Früher konnten Sie in iOS, wenn Sie mit Apple-Mail einen Exchange-Server ansprachen, der ein selbstsigniertes Zertifikat ausgeliefert hat, dieses nach der Kenntnisnahme einer Warnung akzeptieren. Inzwischen, mit iOS13 geht dies nicht mehr.

Prinzipiell könnten Sie, da „offizielle“ Zertifikate dank Let’s Encrypt kostenfrei erhältlich sind, den Exchange oder vielmehr den IIS des Exchange-Servers kostenfrei mit einem offiziellen Let’s-Encrypt-Zertifikat versehen. Doch die Probleme beginnen im Detail:

  • Wenn Sie noch einen sehr alten und nicht mehr unterstützen Exchange-Server betreiben, gibt es evtl. schon Probleme mit den Hash-Algorithmen der SHA-2-Familie, die alte IIS nicht ohne manuellen Patch unterstützen. Hier gibt es jedoch die entsprechenen Updates, so dass fehlende SHA-2-Hashalgorithmen kein unlösbares Problem bei der Nutzung von iOS13, das mindestens SHA-2-Hashes verlangt, darstellen.
  • Viele Administratoren betreiben den Exchange jedoch mit einer „Pseudodomäne“ der Art „.local“. Für solche Namen gibt es natürlich keine „offiziellen“ Zertifikate, weder von kommerziellen Anbietern noch von Let’s-Encrypt.

Sie könnten nun Ihre Exchange-Infrastruktur auf einen „offiziellen“ Namen umstellen und ein offizielles Zertifikat einspielen. Doch die damalige Wahl einer „.local“-Domäne hatte ja häufig ihren Sinn. Sie erhalten offizielle Mails vielleicht über einen Mailprovider, der den MX stellt, und der Exchange holt dann die Mails dort per POP3 etc. ab.
Seien wir als Administratoren ehrlich: Den Windows-Domänennamen wollen wir nicht ändern.

Sie könnten den Exchange mit zwei Domänennamen versehen: Einen für die internen PCs in der Domäne und einen externen, offiziellen Namen.
Doch der IIS des Exchange ist hierfür auch nicht ausgelegt, je nach Exchange-Version ist dies gar nicht möglich.

Die Lösung: ein Proxy

Die Lösung, die wir gewählt haben, ist ein Reverse-Proxy, den wir dem Exchange vorgeschaltet haben. Dieser bedient einen offiziellen Namen, z. B. „owa.firmenname.de“, holt und erneuert regelmäßig passende Let’s-Encrypt-Zertifikate und ist aus dem Internet oder auch lokal innerhalb der Domäne unter dem offiziellen Namen ansprechbar.

Der Reverse-Proxy nimmt die Anfragen der mobilen Geräte oder auch von „Outlook-Web-Access“ an, modifiziert diese leicht, da sich Microsoft bei dem Protokoll für mobile Anfragen nicht an den http-Standard hält, und leitet die Anfragen dann an den internen Exchange weiter und natürlich die Antworten wieder zurück.

Diese Reverse-Proxy-Lösung ist schnell umsetzbar und preiswert und ermöglicht es auch, alte Exchange-Server weiter zu betreiben.

Wenn Sie Interesse an dieser Lösung haben und diese bei sich im Unternehmen oder als IT-Dienstleister bei einem Kunden einrichten möchten, nehmen Sie mit uns Kontakt auf. Wir unterstützen Sie gerne.

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Schreibe einen Kommentar