» Home » Mobile Clients » EAS mit Zertifikate » EASCert Basics

ActiveSync mit Zertifikaten  -Grundlagen

Die meisten Firmen betreiben PDAs mit ActiveSync über eine Anbindung per http/https und einer Anmeldung mit Benutzernamen und Kennwort. Wird in dieser Konstellation nicht mindestens SSL genutzt, dann gehen Benutzername und Kennwort ungeschützt über die Leitung. Aber selbst beim Einsatz einer SSL-Verbindung werden die Anmeldedaten auf dem PDA reversibel gespeichert. Schließlich muss die ActiveSync Software auf dem PDA die Anmeldedaten ja an den Server übermitteln. Mit Windows Mobile 5 MSFP und höher und Exchange 2003 SP2 und höher ist es nun neben der Funktion Always Up-to-date auch möglich, Zertifikate für die Anmeldung zu nutzen. So muss auf dem PDA kein Benutzername oder Kennwort mehr hinterlegt werden und die Sicherheit ist verbessert.

Überlegungen

Allerdings muss der Administrator nun dafür sorgen, dass das Zertifikat auf den Client gelangt und dass auch alle Clients eine zertifikatbasierte Anmeldung unterstützen. Selbst OEM-Geräte wie das Nokia E60 mit Mail for Exchange können dies noch nicht, so dass eigentlich alle Endgeräte OHNE Windows Mobile 5 MSPF erst einmal ausscheiden. Aber Sie könne ja alternativ zwei Zugänge veröffentlichen. Zugang 1 per Zertifikat für Windows Mobile und kompatible Geräte und den anderen Zugang für alternative Geräte, die noch keine Client Zertifikat unterstützen. Für den Einsatz einer zertifikatbasierten Anmeldung sprechen zwei Dinge:

• Höhere Sicherheit
  Ein Benutzername und Kennwort kann weiter gegeben werden. Ein auf dem PDA einmal abgelegtes Zertifikat kann (offizielle) nicht mehr von dort extrahiert werden, d.h. ist an das Gerät und seinen Besitzer mit der PIN gebunden
• Kennwortrichtlinien
  Immer mehr Firmen zwingen den Benutzer dazu, sein Kennwort regelmäßig zu ändern. Er muss natürlich dann daran denken, dass er auch das Kennwort auf dem PDA wieder ändert. Im Extremfall schaltet der Benutzer nach Ändern des Kennworts im AD den PDA mehrfach aus und an, weil er das Problem lösen will und bewirkt letztlich eine Sperrung des Kontos aufgrund zu vieler Fehlversuche.

Sie sehen also, dass ActiveSync mit Zertifikaten gar nicht nur eine nette Funktion für hochsichere Umgebungen sein muss, sondern in Verbindung mit einem etwas länger laufenden Benutzerzertifikat sogar eine Allgemeinfunktion werden kann.

Ehe Sie nun aber übermütig werden: Nicht jeder Zugang zu Exchange funktioniert auch mit Zertifikate. RPC/HTTP (also Outlook Anywhere) funktioniert z.B. nicht mit Client Zertifikaten.

Voraussetzungen

Die Microsoft Dokumentation beschreibt folgende Voraussetzungen:

• Betriebssystem
  Exchange 2003: Windows 2000SP4 oder Windows 2003SP1
  Exchange 2007: jede unterstützte Version
  Speziell alte Server unter Exchange 2003 mussten früher erst einmal aktualisiert werden. Heute sollte das kein Problem mehr darstellen
• Active Directory
  Damit die Kerberos Delegation funktioniert, muss das Active Directory im Windows 2003 Native Mode laufen, d.h. es darf keine Windows 2000 DCs mehr geben.
• Exchange Version
  Exchange 2003 SP2 oder Exchange 2007/2010 (jede Version)
  Wer Exchange 2003 einsetzt, muss mindestens Servicepack 2 einsetzen.
• Endgeräte
  Windows Mobile 5 MSFP2 und höher
  Heute sollten alle noch genutzten Mobiltelefone wohl mit Windows Mobile ausgestattet sein. Früher war es schon eine Problemstellung, ob es noch ein Update der Firmware für MSFP2 gegeben hat.
• Interne Windows CA
  Zwingend für die Nutzung von Clientzertifikaten ist eine interne Windows Zertifizierungsstelle, damit die Active Directory Anwender intern ein Clientzertifikat anfordern können. Ich kenne keinen Weg, andere Zertifikate einzusetzen, das ActiveSync selbst das Zertifikat anfordert, Vielleicht ist es zukünftig einmal möglich auch andere Zertifikate einzusetzen, solange der UPN dem Feld Subject Name" übereinstimmt.
• Active Directory mit Exchange zur Veröffentlichung der XML-Datei
  Sie benötigen zwingend ein Active Directory mit Schemaerweiterung. Mittlerweile können ja auch Notes und andere Server als ActiveSync Server agieren. Inwieweit hier mit Zertifikaten gearbeitet werden kann und wie der PDA entsprechend konfiguriert wird, entzieht sich meiner Kenntnis
• Veröffentlichung per ReverseNAT oder ISA Server Publishing
  IIS muss SSL nutzen und Client Zertifikate erfordern.
• Veröffentlichung über ISA 2006 Web Listener
  Wer den ActiveSync Zugang über einen ISA2006 Weblistener veröffentlicht, muss nach meinem aktuellen Kenntnisstand den ISA in die Domäne aufnehmen, das Zertifikat auf dem Listener annehmen und über Constaint Delegation dann auf den Exchange Frontend zugreifen. Dazu muss der ISA2006-Server Mitglied der Domain sein Die von mir getesteten mobile Geräte hatten Probleme, wenn die 403.7-Fehlermeldung vom ISA-Server generiert wurde. Daher muss der Tunnelmode genutzt werden oder die Zertifikatanmeldung am ISA erfolgen.

