Windows Phone 7 HTC 7 “Mozart”–ActiveSync zu Exchange-Server mit eigenem Zertifikat

Meine bessere Hälfte besitzt seit wenigen Tagen ein Windows Phone 7-Gerät, und zwar ein HTC 7 “Mozart”. Das Gerät dient als Ersatz für ein Nokia 6500c. Das Resümee nach wenigen Tagen ist äußerst positiv und die Handhabung klappt nach eigenen Aussagen sehr gut. Nachdem die Grundeinstellungen vorgenommen wurden und sie sich ein wenig mit dem Gerät vertraut gemacht hatte kam (testweise) die Einrichtung des Email-Postfachs an die Reihe. Das Gerät sollte (neben dem Live-Konto, das für den Betrieb zwingend benötigt wird) eine Verbindung zu einem Windows Server 2008 R2 mit Exchange 2010 SP1 herstellen. Nachdem in dem Konto alle Einstellungen von mir vorgenommen wurden, zeigte mir das Gerät eine Fehlermeldung und merkte das auf dem Server hinterlegte Zertifikat als Fehlerursache an.

Es wurde nicht nachgefragt ob man diesem “unbekannten” bzw. “verdächtigen” Zertifikat traut, es wurde einfach abgelehnt. Sogar ein iPhone fragt nach. Die Lösung für dieses Problem scheint dann wohl so zu sein (wie bei Windows Mobile 6.5 usw.), dass man das Zertifikat der CA installiert und dem Exchange-Zertifikat somit vertraut wird. Eine kurze Recherche bei Google hat dies dann auch bestätigt ( Windows phone 7 certificate error ). Ich habe mir also das Zertifikat selber per Email gesendet und über den Internet Explorer auf dem Gerät aufgerufen. Nachdem ich auf den Anhang geklickt habe fragt mich der IE, ob ich das Zertifikat installieren möchte. Nach einer Zustimmung bekommt man allerdings eine Fehlermeldung mit der ID 80072F0D. In dem oben verlinkten Artikel scheint dies aber die Lösung zu sein, also habe ich das Zertifikat auf einem Webserver temporär abgelegt und von dort über den Internet Explorer aufgerufen. Diesmal funktionierte die Installation und das Windows Phone 7 fragt, ob das Zertifikat installiert werden darf. Nach der Installation und einem Neustart (Wichtig!) funktionierte auch die Synchronisierung mit dem Exchange Server. Leider kann man ohne Hilfsmittel keine Dateien per USB auf dem Gerät speichern, mit einem kleinen Eintrag in der Registry scheint es aber zu gehen: Windows Phone 7 als Wechseldatenträger

Info: Der in diesem Fall genutzte Email-Anbieter ist GMX, wie es bei anderen Providern aussieht weiß ich nicht, vermute aber, dass es zu einem ähnlichem Problem kommt.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

31 Kommentare:

  1. Hallo Jan,

    erst mal vielen Dank für den Lösungsansatz, bin schon lange auf der Suche nach der passenden Lösung für genau das geschilderte Problem. Leider aber bei mir ohne Abhilfe.
    Alles was sich dadurch (Download von einem Webserver) geändert hat, ist die Fehlermeldung. Statt 80072F0D kommt jetzt 80072F06. Weißt Du vielleicht noch mehr?

  2. Hallo,
    welches Zertifikat willst du installieren? Es muss das Root-Zertifikat der PKI sein, nicht das des Exchange-Servers. Also das Zertifikat, welches das des Exchange gegenzeichnet…

  3. Hallo Jan,

    vielen Dank für Deine Antwort. Nachdem alles nicht funktioniert hat, habe ich sogar versucht die ganze Zertifikatskette im *.p7b-Format zu speichern. Sogar erfolgreich. Alles scheitert daran, dass das WP7 Zertifikate ablehnt, welche nicht genau auf die angepeilte Adresse ausgestellt sind. Mit anderen Worten, unser Exchange konnte bisher nur per IP angesprochen werden, der Name war den DNS nicht bekannt. Das Zertifikat ist auf den internen Servernamen ausgestellt. Und da blockiert das WP7 nunmal. Immerhin ist dieser Fehler im IE8 nachvollziehbar. Hier heisst es beim Aufrufen des Servers: Das Sicherheitszertifikat dieser Website wurde auf eine andere Adresse der Website ausgestellt. Mit “Ja, zulassen” kommt man in jedem Browser der Welt durch, nur eben nicht im WP7. So ist das… Lösungsansatz: subdomain anmelden, routen lassen, neues Zertifikat ausstellen auf die subdomain und losgehts.. Die Tage weiß ich mehr…

  4. Hi,
    die ganze Kette (p7b-Datei) einzuziehen funktioniert nicht, das habe ich auch an der ein oder anderen Stelle gesehen das das erfolglos probiert wurde bei meiner Recherche.
    Wie du schon selbst schreibst ist das Exchange-Zertifikat auf einen internen Server-Namen ausgestellt, nicht auf den externen Namen. Das Zertifikat muss auf den Namen ausgestellt sein, auf den der Server “von außen” hört. Das Zertifikat, welches das Exchange-Zertifikat gegenzeichnet, muss eingezogen werden. In meinem Fall das “Zertifikat 0” unserer Windows-PKI…

    Gruß, Jan

  5. Hi Jan

    Ich bin echt verzweifelt…….

    Habe echt einiges probiert (bin aber auch ein absoluter Anfänger). Bin entsprechend der englisch sprachigen Anleitung her gegangen und habe versucht, dies so hinzubekommen.
    Keine Chance….ich weiss aber auch nicht, ob ich das richtige Zertifikat geladen habe…habe es mir via email auf´s WP7 geschickt und erfolgreich installiert. Synchen macht er dennoch nicht.
    Meine IT kann ich nicht fragen, die sind nicht wirklich kooperativ…….

    Kannst mir irgendwie helfen? Das Zertifikat lade ich über´s Web mit rechter Maustaste und speichern….???

    Liebe Grüße

    jens

  6. Hmm,

    wenn du eure IT nicht fragen kannst schätze ich mal, das du auch keinen administrativen Zugriff auf den Exchange-Server bzw. den PKI-Server bekommst. Wenn dies der Fall ist wird es für dich quasi unmöglich sein, einen erfolgreichen Sync hinzubekommen. Wichtig ist wie gesagt nicht das Zertifikat des Exchange-Servers, sondern das des “Vertrauens-Partnern”…

    Gruß

  7. Hey Jan

    Was und wo ist das Zertifikat des “vertrauens-Partners”?

  8. YYYYYYYYYYes!!!!

    Hat geklappt……..mir egal wie, aber es hat geklappt :)

  9. Und dennoch habe ich vergessen Danke zu sagen :)

  10. Hast du vielleicht zwischendurch irgendwann das Gerät mal neugestartet? Das ist nämlich Bedingung dafür das es geht :)

    Gruß

  11. Hey Jan

    Ja, ich habe es natürlich neu gestartet (schliesslich hast Du dazu geraten). Ich habe halt erstmal das richtige Zertifikat finden müssen. Und nun ist die Welt rosa-rot…..und unser IT Mensch läuft nun immer mit gesenkten Kopf an mir vorbei: er denkt, ich warte immer noch auf eine Antwort von Ihm zu diesem Thema. Ich werde ihm dieses schlechte Gewissen nicht nehmen, irgendwann brauche ich ihn sicherlich noch mal ;)

  12. Hallo Jan

    ich bin durch googeln auf ihren Thread gestoßen der sich mit der Problematik von Exchange und Windows 7 Phone auseinandersetzt.

    Ich habe wie in ihrem Thread das Zertifikat installiert. Bekomme aber keine Verbindung zum dem Exchange-Server. Der ja wie sie schreiben in dem Zertifikat über IP-Adresse angesprochen wird.

    Jetzt ist die Frage. Benötigt man zwingend ein Zertifikat von einer Zertifizierungstelle (Trustcenter) oder geht es auch so?

    Über eine Antwort würde ich mich sehr freuen.

    gruß Matthias

  13. Hallo Matthias,
    es funktioniert meines Wissens nur, wenn es entweder ein Zertifikat ist das von offizieller Stelle (VeriSign, GoDaddy usw) gegengezeichnet wurde oder man das Zertifikat 0 der Zertifizierungsstelle einzieht, damit dieses dann in den Vertrauenswürdigen Stammzertifizierungsstellen auftaucht…

    Gruß, Jan

  14. Ok ich danke dir für deine schnelle Antwort.

    Gruß Matthias

  15. Hallo Jan,
    so wie das aussieht hast Du die meiste Ahnung, und ich stehe vor dem ersten Problem, dass ich noch nicht einmal eine Ahnung davon habe, wo ich das beschriebene Root Certifikat (Zertifikat 0) finde. Ich habe einen eigenen SBS2003 am Laufen und hier über den Wizzard auch ein eigenes Zertifikat (Verbindung mit dem Internet herstellen, da kommt dann die Abfrage nach dem Zertifikat) erstellt. Ich habe nicht wirklich viel Ahnung, welche Zertifikate wo, zu welchem Zweck abgelget sind. Ich habe wohl schon aus dem Grund mein iPhone nicht an den Exchange bekommen und scheitere nun auch mit dem HTC 7 Mozart.
    Kannst Du mir hier bitte weiterhefen?

