MICROLINC - Probleme suchen Lösung
Zurück   Home

Blackberry Q10 - Zertifikatsbasierte Authentifizierung nur mit BES

  -  16.11.2015 - 12:03
Menü

Home
Microsoft Small Business Server 2011 Standard
Hardware
Windows
MS Office
Projekte
Support
Download
Peripherie
Sonstiges (Off-Topic)
Telefonie
Windows 8
Windows Mobile
Security-Software
DATEV
Virtualisierung Oracle virtualbox
nginx
Kryptographie
hMailServer
Android
Novell
Exchange
Server 2012 R2
AD Certificate Service (PKI) / Zertifizierungsstelle
System Center
Blackberry

Blackberry Q10 - Zertifikatsbasierte Authentifizierung nur mit BES

Microsoft Flow
Virtualisierung Microsoft Hyper-V
Ubiquiti
3CX


 
Autor:Thomas Windscheif last edit:14.08.2016 18:24

Link zu diesem Beitrag:


[Druckansicht]

certificate based authentication (CBA) mit Blackberry OS 10

Zwischenzeitlich war mir mein Smartphone kaputtgegangen. Also suchte ich nach Ersatz. Meine Anforderungen waren wie immer "nur":
  • Anbindung an Exchange ActiveSync mittels zertifikatsbasierter Authentifizierung.

  • QWERTZ-Tastatur

  • Praktikable Kalenderfunktionen

  • SMS-Sync über ActiveSync


Vor einiger Zeit liebäugelte ich schon mit Blackberry, seinerzeit war aber schon für rudimentäre Funktionen ein Blackberry Enterprise Server bzw. ein Abo beim Carrier notwendig. In den neueren OS-Versionen (hier OS 10) ist dies aber nicht mehr zwingend notwendig. Da ich auf Apps im Allgemeinen verzichten kann und auch die zusätzlichen Dienste von Blackberry nicht benötige, muss ich auch nicht zwingend eine Blackberry ID haben.

Ein Muss-Kriterium ist für mich, das CBA (certificate bases authentication) mit Exchange unterstützt wird. Heute eigentlich nichts tolles mehr. Jedes Android kann das nativ. Bei Blackberry dachte ich mir: Die legen von Natur aus auf Sicherheit wert, also werden Basisfunktionen wie Zertifikatsauthentifizierung wohl selbstverständlich dabei sein.

Nachdem ich das BB Q10 bestellt hatte, war ich zunächst sehr erfreut. Eine tolle Haptik, angenehme Telefonie. Die Tastatur ist am Anfang etwas gewöhnungsbedürftig, aber nach einiger Zeit schreibt man hier auch sehr flott. Mir persönlich fehlen die Hardware-Tasten für Gesprächsannahme und Auflegen, aber man kann nicht alles haben ;).

Zur Sicherheit hatte ich das Gerät vorab einmal Sicherheitsgelöscht (SWipe). Das dauert im Vergleich zu anderen Geräten extrem lang (bei mir 30 Minuten), spricht aber dafür, dass hier wirklich "sicher" gelöscht wird.

Am Anfang hatte ich der Zeit wegen das ActiveSync-Profil noch nicht eingerichtet und war zunächst mit einem "leeren" Telefon unterwegs. Was mich etwas nervte, war das ständige Popup von Blackberry, dass man eine Blackberry ID anlegen soll. Aber abhängigen Dienste (z. B. Blackberry Protect etc.) hatte ich im Menü aber abgeschaltet. Damit hätte ich aber auch noch leben können.

Dann aber wollte ich das ActiveSync-Profil einrichten. Zunächst das Root-Zertifikat importieren, dann das persönliche Zertifikat. Prüfen ob es im Zertifikatsmanager angezeigt wird (yeah, im Gegensatz zu Windows Phone gibt es das, man kann auch Zertifikate wieder entfernen - ohne Hardreset -)
Zur Sicherheit das BB nochmal neustarten. Dann Einrichtung des ActiveSync-Profils:
Die bekannten Parameter konfigurieren und "Go" -> Resultat: Meine Konfiguration wäre wohl nicht korrekt.
OK ?!
Also wiederholte ich das Ganze nochmal, es blieb aber bei der angeblich fehlerhaften Konfiguration.
Auf dem Exchange-Server im IIS sieht man dann das Problem:
Das Blackberry gibt das persönliche Zertifikat nicht weiter (HTTP 400).
Mit dem integrierten BB-Browser habe ich mich dann direkt auf den ActiveSync-Namespace verbunden. Wenn man hier im IIS-Log nachsieht, sieht man, dass das Zertifikat weitergereicht wird.
Warum im Browser und nicht beim ActiveSync?
Nach einer kurzen Recherche im Internet fand ich diverse Forenbeiträge von BB Z10-Nutzern die genau dasselbe Problem haben. Die Lösung: Einen Blackberry Enterprise Server (BES) installieren, hierüber lassen sich die Zertifikate den Mail-Profilen zuordnen!

