu habe ich das Tool "IIS Crypto" von Nartac Software verwendet. Danach waren alle Warnungen beim Einrichten eines Exchange-Kontos unter Android verschwunden und die Einrichtung unter iOS13 verlief ohne Probleme.

Anscheinend gibt es aber noch Probleme mit dem DNS. iOS scheint, so ist im Augenblick meine Kenntnisstand, nicht immer den lokalen DNS-Sserver im LAN zu verwenden. Erst das Anpassen des DNS-Servers für das WLAN brachte eine Langzeitstabilität.

Noch eine Anmerkung zur Verwendung einer eigenen (Windows)-CA:

  • Laufzeit des CA-Zertifikats 2 Jahre, SHA256
  • Laufzeit des Exchange-Zertifikats ein Jahr

Gruß, Stefan


AntwortZitat

Teilen: