Fr\u00fcher konnten Sie in iOS, wenn Sie mit Apple-Mail einen Exchange-Server ansprachen, der ein selbstsigniertes Zertifikat ausgeliefert hat, dieses nach der Kenntnisnahme einer Warnung akzeptieren. Inzwischen, mit iOS13 geht dies nicht mehr.<\/p>\n\n\n\n
Prinzipiell k\u00f6nnten Sie, da „offizielle“ Zertifikate dank Let’s Encrypt kostenfrei erh\u00e4ltlich sind, den Exchange oder vielmehr den IIS des Exchange-Servers kostenfrei mit einem offiziellen Let’s-Encrypt-Zertifikat versehen. Doch die Probleme beginnen im Detail:<\/p>\n\n\n\n
Sie k\u00f6nnten nun Ihre Exchange-Infrastruktur auf einen „offiziellen“ Namen umstellen und ein offizielles Zertifikat einspielen. Doch die damalige Wahl einer „.local“-Dom\u00e4ne hatte ja h\u00e4ufig ihren Sinn. Sie erhalten offizielle Mails vielleicht \u00fcber einen Mailprovider, der den MX stellt, und der Exchange holt dann die Mails dort per POP3 etc. ab.
Seien wir als Administratoren ehrlich: Den Windows-Dom\u00e4nennamen wollen wir nicht \u00e4ndern.<\/p>\n\n\n\n
Sie k\u00f6nnten den Exchange mit zwei Dom\u00e4nennamen versehen: Einen f\u00fcr die internen PCs in der Dom\u00e4ne und einen externen, offiziellen Namen.
Doch der IIS des Exchange ist hierf\u00fcr auch nicht ausgelegt, je nach Exchange-Version ist dies gar nicht m\u00f6glich.<\/p>\n\n\n\n
Die L\u00f6sung, die wir gew\u00e4hlt haben, ist ein Reverse-Proxy, den wir dem Exchange vorgeschaltet haben. Dieser bedient einen offiziellen Namen, z. B. „owa.firmenname.de“, holt und erneuert regelm\u00e4\u00dfig passende Let’s-Encrypt-Zertifikate und ist aus dem Internet oder auch lokal innerhalb der Dom\u00e4ne unter dem offiziellen Namen ansprechbar.<\/p>\n\n\n\n
Der Reverse-Proxy nimmt die Anfragen der mobilen Ger\u00e4te oder auch von „Outlook-Web-Access“ an, modifiziert diese leicht, da sich Microsoft bei dem Protokoll f\u00fcr mobile Anfragen nicht an den http-Standard h\u00e4lt, und leitet die Anfragen dann an den internen Exchange weiter und nat\u00fcrlich die Antworten wieder zur\u00fcck.<\/p>\n\n\n\n
Diese Reverse-Proxy-L\u00f6sung ist schnell umsetzbar und preiswert und erm\u00f6glicht es auch, alte Exchange-Server weiter zu betreiben.<\/p>\n\n\n\n