    Vielen Dank, LG Bernd

  16. Hallo Zusammen,

    es ist zum Mäusemelken, krieg den sync nicht hin.
    Zertifikate importiert..
    Im OWA das Zertifikat anzeigen und exportiert, im Phone7 installiert. DER und Base versucht, mit dem certmgr auch nochmal exportiert und wieder installiert.
    Ich verstehs nicht – immer bekomme den Zertifikatsfehler.
    Versucht auf 2 Exchangeserver (1x 2007 1x 2003)
    Die Server sind beides SBS, OWA geht klaglos, Sync mit Android, Iphone, BADA geht alles ohne Probleme.

    VOR dem Exchange steht eine Firewall die den Port 443 auf den Exchange forwardet.

    Kann mir bitte jemand eine Tip geben wie ich das korrekte Zertifikat finden kann?

    Danke!

    Grüße

    Micha

  17. Hallo Bernd,

    die Zertifikate in Windows/Exchange sind schon teilweise ein recht komplexes Thema, vor allem wenn man nicht jeden Tag damit arbeitet :)
    Ich denke schon das ich dir helfen kann, wir könnten eine Fernwartungs-Sitzung aufbauen und zusammen nach den Zertifikaten schauen, ich könnte dir dabei parallel ein bisschen zu den einzelnen Zertifikaten erzählen (wenn gewünscht). Kontaktdaten stehen weiter oben rechts in der Navigationsleiste, bitte beachte auch den Punkt “Unsere Preise” um im Vorfeld über die Kosten informiert zu sein.

    @Michael: Für dich gilt eigentlich das gleiche wie für Bernd, ich habe in letzter Zeit mehrere Exchange-Server mit Zertifikaten ausgestattet und dann die entsprechenden Geräte dran angebunden, ich denke ich könnte dir bei deinem Problem weiterhelfen.

    Gruß, Jan

  18. Hallo Herr Jan,
    Wie kann ich die displaysprache meinem HTC 7 HD7 auf Deutsch wechseln.

    Mfg. F. Saif

    Ps.: ich habe das Geraet in USA erworben und es hat bei Setting Display Language Change nur English?!!!!!!

  19. Hallo,
    da bin ich überfragt, die Geräte die ich bisher in der Hand hatte waren alle aus Deutschland. Ich würde da eher auf die Foren verweisen die damit mehr zu tun haben => http://forum.xda-developers.com/forumdisplay.php?f=605

    Gruß, Jan

  20. Hallo Jan,

    vielen Dank erstmal für den tollen Bericht.
    Hat bei mir soweit auch alles funktioniert, jedoch kam nach der Installation der Zertifikate bei mir die Frage auf, ob man diese auch ggf. wieder löschen kann? Habe keine Option oder dergleichen finden können.

    Hast Du da vielleicht ne Idee?

    Danke und ein schönes Wochenende

    Oliver

  21. Hallo Jan,

    leider habe ich ebenso ein Problem mit dem Syncen mitn HTC HD7. Mein alter Exchange Server 2010 hatte ein selbstsigniertes Zertifikat. Dies hat auch wunderbar gefunkt. Nun habe ich einen neuen Exchange Server 2010 mit einem Startssl Zertifikat. Nun ja, jetzt funkt es leider nicht mehr. Hättest du vielleicht einen Lösungsansatz?
    danke! LG Bernhard

  22. Hallo Bernhard,
    ich vermute das das Zertifikat von “Startssl” nicht in der Liste der vertrauenswürdigen Stammzertifizierungsstellen ist und eine Synchronisation deswegen nicht funktioniert. Das Zertifikat muss exportiert werden auf einem PC und dann auf dem Handy eingezogen werden…

    Gruß, Jan

  23. Hallo Jan

    Also ich habe es so gemacht wie alle anderen schon.

    1. MMC.exe
    2. Snap/in Zertifikate hinzufügen ( Lokaler Computer)
    3. Dann unter ” Vertrauenswürde Stammzertifizerungsstellen das ” Microsoft Root Certificate Authority” exportiert.
    4. Auf mein Handy per Hotmail gesendet und installiert.
    5. Handy neu gestartet.

