HowTo: iOS 12 und selbstzertifiziertes Exchange-Zertifikat

Hallo allerseits,

heute widme ich mich dem Thema „iOS 12 und selbstzertifiziertes Exchange-Zertifikat„.

iOS und Exchange

Jeder, der schon mal versucht hat, einem iPhone mit iOS 12 ein Exchange-Konto hinzuzufügen, dessen Exchange-Server ein selbstzertifiziertes Zertifikat verwendet, wird schnell an den Rande der Verzweiflung kommen.

Um dem zuvor zu kommen habe ich dieses HowTo für euch! 😉

selbstzertifiziertes Zertifikat“ … was ist das?

Also gut, zuerst ein wenig Hintergrundwissen ….

… Internetserver nutzen für den sicheren Datentransfer eine Verschlüsselung; d. h. die Daten, die zwischen dem Server und dem Nutzer hin- und hergeschickt werden, werden vor dem Versand verschlüsselt und beim Empfang wieder entschlüsselt. Somit sind die Daten „unterwegs“ sicher vor irgendwelchen Abfangversuchen.
Diese Ver- und Entschlüsselung realisiert man mit sogenannten Zertifikaten … also so eine Art „Schlüssel“ mit dessen Hilfe die Daten dann korrekt ver- bzw. entschlüsselt werden können.

Diese Zertifikate bzw. deren Herausgeber müssen natürlich in irgendeiner Weise als „korrekt“, „gültig“ oder „zugelassen“ deklariert werden. Das übernehmen sogenannte Zertifizierungsstellen; das sind Firmen, die weltweit gültige Zertifikate erstellen.
Haken an der Sache: das kostet … und zwar nicht wenig. Für so ein Zertifikat sind schnell mal ein paar hundert Euro pro Jahr fällig.

Daher gehen viele Betreiber von Exchange-Servern her und erstellen ein selbstzertifiziertes Zertifikat. Das kostet nichts, denn man zertifiziert es ja selbst, hat aber den Nachteil, dass viele Stellen solch ein Zertifikat als „unsicher“ einstufen, weil es ja keine offizielle Zertifizierung hat.
So auch Apple mit seinem iOS … und das schon seit der Version 10.xx!
Die Programmierer aus Cupertino verweigern bei der Verwendung eines solchen „unsicheren“ Zertifikats einfach die Einrichtung des Kontos. 🙁

Andere Hersteller (z. B. Android) gehen da einen etwas benutzerfreundlicheren Weg. Sie geben dem Anwender die Möglichkeit selbst zu entscheiden, ob er dem Zertifikat vertraut, oder nicht. Also reicht hier ein kurzer Klick auf „Zertifikat vertrauen“ und fertig!

iOS 12 also ohne Exchange-Konto?

Nein, so schlimm isses dann doch wieder nicht.

Viele Betreiber von Exchange-Servern (gerade in kleineren Firmen) haben nicht das Budget mehrere hundert Euro pro Jahr auszugeben, um ein von Apple akzeptiertes Zertifikat zu bekommen.

iOS 12 bietet offiziell aber auch keine Möglichkeit, dem selbstzertifizierten Zertifikat zu vertrauen.

Lösung!

Auf der Suche nach einem Ausweg aus diesem Dilemma bin ich auf folgenden, wenn auch sehr merkwürdigen, Lösungsansatz gestossen:

  • Bei Neuanlage des Exchange-Kontos gibt man in allen Feldern nur einzelne Buchstaben ein; d. h. Emailadresse: a@b.de / Benutzer: a / Passwort: b
  • Einzig und allein die Serveradresse muss korrekt eingegeben werden!
  • Nach dem Klick auf „Fortfahren“ werden alle benötigten Haken gesetzt und das Konto kann gespeichert werden!
  • Anschließend kann man die vorher falsch eingegebenen Daten (Emailadresse, Benutzer, Passwort, etc.) auf die korrekten Werte abändern und … Läuft!

Klingt komisch, ist aber so … 🙂

Ich hoffe euch hilft diese kleine HowTo weiter. Für Anmerkungen, Hinweise, etc. bin ich, wie immer, sehr dankbar!

Gruß, Andreas.

47 Antworten auf „HowTo: iOS 12 und selbstzertifiziertes Exchange-Zertifikat“

  1. Einen sehr ungewöhnlichen Vorgang haben wir per Zufall entdeckt. Wenn man sich via Teamviewer auf ein IOS-Gerät schaltet und dann das Exchangekonto anlegt, überspringt man die Zertifikatsfehlermeldung. Völlig irre!

