Woher das SSL Zertifikat eines DataSynchronizer Servers bekommen für ein Windows Phon

[r3m4]

Hallo zusammen,

das schwierigste war jetzt wohl eine Kategorie für diesen Fred zu suchen ;-)

Problemstellung ist folgende:

GroupWise Server soll über einen Datasynchronizer Server mit einem Windows Phone 7 synchronisiert werden.

Alles gar kein Problem, müsste man nicht das Sicherheitszertifikat selbst am Phone importieren. Da ich leider keinerlei Ahnung habe, welche Zertifikate ich alle benötige um erfolgreich damit zu verbinden, wollte ich hier mal kurz Nachfragen, wie ich die Zertifikate am besten herunterlade.

Sprich, welches Format, welche Adressen? Habe Zugriff auf den Server und könnte die Dateien auch direkt vom Server holen, wenn mir jemand sagen kann wo sie denn dort liegen

Falls es euch weiterhilft würde ich auch die Adresse herausgeben vom Server.

Vielen Dank für eure Hilfe im Voraus, ich bekomm es einfach nicht gebacken :cool:

Schönes Wochenende!

Jochen

[lupo49]

Wenn du die Adresse und den Port kennst, kannst du mittels "openssl" die Zertifikatsinformationen ausgeben lassen.

openssl s_client -connect google.com:443

Dann nimmt man den Absatz von BEGIN CERTIFICATE und END CERTIFICATE und packt es unter Windows in eine *.crt-Datei. Die kann dann in den Zertifikatsspeicher importiert werden.

[r3m4]

Vielen Dank für die schnelle Antwort,

hat super geklappt, jedoch nimmt er das Zertifikat immer noch nicht wirklich an sondern bemängelt es immer noch.

Dumm gefragt, brauche ich nur das Zertifikat, welches ich auf diese weise bekomme oder muss ich noch ein spezielles vom Server holen um alles abzudecken?

[lupo49]

Was bemängelt er denn?

[r3m4]

Die Meldung lautet:

Fehler

Nicht aktualisiert

Es gibt ein Problem mit dem Zertifikat für

....... Wenden Sie sich an den Support oder Ihren Dienstanbieter.

Letzter Versuch: vor 2 Sekunden

Fehlercode: 80072F06

Habe auch bei Novell Dokumentationen gesucht, jedoch wird dort Windows Phone 7 noch nicht wirklich behandelt. Etliche Seiten im Netz berichten auch davon, dass man nur das Zertifikat importieren muss, neustarten und fertig

Danke für die Hilfe!

[lupo49]

Das ist eine Meldung auf dem Windows-Phone?

Wie sieht das Zertifikat denn im Windows-Dialog aus?

Liegt das eventuell an einem fehlenden als gültig eingestuften Stammzertifikat?

[r3m4]

Genau, die Meldung kommt auf dem Windows Phone.

Du hast recht, dass das Stammzertifikat auch nicht als vertrauenswürdig eingestuft wird, muss aber leider eingestehen, dass ich da keine Ahnung davon habe.

Ich habe mal einen Screenshot angehängt, vom Windows Dialog. In diesem habe ich auch über den Button "In Datei kopieren" die Zertifikate für das Handy exportiert.

Wo bekomme ich das Stammzertifikat und verknüpft er das überhaupt damit, dass er das andere dann auch akzeptiert?

Grüße und einen schönen Sonntag

[lupo49]

In dem Fenster "Zertifizierungspfad" kannst du sehen, dass dein Zertifikat von keinem "höheren" signiert wurde und so kein Stammzertifikat existiert. Es solte reichen, wenn du das jetzige Zertifikat nimmst und in Gruppe der gültigen Stammzertifizierungsstellen importierst. (Wenn sich das Windows Phone genau so verhält wie ein Windows-Desktop-OS.)

[r3m4]

Ich kann am Telefon selbst leider lediglich durch einen Klick auf das Zertifikat den Import einleiten. Möglichkeiten zur Einstellung gibt es hierbei keine.

Habe jetzt noch ein wenig gelesen und es wurde auch genannt, dass es ein Problem sein kann wenn der Punkt beim Export:

"Exportschlüssel" und "Alle Zertifikate im Zertifizierungspfad einbeziehen" auf NEIN stehen.

Beides ist bei mir der Fall. Liegt das am .cer File? Über PK7B kann ich die beiden Optionen miteinbeziehen, jedoch importiert diese Datei das Phone nicht.