Damit wollte ich mich zunächst nicht mit zufrieden geben und habe versucht Kontakt mit Blackberry aufzunehmen. Scheinbar gibt es aber keine Hotline für Smartphone-Besitzer, sondern nur einen twitter-Channel und das Community-Forum. Ich persönlich hätte ja auch Geld bezahlt um mit einem qualifizierten Techniker ein Telefonat führen zu können, aber gut, dann halt nicht :(.
Twitter/Facebook etc. kommen bei mir per se nicht in Frage, ich habe keine Account und möchte dort auch keine Accounts anlegen. Der Wunsch Zertifikate direkt im Gerät an Profile zu binden ist nicht neu (siehe http://forums.crackberry.com/blackberry-10-os-f269/import-certificate-access-corporate-email-769439/ oder https://www.reddit.com/r/sysadmin/comments/1x7r9o/certificate_authentication_without_a_bes/

Der Beitrag im englischsprachigen Community-Forum ist bis heute unbeantwortet, leider.

Schade, ich hatte mich an das Blackberry schon gewöhnt. Aber mir einen Blackberry Enterprise Server für ein paar wenige Geräte dahinzustellen (welcher ebenfalls lizenziert werden muss, da der Blackberry Enterprise Server Express nicht für BB 10-Geräte verwendet werden kann), scheint mir nicht wirklich rentabel. Ich glaube auch nicht, dass es für Blackberry ein wirtschaftlicher Verlust wäre, die Funktion zu integrieren. Ab einer gewissen Unternehmensgröße ist das schon eine charmante Lösung mit dem BES, die sich dann auch rechnet.

Update (14.08.2016): Leider hat sich an dem Thema nichts geändert, auch scheint nun das Blackberry eigene OS nun gefühlt einem von Blackberry gehärteten Android weichen zu müssen. Das Einstiegmodell hier war das Blackberry PRIV, hier kann man meiner Meinung nach aber nicht mehr von QWERTZ reden. Zwar ist diese Tastatur existent aber wohl eher drangebastelt denn mit Liebe in das Design integriert worden. Ich habe mir nun ein Nokia E6 mit Symbian gebraucht beschafft. Nokias Smartphone Entwicklung ist zwar nicht mehr "existent" aber das Gerät scheint auch so ausgereift zu sein.
ActiveSync mit CBA kein Problem und der Akku hält sehr lange. Die Tastatur ist etwas kleiner als beim Q10 von der Habtik aber sehr ähnlich, mir gefällts ;).



Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger IT-Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen (Novell/Micro Focus, Microsoft), Cloud-Lösungen (Office365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.





Login


QuickTag:  

 
[News als RSS-Feed abonnieren]
News

vom 10.12.2018 - 11:47


- TLS-Test für SMTP mit PowerShell -

Mit PowerShell lassen sich sich SMTP-Server hinsichtlich der zur Verfügung stehenden TLS-Protokolle testen.
Die meisten SMTP Test-Tools testen lediglich ob die Verschlüsselung per se funktioniert.
Im nachfolgenden Script wurde mittels der Net.Mail-Klasse ein Test für TLS 1.2, 1.1, 1.0 und SSL3 sowie keiner Verschlüsselung entwickelt.

http://www.microlinc.de/index.php?lev1=7&lev2=17&lev3=&id=409


Weitere News:

3CX Secure SIP via DIRECT-STUN mit yealink T46S


vom 08.09.2018 15:35


Exchange 2016 CU10


vom 25.06.2018 15:21


Apple iCloud Addin stört Outlook Kalenderfunktionen


vom 18.10.2017 13:24


.NET 4.7 released - Bitte nicht auf Exchange Servern installieren


vom 13.06.2017 21:52


Troubleshooting Exchange Health Manager Sensoren


vom 16.05.2017 21:06


Exchange 2016 - ActiveSync-Lesebestätigungen können nun unterdrückt werden


vom 09.03.2017 18:28


Exchange - Informationen an Dritte einschränken


vom 20.02.2017 01:53


Einen guten Start in das neue Jahr


vom 31.12.2016 19:21


Smart App Banner für OWA entfernen


vom 09.09.2016 20:15


Neue Version des Berechtigungsvererbungsskript für Exchange released


vom 17.05.2016 19:34


LogParser für Exchange SMTP-Logs


vom 16.05.2016 00:48


Exchange Healthmailboxen neu anlegen


vom 25.03.2016 16:28


Retention Policy auf Healthmailboxen anwenden


vom 24.03.2016 20:52


Exchange Schemaversionen auf allen DCs abfragen


vom 24.03.2016 16:37


Neue Versionen des Berechtigungsvererbungsskripts


vom 27.09.2015 19:04


Exchange 2013 Mapi over HTTP Diagnose


vom 20.09.2015 20:42


Reparatur der AD Certficate Service Datenbank


vom 25.07.2015 21:37


Prompt beim Autodiscover-Prozess (Outlook 2013)


vom 30.05.2015 20:19


Fehler beim DomainJoin


vom 20.04.2015 20:15



[alle News auflisten]
Sitemap - Kontakt - Datenschutz & Disclaimer - Impressum