Activsync funktioniert plötzlich bei einem Android User nicht mehr

Zitat von juvilado

Ich will ja eigentlich kein Zertifikat für eine Webseite

Doch doch, in diesem Fall schon. Du willst ja damit keine E-Mails signieren/verschlüsseln, sondern ankommenden Clients nur bestätigen, dass sie den korrekten Host zu fassen haben. Gut, ist in diesem Fall nicht wirklich eine "Webseite", aber eben ein Dienst-Host.

Du brauchst: 1) Einen Hostnamen, der auf eure Adresse zeigt, da Zertifikate nicht für IP-Adressen ausgestellt werden können (nützt dir bei dynamischen Adressen eh nix). Wie gesagt, ich meine im Hinterkopf zu haben, dass Let's Encrypt keine Zertifikate für dyndns.org-Adressen ausstellt, bin da aber nicht ganz sicher. Falls doch, kommt der Tipp von ComputerManni ins Spiel, evtl. ist es schlau, sich bei Strato ein Billigpaket mit dyn. Host nur für diesen Zweck anzuschaffen.

2. musst du dann für diesen Host ein Zertifikat anfordern. Für LE geht das nur "zu Fuß" über die oben verlinkten Methoden. Ich hab' das seinerzeit offen gestanden als zu kompliziert empfunden und mir statt dessen ein einfaches Zertifikat bei GlobeSSL geholt ("Globe Standard SSL"). Einfache Domain Validation (DV), mehr brauchst du an der Stelle nicht. Andrere Anbieter gehen natürlich ebenso, GlobeSSL ist relativ billig. Für den Bezug erstellst du auf dem David-Server ein certificate request, z. B. mit der TLSCERT.EXE im Util-Verzeichnis. Mit dem ausgestellten Zertifikat musst du dir anschließend eine .pem-Datei bauen und diese der Webbox "unterjubeln".

Anschließend sieht es im Browser dann im Idealfall so aus, wenn du die Webbox-Adresse von extern aufrufst:

Ja SiteCare ist da Pflicht.

Oder Zert kaufen, und einbinden.

Bei uns geht ein Samsung Handy nach dem letzten Samsung Sicherheitsupdate (Mitte Sept 23) auch nicht mehr. Dasselbe Handy ohne Update funktioniert noch. Hängt mit dem selbstsignierten Zertifikat zusammen. iPhones funktionieren noch. Hoffen wir, dass Samsung beim nächsten Update wieder die Option "nicht vertrauenswürdig/zulassen" beim Email Programm wieder erlaubt.

Zitat von PeterPan

beim nächsten Update wieder die Option "nicht vertrauenswürdig/zulassen

Darauf würde ich nicht vertrauen.

wo ist das Problem?

Einfach das selbstsignierte Zertifikat des David Servers auf den Smartphones installieren und fertig.

Das ist am Ende sogar ebenso sicher wie ein offizielles Zertifikat.

1. Im Google Chrome am PC Rechner die Webbox des jeweiligen David Servers via https://Servername aufrufen.
2. Links oben in der Adresszeile auf das rote "Nicht sicher" vor der Serveradresse klicken
3. Auf "Zertifikat ist ungültig" klicken
4. in sich öffnenden Fenster auf den Reiter "Details" klicken
5. unter rechts in der Ecke des gleichen Fensters auf "Exportieren..." klicken
6. Das Zertifikat im nächsten Dialog irgendwo abspeichern
7. Das eben exportierte Zertifikat irgendwie an das Smartphone übertragen (im Zweifel per USB Kabel)
8. Am Samsung Smartphone geht es dann wie folgt weiter:
9. auf dem Gerät die Einstellungen öffnen
10. weiter zu "Sicherheit & Datenschutz"
11. ganz unten "Andere Sicherheitseinstellungen"
12. recht weit unten "Von Gerätespeicher installieren"
13. "CA-Zertifikat"
14. Sicherheitswarnung bestätigen
15. Zertifikat in Gerätespeicher suchen wo es zuvor deponiert wurde und installieren.

Fertig.

Ab hier akzeptiert Eurer Samsung Smartphone auch mit neusten Sicherheits-Updates klaglos das selbst signierte Zertifikat Eures David Servers.

Zitat von juvilado

Habe ich so durchgeführt und beim Einrichten des Konto´s kam dann die Warnung eines unsicheren Zertifikates, aber danach trotzdem wieder die übliche Fehlermeldung

Hast Du Dein selbst signiertes Zertifikat denn überhaupt auf die richtige Adresse ausgestellt?
Das hilft nämlich nix wenn das Zertifikat auf eine interne Adresse ausgestellt ist, das Smartphone den Server aber über eine externe Adresse ansprechen soll.
Die Minimalvoraussetzung ist schon das Dein Zertifikat auch zum Servernamen passt unter dem der Server auch tatsächlich zu erreichen ist.

Zitat von juvilado

Wie kann ich das denn bearbeiten

Bau dir einfach schnell ein neues.

Mach eine Sicherheitskopie eures jetzigen Zertifikats, vermutlich \David\Apps\Webbox\Code\wbcert.pem

Dann \David\Util\Windows\TLSCERT\tlscert.exe aufrufen und im Tool folgende Werte hinterlegen:

Certificate Type = Self Signed

Key Length = 2048

Country Name = DE

State or Province = Bundesland

Locality Name = Stadt

Organization Name = Firmenname

Organizational Unit = n/a

Common Name = EXAKTE (Sub)Domain David

Contact e-Mail = Mailadresse

Optionale Attribute: Leer lassen, Valid Days kannst du dir aussuchen (z.B. 366)

Wichtig ist dort halt, dass "Common Name" exakt der Adresse entspricht, über die du per Smartphone drauf zugreifst. Also z. B. eure dyndns-Adresse, ohne http(s)-Präfix. meindavidserver.dyndns.org etwa.

Die über das Tool erstellte Datei speicherst du als WBCERT.PEM in \David\Apps\Webbox\Code ab und startest dann die Webbox neu.

Schön finde ich das trotzdem nicht, auch wenn's funktioniert. Der Kostenaufwand für ein offiziell beglaubigtes Zertifikat ist ja nun wirklich minimal. Aber gut.

Zitat von juvilado

Nach dem Bestätigen kommt trotzdem wieder der Fehler:

Hast du das Zertifikat zusätzlich, wie von riawie in Beitrag 25 beschrieben, in den Zertifikatsspeicher des Smartphones importiert?

Zitat von juvilado

Welches muss ich denn wohl da bestellen?

In der Auswahl wäre das einfache Sectigo PositiveSSL vermutlich ausreichend. Du brauchst ja nur ein ganz einfaches für "Domain Validation".

Schau dir mal das Video an, so sollte grundsätzlich die erstellung einer CSR ablaufen.

Wie hast du die CSR erstellt?

Zitat von juvilado

Das Zertifikat von globessl.com ist da, aber beim importieren verlangt er auch ein Passwort

Nee, das Zertifikat importierst du nicht auf die Smartphones, daraus baust du dir eines für die Webbox. Die weist sich damit dann "offiziell" als korrekte Gegenstelle aus, und der Weg mit dem manuellen Import entfällt.

Bastle dir eine neue Textdatei. In die kopierst du einfach untereinander die Inhalte der folgenden Dateien rein, die du von GlobeSSL erhalten hast:

1) Eigenes Zertifikat (kundenname.crt) (online bei globessl.com: CRT code)

2) Intermediate 1 (GlobeSSLDVCA.crt) (online bei globessl.com: CA code, erste Hälfte)

3) Intermediate 2 (USERTrustRSAAAACA.crt) (online bei globessl.com: CA code, zweite Hälfte)

4) Private Key (den du bei der Erstellung des Cert-Requests gespeichert hast).

Die Intermediates sind nicht zwingend nötig, sorgen aber für ein besseres Grading.

Diese Textdatei speichern als "WBCERT.PEM" (nicht "WEBBOX.PEM" !) im Verzeichnis \DAVID\APPS\WEBBOX\CODE, in der Konfiguration der Webbox Haken setzen bei "Zertifizierungspfad übertragen", in der Zuweisung der Zertifikate im David Admin ggf. die Pfade anpassen, dann Webbox neu starten.

Läuft die Webbox wieder, kannst du z. B. unter https://www.ssllabs.com/ssltest/ mal eure Domain eingeben und schauen, ob da alles schön grün ist. Mit obigen Einstellungen (Intermediates + Zert.-Pfad) sollte mindestens ein "A" herauskommen.