Einschränkungen

Wo Licht ist, ist auch Schatten. So gibt es die ein oder andere Einschränkung, wenn Sie ActiveSync nur für Client mit Zertifikaten veröffentlichen.

• Endgeräteauswahl
  Aktuell konnte ich nur Windows Mobile 5.0 MFP2, 6.0, 6,1, 6.5 und vermutlich auch neuere Geräte als "tauglich" überprüfen. Nicht jedes System, welches ActiveSync unterstützt (z.B. iPhone, Nokia Mail for Exchange, Google, etc) können sich per Zertifikat anmelden.
• Initiale Synchronisation muss per ActiveSync Desktop-Verbindung erfolgen
  Das Mobilgerät muss "wissen", wie es die Zertifikate erhalten kann. Da Sie ihre CA sicher nicht aus dem Internet erreichbar machen wollen kann diese einmalige Verbindung nur über eine ActiveSync-Partnerschaft mit einem Desktop erfolgen, auf dem der Anwender auch als Domainbenutzer angemeldet und mit dem Active Directory verbunden ist (ein VPN ist auch ausreichend).
• "nur ActiveSync", nicht RPC/HTTP
  Die Kennwortproblematik würde es prinzipiell auch für
• Zwei Zugänge für Zertifikat UND Username/Kennwort
  Weder ein IIS noch ein ISA-Listener können die normale "Username/Kennwort"-Anmeldung und "Zertifkatanmeldung" zur gleichen Zeit unterstützen. Wenn sie beide Optionen anbieten wollen, müssen Sie zwei Zugänge mit jeweils eigenem DNS-Namen und Zertifikat veröffentlichen.
• Exchange 2007 Dateifreigaben
  Windows Mobile können mit zertifikatbasierter Anmeldung per OWA nicht auf Dateifreigaben von Exchange 2007 zugreifen. Dies funktioniert aber auch nicht in Verbindung mit einem CAS-Proxy oder einen ISA mit NTLM-Authentifizierung.

Wenn Sie nu überzeugt sind, dass die Anmeldung von ActiveSync-Clients per Zertifikat der richtige Weg ist, dann sind die folgenden Seiten für sie interessant:

• EASCert Provisioning
• EASCert 2003
• EASCert2007/2010
• EASCert mit ISA2006
• EASCert Debugging
• Using TMG and UAG to Securely Publish Outlook Web App and Exchange Activesync with Certificate Based Authentication
  http://go.microsoft.com/fwlink/?LinkId=207228
  http://www.microsoft.com/downloads/en/details.aspx?FamilyID=04eea304-999b-41c4-a7b3-02c99681ae74&displaylang=en

Keywords:

EAS ActiveSync Zertifikate

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
  • Mobile Clients
  • Mobile Server
  • Pushdienste
  • Mobile Device Management
  • ActiveSync
  • EAS mit Zertifikate
    • EASCert Basics
    • EASCert Provisioning
    • WM61 Zertifikat installieren (Vista)
    • WM61 Zertifikat installieren (XP)
    • EASCert 2003
    • EASCert 2007/2010
    • EASCert mit ISA2006
    • EASCert Debugging
  • PocketPC
  • Mobile 6
  • Windows Mobile 6.5
  • MSFP
  • Always Up-to-date
  • RemoteWipe
  • GPRS-Kosten
  • UMTS
  • MobileAdmin
  • WM5 Provisioning
  • Mobile GAL
  • Office Mobile 2010
  • OMA
  • WAP
  • MIS
  • RoadSync
  • Blackberry
  • Android
  • IMAP4Push
  • Visto
  • GoodLink
  • SyncML
  • Nokia ActiveSync
  • Gerätetest
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages