[EXCHANGE\WM6] active-sync - Serversoftware en clouddiensten

dinsdag 13 november 2007 11:26

Acties:

Topicstarter

Hoi ik probeer Windows Mobile Devices via Active Sync te laten verbinden met een Exchange 2003 server.

Deze verbinding is beveiligt met SSL(IIS) en een certificaat van Cacert.org.

Wanneer ik verbinding probeer te synchroniseren krijg ik deze melding:
"The security certificate on the server is not valid. Contact your Exchange Server administrator or ISP to install a valid certifcate on the server."
Support code: 0x80072F0D

Natuurlijk heb ik dit al gegoogled, en daar kom ik een boel mensen met hetzelfde probleem tegen. Echter de oplossing is nergens te vinden.

Ik heb het cerificaat al op het WM6 device geïnstalleerd, zowel als Root certificaat als Personal Certificaat.

Zowel via GPRS als via USB en active sync 4.5 krijg ik dezelfde melding.

Iemand enig idee hoe ik dat kan aanpakken?

[ Voor 5% gewijzigd door borgdaville op 13-11-2007 11:28 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

dinsdag 13 november 2007 12:30

Acties:

sanfranjake

Computers can do that?

Is het certifgicaat dan wel geldig? Niet verlopen? Want dat is toch echt wat die melding vertelt. Misschien een ISA server ertussen waarop het cert niet is vervangen?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 13 november 2007 13:04

Acties:

WaSteiL

Tijd in orde op je PDA?
En niet te vergeten de datum natuurlijk.

[ Voor 47% gewijzigd door WaSteiL op 13-11-2007 13:05 ]

dinsdag 13 november 2007 13:50

Acties:

borgdaville

Topicstarter

sanfranjake schreef op dinsdag 13 november 2007 @ 12:30:
Is het certifgicaat dan wel geldig? Niet verlopen? Want dat is toch echt wat die melding vertelt. Misschien een ISA server ertussen waarop het cert niet is vervangen?

Jep, certificaat is prima in orde, voor Imap en OWA werkt het wel gewoon.

Tijd in orde op je PDA?
En niet te vergeten de datum natuurlijk.

Ook dit is in orde.

Ik heb met meerdere WM6 aparaten geprobeerd en ze krijgen allemaal dezelfde melding. ER is dus iets fout op de server.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

dinsdag 13 november 2007 13:59

Acties:

wens

Is het certificaat geschikt voor mobile devices?
Niet elk werkend en geldig certificaat schijnt daar vanzelf geschikt voor te zijn.

dinsdag 13 november 2007 14:02

Acties:

borgdaville

Topicstarter

wens schreef op dinsdag 13 november 2007 @ 13:59:
Is het certificaat geschikt voor mobile devices?
Niet elk werkend en geldig certificaat schijnt daar vanzelf geschikt voor te zijn.

Dat heb ik me al eerder afgevraagd, maar hoe kan ik dat checken. Aan het certificaat is weinig te zien.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

dinsdag 13 november 2007 14:39

Acties:

wens

borgdaville schreef op dinsdag 13 november 2007 @ 13:50:
[...]
certificaat is prima in orde, voor Imap en OWA werkt het wel gewoon.
[...]

De info op de cacert.org site heeft het over email-certificaten en server-certificaten.
Welke type heb je?

dinsdag 13 november 2007 15:38

Acties:

borgdaville

Topicstarter

wens schreef op dinsdag 13 november 2007 @ 14:39:
[...]

De info op de cacert.org site heeft het over email-certificaten en server-certificaten.
Welke type heb je?

Server certificaat

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

dinsdag 13 november 2007 15:43

Acties:

Glashelder

Anti Android

Ik heb dit ook al eens geprobeerd en helaas gefaalt. Wat ik ervan begrepen heb is dat het niet mogelijk is om dit aan de praat te krijgen als je Form Basic Authentication gebruikt.

Als je dat uitzet dan werkt het prima.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 13 november 2007 15:47

Acties:

borgdaville

Topicstarter

Glashelder schreef op dinsdag 13 november 2007 @ 15:43:
Ik heb dit ook al eens geprobeerd en helaas gefaalt. Wat ik ervan begrepen heb is dat het niet mogelijk is om dit aan de praat te krijgen als je Form Basic Authentication gebruikt.

Als je dat uitzet dan werkt het prima.

Windows Mobile, Windows 2003, Outlook, Exhange 2003

Een hele berg Microsoft software en het zou allemaal niet met elkaar overweg kunnen, dat lijkt me toch sterk. Plus er zijn mensen die het wel aan de praat krijgen.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

woensdag 14 november 2007 08:53

Acties:

borgdaville

Topicstarter

Hier wordt het probleem beschreven.

Het kan een lock zijn de fabrikant van de PDA's, weet iemand hier meer van? Ik heb een HTC p3300

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

woensdag 14 november 2007 09:43

Acties:

mindcre8r

Tradepedia

Waar heb je je SSL cert vandaan?

mijn mening is dat zelf gemaakte certs crap zijn, en vaak niet werken met active sync omdat dan of de juiste url er niet instaat, maar vooral omdat gebruikers dan in IE7 moetenklikkenop website vertrouwen en doorgaan.. das irri.

check even of je je OMA website kan bekijken over SSL.

Als ik een klant moet bedienen met een SSL cert waarbij ook gebruik gemaakt gaat worden van Exchange-ActiveSync dan koop ik altijd een officieel certificaat.. een snelle en goedkope is www.ssl.nu

[ Voor 15% gewijzigd door mindcre8r op 14-11-2007 09:45 ]

Bears and Bulls

woensdag 14 november 2007 10:20

Acties:

AP3X

Wij hebben op dit moment een vergelijkend issue.
Echter, we ondervinden het probleem bij 1 enkel device.
Zodra de foutmelding ontstaat op dit device werken de andere devices nog zonder problemen.
Ook lost het probleem zich na enkele uren vanzelf op door het device te restarten.

Het certificaat op dit device is gelijk aan het certificaat op de andere devices en ze connecten allemaal naar de zelfde server.

woensdag 14 november 2007 11:51

Acties:

borgdaville

Topicstarter

mindcre8r schreef op woensdag 14 november 2007 @ 09:43:
Waar heb je je SSL cert vandaan?

www.cacert.org

mijn mening is dat zelf gemaakte certs crap zijn, en vaak niet werken met active sync omdat dan of de juiste url er niet instaat, maar vooral omdat gebruikers dan in IE7 moetenklikkenop website vertrouwen en doorgaan.. das irri.

is niet zelfgemaakt dus

check even of je je OMA website kan bekijken over SSL.

Had ik al gedaan, dat werkt gewoon

Als ik een klant moet bedienen met een SSL cert waarbij ook gebruik gemaakt gaat worden van Exchange-ActiveSync dan koop ik altijd een officieel certificaat.. een snelle en goedkope is www.ssl.nu

Certificaat is gekocht

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

woensdag 14 november 2007 13:14

Acties:

mindcre8r

Tradepedia

hmmmzz als oma ook gewoon werkt..

maar toch:

If you see an error INTERNET_45 which means that the "security certificate on the server is invalid" it may be because you are using a self generated certificate instead of one that is issued by a trusted authority like Verisign. (The Pocket PC was checking to make sure that the certificate was official). To sync with the self generated certificate, Run CERTCHK.EXE off or install the AS_Cert_Off.cab on the Pocket PC, and then you should connect fine. For users of Exchange 2003, you need to download DisableCertChk.exe to test without a digital certificate.

zie je wat in de eventvwr op je Server?

Bears and Bulls

woensdag 14 november 2007 15:23

Acties:

alt-92

ye olde farte

Glashelder schreef op dinsdag 13 november 2007 @ 15:43:
Ik heb dit ook al eens geprobeerd en helaas gefaalt. Wat ik ervan begrepen heb is dat het niet mogelijk is om dit aan de praat te krijgen als je Form Basic Authentication gebruikt.

Als je dat uitzet dan werkt het prima.

Daar is ook een andere (en veel betere) aanpak voor mogelijk, namelijk dat je de ServerActivesync Virtual Directory kopieert en er apart naast zet.
Hoe je dat kan doen staat onder andere hier uitgelegd:
http://www.petri.co.il/pr...and_ssl_in_activesync.htm

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 15 november 2007 12:01

Acties:

borgdaville

Topicstarter

mindcre8r schreef op woensdag 14 november 2007 @ 13:14:
hmmmzz als oma ook gewoon werkt..

maar toch:

If you see an error INTERNET_45 which means that the "security certificate on the server is invalid" it may be because you are using a self generated certificate instead of one that is issued by a trusted authority like Verisign. (The Pocket PC was checking to make sure that the certificate was official). To sync with the self generated certificate, Run CERTCHK.EXE off or install the AS_Cert_Off.cab on the Pocket PC, and then you should connect fine. For users of Exchange 2003, you need to download DisableCertChk.exe to test without a digital certificate.

zie je wat in de eventvwr op je Server?

Die AS_Cert_off.cab heb ik geïnstalleerd, toen heb ik precies 1x kunnen sync(alhoewel dat gaf ie aan) maar volgens mij heeft hij niets gesynced. En nu krijg ik weer dezelfde foutmelding.

Volgens mij is die AS_Cert_off.cab voor een oudere versie van WM

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

donderdag 15 november 2007 12:11

Acties:

borgdaville

Topicstarter

alt-92 schreef op woensdag 14 november 2007 @ 15:23:
[...]

Daar is ook een andere (en veel betere) aanpak voor mogelijk, namelijk dat je de ServerActivesync Virtual Directory kopieert en er apart naast zet.
Hoe je dat kan doen staat onder andere hier uitgelegd:
http://www.petri.co.il/pr...and_ssl_in_activesync.htm

ik neem aan dat je Method 3 in dat document bedoeld, wat ik niet snap is wat is verschil met dat en Method 1(die insecure is, volgens het artikel). Want in Method 3 wordt SSL toch ook uitgeschakeld.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

donderdag 15 november 2007 13:17

Acties:

alt-92

ye olde farte

Die kan je na het testen en installeren van je Cert op je device ook weer inschakelen, zonder dat FBA vervolgens in de weg zit.
Daar struikelt ActiveSync namelijk over.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 15 november 2007 14:36

Acties:

Verwijderd

Simpele test om te kijken of je certificaat goed is.

Exporteer je certificaat vanuit Internet Explorer op je pc naar een p7b file.

Import deze naar de pda, installeer hem op de pda.

Als je nu naar https://server/exchange gaat moet ie zonder foutmeldingen over het certificaat door gaan naar de page. En je moet een groen slotje zien.

Zoja dan is je certificaat goed, zo niet, dan kan je active sync ook wel vergeten.

donderdag 15 november 2007 15:23

Acties:

borgdaville

Topicstarter

Verwijderd schreef op donderdag 15 november 2007 @ 14:36:
Simpele test om te kijken of je certificaat goed is.

Exporteer je certificaat vanuit Internet Explorer op je pc naar een p7b file.

Import deze naar de pda, installeer hem op de pda.

Als je nu naar https://server/exchange gaat moet ie zonder foutmeldingen over het certificaat door gaan naar de page. En je moet een groen slotje zien.

Zoja dan is je certificaat goed, zo niet, dan kan je active sync ook wel vergeten.

Als ik op de PDA naar https://server/exchange ga dan krijg ik dit:
"The certificate was issued by an company you have not chosen to trust."
"The certificate date is valid."
"The certificate has a valid name matching the....."
"Do you want to proceed?"

En dan kan ik op "Yes" klikken om door tegaan, en dan werkt het.

Mer indd, die 1e veroorzaakt waarschijnlijk het probleem.

[ Voor 3% gewijzigd door borgdaville op 15-11-2007 15:37 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

vrijdag 16 november 2007 09:10

Acties:

Sundead

Wat allicht nog een mogelijkheid is:

- Eerst controleren of de uitgeversinstantie inderdaad in de lijst van vertrouwde certificeringsinstanties voorkomt op het windows mobile 6 apparaat

- Controleren of het certificaat uitgegeven is door een intermediate CA van de vertrouwde certificeringsinstantie (cacert.org)

- Indien ja, het certificaat van de intermediate CA op de Exchange 2003 machine nog installeren in de lijst van vertrouwde tussenliggende certificeringsinstanties

Hiermee maak je de serverside certificate chain compleet.
De server kan op dat moment de gehele certificate chain doorgeven aan het mobile apparaat, en i.t.t. PPC2003 kunnen windows mobile 5 en 6 dit begrijpen waardoor de mobiele apparaten ook het uitgegeven certificaat kunnen herleiden aan de uiteindelijke root authority.

Wij liepen hier tegen aan met een certificaat van Globalsign, welke dus uitgegeven was door een intermediate CA van Globalsign, en zonder het toevoegen van het intermediate certificaat in de lijst van vertrouwde intermediate CA's kon het niet herleid worden aan de root CA van Globalsign, waardoor de PDA's een certificate error genereerden.

Hoop dat het nog wat toevoegt

maandag 26 november 2007 16:53

Acties:

borgdaville

Topicstarter

Back to my problem:

Wie heeft ervaring met CaCert? Ik zie net dat ze 2 soorten certificaten hebben(http://www.cacert.org/index.php?id=19): gewaarmerkte server certificaten en ongewaarmerkte server certificaten. Zou ik met een gewaarmerkt certificaat meer kans maken om dit aan de praat te krijgen?

En ik heb zitten zoeken naar een lijst met certificaat uitgevers die "trusted" zijn bij Microsoft of voor Windows Mobile (6), iemand enig idee waar ik dat kan vinden?

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

maandag 26 november 2007 17:01

Acties:

Krypt

Gewaarmerk? Komt volgens mij overeen met "Trusted/Signed", als je certificaten niet gesigned zijn heb je er niets aan, tenzij je de unsigned root server certificate importeerd op je devices. (denk ik)

Certificaten zie je op je device (Settings-System-Certificates)

Chaser2600 schreef op woensdag 14 november 2007 @ 10:20:
Wij hebben op dit moment een vergelijkend issue.
Echter, we ondervinden het probleem bij 1 enkel device.
Zodra de foutmelding ontstaat op dit device werken de andere devices nog zonder problemen.
Ook lost het probleem zich na enkele uren vanzelf op door het device te restarten.

Het certificaat op dit device is gelijk aan het certificaat op de andere devices en ze connecten allemaal naar de zelfde server.

En dat ligt waarschijnlijk aan connectie problemen. Zoek maar eens in de eventlog van je Frontend Exchange server naar HartBeat warnings en dan filteren op de username die geinsteld staat op die device waar het mis gaat. Als je daar veel hartbeat warnings ziet (meer dan gemiddeld bij andere personen), dan heeft ie een crappy verbinding. Het blijven dan teveel connecties open staan voor die gebruiker.

Ik sync via Orange World (http Proxy) met mijn exchange, en als ik pushmail gebruik wilt ie er ook wel eens uit klappen en niet werken en rare errors geven. Na een uur is het weer goed, want de openstaande verbindingen zijn gekilled. Met T-Mobile PIT had ik nergens problemen mee.

[ Voor 9% gewijzigd door Krypt op 26-11-2007 17:03 ]

Pvouput live

Pagina: 1

Reageer