Zertifikat auf dem Windows Mobile 61. installieren (ActiveSync 4.5 mit Windows XP

Mit ActiveSync 4.5 (Windows XP) und dem Windows Mobile Gerätecenter 6.1 (Vista) gibt es die entsprechenden Menüs, um vom Arbeitsplatz aus ein Zertifikat für den Client anzufordern, wenn eine aktive ActiveSync Verbindung zwischen dem Desktop und dem PDA existiert.

Windows Mobile 6.0 / 6.1 erforderlich
Die folgenden Schritte funktionieren erst ab Windows Mobile 6.0. ältere Systeme können ihr Zertifikat nicht über diesen Weg erhalten und müssen den "alten" Weg (siehe Exchange ActiveSync mit Zertifikaten) nutzen.

Wichtig ist hier, dass der Anwender selbst an der Arbeitsstation angemeldet ist, denn diese Anmeldedaten werden für die Anforderung verwendet. Zudem muss der Benutzer natürlich das Recht haben, ein "Benutzerzertifikat" zu erhalten

Stammzertifikat
Wenn Sie eine eigene CA verwenden, dann müssen Sie das Stammzertifikat vorher auf dem PDA installieren, da sonst die Anforderung nicht erfolgreich ist.

Die Anforderung gelingt nur, wenn der PDA per ActiveSync mit dem Desktop verbunden ist. Hier die erforderlichen Schritte

  • Start der Anforderung
    Im "Extras - Erweiterte Extras"-Menü von ActiveSync finden Sie dein Eintrag "Sicherheitszertifikat für das Gerät anfordern".
  • Auswahl des Templates
    Der Assistent bittet Sie nun eine passende Vorlage für das Zertifikat auszuwählen. "Normalerweise" sollte ein Anwender auch nur die Vorlage "User" sehen, wenn er im Active Directory diese sucht.
  • Bestätigung der Anforderung
    Vor der Anforderung müssen Sie das ausgewählte Zertifikat und die Zertifizierungsstelle bestätiten
  • Meldung über Geräteaktivität
    Der Assistent weist Sie nun darauf hin, dass Sie auf ihren PDA nun innerhalb von ca. 10 Sekunden die Anforderung bestätigt werden muss. Ansonsten bricht der Vorgang einfach ab.
  • Statusmeldung auf dem Desktop
    Erst nach der Bestätigung erscheint dann wieder auf dem Desktop die Information über die Verarbeitung und hoffentlich auch der erfolgreiche Abschluss:
    Bestätigung
  • Anzeige des Zertifikats
    Den Erfolg können Sie auf dem PDA über "Einstellungen - System - Zertifikate" sehen. Leider zeigt Windows Mobile den Aussteller und nicht den Inhaber in der Liste an. Daher ist ein Blick auf die Details erforderlich.

Wer mag, kann nun erneut mit dem Pocket Internet Explorer auf die URL "servername/microsoft-server-activesync " zugreifen. Diesmal muss der Pocket Internet Explorer in einem Dialogfeld das installierte Zertifikat anzeigen. Der Browser fragt das Zertifikat ab und wenn Sie abbrechen, erhalten Sie die IIS-Fehlermeldung. Wenn Sie "OK" mit dem richtigen Zertifikat drücken, dann erhalten Sie eine 500er Fehlermeldung, da der Pocket Internet Explorer natürlich kein ActiveSync spricht.

Die folgende beiden Fenster zeigen häufige Fehler. Wenn Sie kein Zertifikat in der Liste sehen, dann ist es nicht korrekt installiert oder nicht für die Authentifizierung zugelassen und die entsprechende Fehlerseite kommt auf dem Fuß.

Wenn nach der Wahl des Zertifikats noch eine Abfrage nach Benutzername und Kennwort kommt, dann haben Sie im IIS noch eine weiteres Anmeldeverfahren aktiviert. Die müssen alle deaktiviert werden. Wenn sie einen Fehler produziert haben, musste ich meist den PocketPC virtuell aus und einschalten, damit der Browser wieder frisch die Anmeldung durchführt.

Weitere Links