Im Anhang wieder ein Shot, welcher zeigt was ich meine

[r3m4]

Sorry kann nicht mehr editieren:

Wieso wird mir denn das Zertifikat nicht in der Liste des Stammzertifikate angezeigt wenn ich in die MMC schaue? Ist das so korrekt oder ein weiterer Hilfshinweis?

[lupo49]

Habe jetzt noch ein wenig gelesen und es wurde auch genannt, dass es ein Problem sein kann wenn der Punkt beim Export:

"Exportschlüssel" und "Alle Zertifikate im Zertifizierungspfad einbeziehen" auf NEIN stehen.

Das sollte ja nichts ausmachen, da eh nur ein Zertifikat in dem Zertifizierungspfad liegt, und das hast du ja direkt importiert.

Wieso wird mir denn das Zertifikat nicht in der Liste des Stammzertifikate angezeigt wenn ich in die MMC schaue? Ist das so korrekt oder ein weiterer Hilfshinweis?

Hast du es nur in die Zwischenzertifizierungsstellen gepackt?

Andere Sache:

Bist du dir sicher, dass es nicht an einer falschen Serveradresse in dem Zertifikat liegt? Die Adresse, die im Windows Phone für den Server hinterlegt ist, muss mit der im Zertifikat übereinstimmen.

[r3m4]

Ich habe das Zertifikat einfach per Doppelklick importiert und dann angegeben, dass er den Pfad selbst wählen soll. Habe ihm da keine Angaben vorgelegt.

Mit der Adresse glaube ich, dass du richtig liegst. Habe mir jetzt nochmal alle Fenster angesehen und mir ist aufgefallen, dass nirgends eine Adresse zu finden ist?

Für den Fall der Fälle, dass das das Problem ist, gibt es Möglichkeiten sich ein neues Zertifikat auszustellen oder das alte so zu bearbeiten um den Pfad miteinzubeziehen? Werde morgen mal meinen Kollegen befragen ob er sich etwas spezielles dabei gedacht hat als er das Zertifikat eingebunden hat.

Im Anhang noch einmal die Ansicht der Zertifikats aus dem Firefox. Es ist ja echt eine richtige Aufgabe auf so einem Windows Phone den Sync zum laufen zu bekommen für mich

Grüße

[lupo49]

Für den Fall der Fälle, dass das das Problem ist, gibt es Möglichkeiten sich ein neues Zertifikat auszustellen oder das alte so zu bearbeiten um den Pfad miteinzubeziehen?

Editieren geht nicht. Einfach ein neues mit den richtigen Angaben machen und wieder selbst signieren. Der "Common Name (CN)" sollte die FQDN des Servers enthalten.

[r3m4]

Spitze, wär ich selbst nicht drauf gekommen

Werde morgen mal nachfragen obs einen Hintergrund gibt und falls nicht, mich mal einlesen wie man das am besten anstellt bei Linux Server. Ich werde dann weiter berichten wie es ausgegangen ist

Auf jeden Fall besten Dank für deine Erklärungen und Hilfestellung!

[r3m4]

Soo, das leidige Thema geht wohl in die nächste Runde.

Es hatte keinen besonderen Grund, dass unser Server nicht eingetragen war, so habe ich nun in Auftrag gegeben gehabt, dass ein neues Zertifikat erstellt wird.

Das is jetzt auch geschehen und liegt auf dem Server bereit, also nichts wie ran ans testen aber es kommt leider immer noch der gleiche Fehler.

Zertifikat hat sich jetzt aber dahingehend verändert, dass der Aussteller des Zertifikat nicht mehr gefunden werden kann.

Woran liegt so etwas und wie können wir das beheben?

Screenshot wie immer im Anhang, hoffe es hilft euch etwas.

Grüße

[lupo49]

Da ist etwas mit dem Zertifikat nicht in Ordnung. Wie habt ihr es generiert?

Wurde es mit einem anderen Zertifikat signiert? Wenn ja, dann muss das andere auch in den Zertifikatsspeicher.

OpenSSL: Documents, verify(1)

Cryptography Tutorials - Herong's Tutorial Notes - OpenSSL - Certification Path and Validation

(Englische Fehlermeldung: The issuer of this certificate could not be found)

Bearbeitet 21. Februar 2011 von lupo49