  2. Ich kannte das nur mit der Eingabe von falschen Benutzerdaten. Also ohne einzelne Buchstaben. Das funktionierte dann aber irgendwann auch nicht mehr. Deine Methode klappt auf Anhieb. Danke sehr.

  3. Super! Herzlichen Dank, funktionierte auf Anhieb.
    Nach 6 Stunden ergebnislosen Versuchen das Zertifikat irgendwie aktiviert zu bekommen, war deine Vorgehensweise die einzig funktionierende.

  4. scheint bei ios 12.2 nicht mehr zu klappen.
    konto lässt sich noch einrichten, aber dann geht nichts mehr.
    keine mails, kontakte, kalender.
    gibt’s da einen trick?

  5. Herrlich!
    Wenn man es richtig macht geht es kein Stück. Trägt man mit Absicht Schwachsinn ein, erscheint die Zertifikatsmeldung wie früher mit dem Knopf: FORTFAHREN!
    Mal sehen wie lange das noch funktioniert – irgendein Update wird die Lücke schließen und dann heißt es Zertifikat kaufen. Bis dahin tippen wir a@b.de und c und d und e…. 🙂
    Danke für den unerwarteten Lösungsweg.

  6. Nachtrag: iPhone Betriebssystem 12.3.1 getestet auf 2 Geräten.
    Selbst ein SHA-1 Zertifikat funktioniert hier noch – ich dachte das geht überhaupt nicht mehr. Überraschung: Klappt trotzdem.

  7. Danke für diese „Sicherheitslücke“. Funktioniert alles einwandfrei mit Iphone XS unter iOS 12.4. Mails werden empfangen, Zertifikat macht keinen Ärger mehr.

  8. Beim iPad 6. Gen. mit iOS V3.2 funktioniert dein „Unsinniger“ Trick auch noch.
    Suuuper vielen Dank.

    P.S. Ich kanns immer noch nicht verstehen, warum das Zertifikat bei Eingabe von „Müll“ durch „Fortfahren“ erlaubt wird, und bei Eingabe von echten Daten einfach verweigert wird.

  9. Traumhaft diese Lösung, hat auf einem Iphone mit ios 13.2.3 sofort und einwandfrei funktioniert!
    Habe mich heute einen ganzen Tag an nichtssagenden Fehlermeldungen und schrägen Lösungen bei der Migration von Exchange 2010 über 2016 auf 2019 erfreut und bin Dir Andreas echt dankbar dass ich dieses Lösung nicht über Versuch und Irrtum rausfinden musste.

    PS: Wenn der Exchange wieder verbunden ist, kann es mit der Anzeige „E-Mail laden“ schon noch 2 Minuten dauern bis Mails wieder sichtbar sind, wenn das Postfach nicht ganz klein ist.

  10. Habe 2 Tage gesucht, bis ich diesen Tip gefunden habe. Hat super funktioniert. Da kommt man wirklich nur sehr schwer drauf…. Und je besser man in IT ausgebildet ist, umso schwerer ist die Lösung zu verstehen…..

    Jedenfalls, vielen Dank

  11. Hallo Leute,
    nachdem ich nun fast einen ganzen Tag mich mit dem Thema herumgeschlagen habe, habe ich eine professionelle Lösung gefunden:

    1. Root Zertifkat als root.cer oder root.crt exportieren (certlm.msc -> Vertrauenswürdige Stammzertifizierungstellen)

    2. Im IIS auf dem Exchange Server unter der „Default Web Site“ ein neues Virtuelles Verzeichnis „Cert“ mit dem Pfad C:\inetpub\wwwroot\Cert anlegen und dort das root.cer reinlegen

    3. Auf dem iPhone im Safari die OWA URL abgewandelt wie folgt eingeben: z. B. https://owa.domain.dom/cert/root.cer

    4. Nun kommt eine Meldung dass die Website versucht ein Konfigurationsprofil zu laden -> zulassen

    5. Anschließend in den Einstellungen -> Allgemein -> Profil das Profil installieren

    6. Nun noch dem Zertifkat vollumfänglich vertrauen: Einstellungen -> Allgemein -> Info -> Zertifikatsvertrauensstellungen -> Root Zertifkat einschalten

    7. Jetzt kann das Exchange Konto ganz normal eingerichtet werden

    Achtung! Voraussetzung dass das geht, ist dass der UserPrincipalName (UPN) des Benutzers gleich lautet wie die E-Mail Adressse!!!

