Ab der iOS-Version 10.3.3 hat Apple neue Sicherheitsmaßnahmen in das Betriebssystem integriert, um Phishing-Versuche zu erschweren. Seitdem ist es nicht mehr ohne weiteres möglich, selbstsignierte Zertifikate des Exchange Servers zu verwenden. Dazu muss man nun zuerst den ausstellenden Server als vertrauenswürdige Stammzertifizierungsstelle definieren. Das ist zwar machbar, aber mit etwas Aufwand verbunden. Alles was wir brauchen ist ein Rechner mit Windows und das betroffene iPhone oder iPad.
Damit wir überhaupt was machen können, brauchen wir zuerst das Zertifikat des Microsoft Exchange Servers. Am einfachsten bekommen wir dieses vom einen Rechner mit Windows, der mit dem Exchange-Server verbunden ist. An diesem müssen wir wie folgt vorgehen.
- Win+R-Tasten gemeinsam drücken und certmgr.msc eingeben, anschließend OK drücken
- Im erscheinenden Fenster zu Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate wechseln
- Dort nach dem Namen eures Exchange-Servers suchen
- Auf dessen Eintrag dann einen Rechtsklick setzen und im sich öffnenden Kontextmenü den Punkt Alle Aufgaben -> Exportieren ansteuern
- Beim Export das Format Base-64-codiert X.509 auswählen und daraufhin die Zertifikats-Datei an einem beliebigen Ort abspeichern
Nun muss das selbstsignierte Zertifikat zum iPhone oder iPad. Am einfachsten geht das meistens per E-Mail. Ist die Zertifikats-Datei am Mobilgerät angekommen, müssen folgende Schritt durchgegangen werden:
- Das Zertifikat über den Safari-Browser öffnen und installieren
- falls die Dateiendung geblockt wird, die FileBrowser-App benutzen
- Daraufhin in die Einstellungen wechseln
- Dort angelangt Allgemein -> Info -> Zertifikatsvertrauenseinstellungen aufrufen
- Nun für das selbstsignierte Exchange-Zertifikat die Option Volles Vertrauen für Root-Zertifikate aktivieren
Damit ist die Integration des Zertifikats abgeschlossen. Nun kann man über gewohntem Wege mit der Anbindung des eigentlichen Exchange-Postfachs (hoffentlich erfolgreich) fortfahren.
Hallo Lisa,
wie kann man die alten Einträge löschen?
Hast du da ein Tip?
MfG Dima
Hallo Dima,
da muss ich leider passen. Vielleicht hilft dir dieser Beitrag weiter: http://www.handy-faq.de/forum/zertifikate-loeschen-t116788/
Ist leider schon etwas älter.
LG,
Lisa
Achtung! Voraussetzung dass das geht, ist dass der UserPrincipalName (UPN) des Benutzers gleich lautet wie die E-Mail Adressse!!!
Kann man beim Benutzer in der „Active Directory Benutzer und Computer“ Konsole beim UPN nicht die E-Mail Domäne auswählen, so muss diese mit der „Active Directory Domänen und Vertrauensstellungen“ Konsole registriert werden. Dazu wählt man auf dem obersten Knoten im Kontextmenü „Eigenschaften“ und kann dort die Maildomäne hinzufügen. Diese ist dann nach Neustart der „Active Directory Benutzer und Computer“ Konsole im Dropdown beim UPN sichtbar.
Hallo Marc,
lieben Dank für den Tipp. 🙂
Grüße,
Lisa