Exchange Zertifikat Error 80072F0D

[MetalForLive]

Hi,

Ich wollte meinen Firmen Exchangeaccount auf mein WP 7 installieren, (WP 7.8 Costum Rom), aber er sagt mir immer "Not Updated There is a problem with the certificate for "exchange-Adresse". Contakt a support person..."

Hab mich mal ein bischen schlau gemacht und eine Anleitung gefunden um das Zertifikat zu installieren, ich habe in Start "mmc" eingegeben und dort die Zertifikate hinzugefügt dann auf Eiegene Zertifikarte und dort ist ein Zertifikat das habe ich aufs Handy geschickt aber es funktioniert immer noch nicht.
Ist das überhaupt das Exchange Zertifikat ?
Ich bin kein Admin, habe ich überhaupt die Möglichkeit an das Zertifikat zu kommen ohne zugriff auf den Server ?

Jetzt kommt der Fehler:

There is a problem with the way "Exchange-Adresse" is set up. Contact a support person...

Error-Code: 85010004

 

[Hitman-73]

Moin, hatte scheinbar das gleiche Prob wie du. Soweit ich das dann recherchiert habe, hat es etwas mit dem Namen des Zertifikates zu tun. Mit dieser Info haben wir dann ein neues Zertifikat ausgestellt, dieses per Mail aus Handy gesendet und installiert. Seit dem funktioniert es sehr gut. Leider weis ich das genaue Prob nicht mehr, nur das es etwas mit der Namensübereinstimmung zu tun hatte. MfG

 

[MetalForLive]

Wie soll das Zertifikat denn heißen ?
Ich habe es einfach als "Test.pfx" exportiert.

 

[0711]

Start "mmc" eingegeben und dort die Zertifikate hinzugefügt dann auf Eiegene Zertifikarte und dort ist ein Zertifikat das habe ich aufs Handy geschickt aber es funktioniert immer noch nicht.

Wie soll das Zertifikat denn heißen ?
Ich habe es einfach als "Test.pfx" exportiert.

völlig falsch, das *.pfx solltest du auch möglichst wieder löschen, das sollte schön sicher in der Firma bleiben weil es einen privaten schlüssel enthält dass ausserhalb deiner Firma nichts zu suchen hat.

Bezüglich deinem eigentlichen Problem, erstmal müssen bestimmte vorraussetzungen erfüllt sein, dass ausgestellte Zertifikat MUSS zum angesprochenen namen passen und der, der das Zertifikat ausgestellt hat muss eine vertrauenswürdige zertifizierungsstelle sein (oder eine zwischenzertifikatsstelle die den segen einer vertrauenswürdigen zertifizierungsstelle hat).

Ich versuch das mal anhand eines fiktiven Beispiels zu verdeutlichen, angenommen https://login.live.com (kannst du aufrufen) wäre deine Exchange ActiveSync Adresse. Wenn du nun oben in deiner Adresszeile bei einem Desktopbrowser das Zertifikat anzeigen lässt, siehst du sowas wie hier (ist jetzt vom ie, u.a. weil es dort am einfachsten ersichtlich ist:

1. Ist die Stelle die der Adresse deines Exchange ActiveSync Servers entsprechen muss, ist das schon nicht der Fall, verloren (u.a. weil eure EAS implementation falsch ist, andere Systeme lassen teils zu dies zu ignorieren, begünstigt aber MITM Attacken. Bei WP lässt sich das meines wissens nicht umgehen.)
2. Ist der direkte Aussteller des Zertifikats
3. Hier sieht man dass nicht der Aussteller des Zertifikats für das 1. bürgt, sondern der Aussteller nur eine beglaubigte Stelle der ersten ist und um dieses Zertifikat geht's.

Nun wie kommst du zu diesen Infos, probiere deinen Exchange ActiveSync Server mit nem Desktopbrowser wie folgt aufzurufen:
- https://serveradresse
- https://serveradresse/OMA
- https://serveradresse/Exchange
- https://serveradresse/Microsoft-Server-ActiveSync
- https://serveradresse/OWA
i.d.R. solltest du bei einem der Adressen eine Antwort bekommen. Alternativ, deine ADmins Fragen.

Es ist anzunehmen dass deine Admins hier eine eigene CA aufgebaut haben (auch aufgrund dessen, dass du ein persönliches Zertifikat hast), schau dann jedenfalls unter Zertifizierungspfad wie die oberste Stufe heisst, auf deinem Arbeitsrechner solltest du dieses Zertifikat über den weg der mmc unter Vertrauenswürde Herausgeber finden, dieses exportierst du und schickst es an dein Handy + installierst es. Danach evtl Handy neustarten und es sollte gehen sofern das 1. Zertfikat zu der Adresse des Servers passt.


Es gibt hier zwar noch einen Fallstrick für einen implementierungsfehler auf Seitens des Servers obwohl das Zertifikat von einer Vertrauenswürdigen Zertifizierungsstelle ist aber das aufzuzeigen ist etwas komplizierter, kurz, der Server muss bei Zertifikaten die von einer Zwischenzertifizierungsstelle kommen wie in obigen Beispiel, das Serverzertifikat und das Zwischenzertifizierungszertifikat (oben "Verisign Class 3....") ausliefern, macht er das nicht wird das Serverzertifikat auch nie angenommen. Das ist auch ein Punkt der nur Serverseitig behoben werden kann.

 

[MetalForLive]

Ach herje, wieso macht MS das so kompliziert ?
Beim iPhone brauch man den ganzen mist nicht.
Naja ich werde es weiter testen wenn ich wieder im Büro bin.

 

[0711]

um mitm Attacken zu verhindern, MS sagt auch wie man n eas Server einrichten soll und wenn mans nicht so macht, muss man halt basteln.

 

[bLu3to0th]

So schwer ist das eigentlich nicht.. musste für unseren exchange auch das root-cert runterladen und installieren.. wenn man weiß wie bzw woher man das kriegt, dann ist das überhaupt kein Ding.

Hier ne Anleitung