    Kann man beim Benutzer in der „Active Directory Benutzer und Computer“ Konsole beim UPN nicht die E-Mail Domäne auswählen, so muss diese mit der „Active Directory Domänen und Vertrauensstellungen“ Konsole registriert werden. Dazu wählt man auf dem obersten Knoten im Kontextmenü „Eigenschaften“ und kann dort die Maildomäne hinzufügen. Diese ist dann nach Neustart der „Active Directory Benutzer und Computer“ Konsole im Dropdown beim UPN sichtbar.

    1. Hallo Marc,

      vielen Dank für dein ausführliches HowTo.

      Der Knackpunkt dürfte bei vielen (auch bei mir) sein, dass die von dir erwähnte Voraussetzung nicht erfüllt ist:

      [Zitat]„ Achtung! Voraussetzung dass das geht, ist dass der UserPrincipalName (UPN) des Benutzers gleich lautet wie die E-Mail Adressse!!!“[Zitatende]

      Bei uns z. B. ist dies nicht der Fall und dann bleibt wiederum nur der „unkonventionelle“ Weg, wie im Beitrag beschrieben. 😉

  12. Herzlichen Dank – ich habe schon viele Nerven gelassen, weil unser Mailserverzertifikat partout nicht akzeptiert wurde – so funktioniert es perfekt – ich bin begeistert! 🙂

  13. Hallo,

    ich bin auch am verzweifeln.
    habe schon zig Möglichkeiten ausprobiert.
    Dann bin ich auf diesen Beitrag gestoßen und dachte das ist es.
    Leider funktioniert es immer noch nicht.
    Mache ich iwas falsch?
    Gebe Email a@b.de ein
    Benutzername: b
    Passwort: a
    Dann den Server
    Fortfahren steht bei mir nirgends kann nur auf weiter drücken dann kommt aber direkt eine Fehlermeldung
    Bitte um Hilfe.
    Danke

  14. Ich werf mich weg. Stunden in Foren gesurft und alles versucht. Jetzt hat es geklappt. Iphone 11 Pro / 13.5.1

    Alles so gemacht, zuerst wurde aber wieder abgelehnt, „account konnte nicht überprüft werden“, aber nach „sichern“, dann wieder ind Account und SSL deaktivieren, nochmal versucht und es wurden alle Haken gesetzt. Dann alle Daten richtig eingegeben uns es geht.
    Also auch von mir herzlichen Dank.

  15. Oh Mann, ich such mir die Finger wund und nach diesem Tipp läuft jetzt alles. Besten Dank.

    iPad Pro 12,9″ 3. Gen. iPad OS 13.5.1

    Was hab ich für Stunden meines Lebens verschwendet..

  16. ich glaube der Fehler mutiert, wenn ich den Beitrag von Michael I. lese,noch mal eine Frage grundsätzlich, weil es hier nicht steht, was trägt man bei Domäne ein ?, klar entweder die domäne oder a ? aber warum Probieren wenn es einer von denen die es geschaft haben schon weiß

  17. und weil es so schön ist noch eine Frage , Michael i hat geschrieben das er das SSL ausstellt, darum geht es doch eigentlich nicht sondern, das das Server eigene Zertifikat von Iphone als nicht sicher erkannt wird und man das nicht wie bei den And. Handys als akzeptier mal doch, einstellen kann. Das Problem hat doch eigentlich nix mit ssl zu tun oder ?

  18. Hat soeben mit iPhone SE (2. Generation) mit iOS 13.5.1 funktioniert, nachdem ich mich schon einige Stunden damit rum geärgert habe.

  19. Iphone mit ios 13.6. Ausgerechnet das von Cheffe, 3 Stunden per Telefon-Anweisung rumprobiert, inkl. Zertifikate auf das iphone schaufeln (was schon fummelig ist wenn er nur diese eine Mail hat). Er drehte schon völlig am Rad (ich auch). Da kommt hier dieses a@b.de und funktioniert..
    Andreas, von mir gibt es mindestens einen Nobelpreis!!
    Mal sehen ob Apple oder Microsoft das hier irgendwann mal als Lösung beschreiben 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.