    Funktioniert immer noch nicht.. Wir haben einen Exchange 2010 Server. Mein HTC HD 7 befindet sich im internen Netz.. Kannst du mir irgendwie weiterhelfen ?

    Danke

  24. Lieber jan

    Also ich habe es so gemacht wie alle anderen schon.

    1. MMC.exe
    2. Snap/in Zertifikate hinzufügen ( Lokaler Computer)
    3. Dann unter ” Vertrauenswürde Stammzertifizerungsstellen das ” Microsoft Root Certificate Authority” exportiert.
    4. Auf mein Handy per Hotmail gesendet und installiert.
    5. Handy neu gestartet.

    Funktioniert immer noch nicht.. Wir haben einen Exchange 2010 Server. Mein HTC HD 7 befindet sich im internen Netz.. Kannst du mir irgendwie weiterhelfen ?

    Danke

  25. Hey,
    wer hat denn das Zertifikat für den Exchange-Server ausgestellt? Wird ein eigenes Zertifikat verwendet oder ein Zertifikat eines offiziellen Händlers?
    Gruß

  26. Hi Jan,

    habe derzeit ein htc 7 pro und ähnliche Probleme wie hier im thread. Bekomme ebenfalls nach Installation des Zertifikats unserer IT den Fehler 80072f06. Unsere IT sagt, dass sie von einem root zertifikat nichts wissen.
    Wo findet man dieses Zertifikat?

    Bin Laie und möchte endlich den Sync auf unserer Exchange Server hinbekommen.
    Grüße
    Thorsten

  27. Hallo Thorsten,
    für die Erstellung eines Root-Zertifikats wird eine PKI benötigt, eine “public key infrastructure”. Solch eine PKI ist bei einem Small Business Server standardmäßig installiert und eingerichtet, auf nicht-SBS-Systemen muss man die Rolle manuell installieren und konfigurieren.
    Gruß, Jan

  28. Super, es funktioniert natürlich auch problemlos beim Windowsphone 7.5
    HTC-Titan.

    Gruß Stefanie

  29. Pingback:Exchange und fehlendes Zertifikat Seite 2 - Windows Phone 7 Allgemein - Windows Phone Forum

  30. Hallo an alle verzweifelten.

    nach etlichen mehr oder weniger erfolglosen Versuchen, bin ich auf die einfachste aller Lösungen gekommen. Zumindest in meinem Fall hatt es den Durchbruch gebracht.

    Sowohl die Domain (falls verwendet) als auch die Adresse muss exakt genau so in den Einstellungen stehen wie im Zertifikat und mit exakt meine ich auch Groß- und kleinschreibung. Als kleines Beispiel: In unserem Zertifikat stand als Antragssteller: Max-Mustermann, und unsere Adresse hieß https://max-mustermann. Dann muss in die Einstellung vom WP7: https://Max-Mustermann.

    Klingt komisch ist aber so.

    Ich wünsche allen noch viel Erfolg und bitte keine Fragen an mich, ich habe nämlich auch keine Ahnung (aber Google ist mein Freund).

    Gruß HD7chan

    PS: die Namen wurden von der Redaktion geändert ;)

  31. Hallo,

    ich könnte die ganze Windowssch…. im Moment aus dem Fenster werfen. Es gibt KEINE anständige Anleitung wie man ein WM7.x Gerät mit einem Exchange-Server verbindet. Auch hier reden alle nur kryptisch und verschlüsselt und keiner wirklich klartext! Eine Atombombe ist glaube ich leichter zu bauen…

    Wir haben einen Exchange-Server 2010 der von extern über die OWA einwandfrei zu erreichen ist. Android und iPhone funktionieren einwandfrei! Nur beim WM7 muss ich ein Zertifikat über tausend Umwege installieren, um dann immer wieder die Fehlermeldung zu bekommen, das das Zertifikat mit der angegebenen (externen) Server-Adresse nicht zusammen passt.

    Grundlegend ist mir vom Verständnis klar, das in dem benötigten Zertifikat die Daten für die externe Verbindung drin stehen sollte. Nur wo macht man das!

    Ich würde mich und sicherlich viele andere auch, sehr über eine Anleitung freuen in der beschrieben wird wie und welches Zertifikat man erstellt, um ein WM7.x zum synchronisieren zu bewegen.

    Und falls einer den Tip los lässt, NEIN ich schmeiße nicht auch noch einer externen Firma für Zertifikate Geld in den Rachen nur weil Microsoft die Verwaltung und/oder Erstellung von Zertifikaten warscheinlich welber nicht hinbekommt.

    Gruß an alle leidenden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.