Blackberry Q10 - Zertifikatsbasierte Authentifizierung nur mit BES - 16.11.2015
von Thomas Windscheif / Microlinc
certificate based authentication (CBA) mit Blackberry OS 10
Zwischenzeitlich war mir mein Smartphone kaputtgegangen. Also suchte ich nach Ersatz. Meine Anforderungen waren wie immer "nur":
- Anbindung an Exchange ActiveSync mittels zertifikatsbasierter Authentifizierung.
- QWERTZ-Tastatur
- Praktikable Kalenderfunktionen
- SMS-Sync über ActiveSync
Vor einiger Zeit liebäugelte ich schon mit Blackberry, seinerzeit war aber schon für rudimentäre Funktionen ein Blackberry Enterprise Server bzw. ein Abo beim Carrier notwendig. In den neueren OS-Versionen (hier OS 10) ist dies aber nicht mehr zwingend notwendig. Da ich auf Apps im Allgemeinen verzichten kann und auch die zusätzlichen Dienste von Blackberry nicht benötige, muss ich auch nicht zwingend eine Blackberry ID haben.
Ein Muss-Kriterium ist für mich, das CBA (certificate bases authentication) mit Exchange unterstützt wird. Heute eigentlich nichts tolles mehr. Jedes Android kann das nativ. Bei Blackberry dachte ich mir: Die legen von Natur aus auf Sicherheit wert, also werden Basisfunktionen wie Zertifikatsauthentifizierung wohl selbstverständlich dabei sein.
Nachdem ich das BB Q10 bestellt hatte, war ich zunächst sehr erfreut. Eine tolle Haptik, angenehme Telefonie. Die Tastatur ist am Anfang etwas gewöhnungsbedürftig, aber nach einiger Zeit schreibt man hier auch sehr flott. Mir persönlich fehlen die Hardware-Tasten für Gesprächsannahme und Auflegen, aber man kann nicht alles haben ;).
Zur Sicherheit hatte ich das Gerät vorab einmal Sicherheitsgelöscht (SWipe). Das dauert im Vergleich zu anderen Geräten extrem lang (bei mir 30 Minuten), spricht aber dafür, dass hier wirklich "sicher" gelöscht wird.
Am Anfang hatte ich der Zeit wegen das ActiveSync-Profil noch nicht eingerichtet und war zunächst mit einem "leeren" Telefon unterwegs. Was mich etwas nervte, war das ständige Popup von Blackberry, dass man eine Blackberry ID anlegen soll. Aber abhängigen Dienste (z. B. Blackberry Protect etc.) hatte ich im Menü aber abgeschaltet. Damit hätte ich aber auch noch leben können.
Dann aber wollte ich das ActiveSync-Profil einrichten. Zunächst das Root-Zertifikat importieren, dann das persönliche Zertifikat. Prüfen ob es im Zertifikatsmanager angezeigt wird (yeah, im Gegensatz zu Windows Phone gibt es das, man kann auch Zertifikate wieder entfernen - ohne Hardreset -)
Zur Sicherheit das BB nochmal neustarten. Dann Einrichtung des ActiveSync-Profils:
Die bekannten Parameter konfigurieren und "Go" -> Resultat: Meine Konfiguration wäre wohl nicht korrekt.
OK ?!
Also wiederholte ich das Ganze nochmal, es blieb aber bei der angeblich fehlerhaften Konfiguration.
Auf dem Exchange-Server im IIS sieht man dann das Problem:
Das Blackberry gibt das persönliche Zertifikat nicht weiter (HTTP 400).
Mit dem integrierten BB-Browser habe ich mich dann direkt auf den ActiveSync-Namespace verbunden. Wenn man hier im IIS-Log nachsieht, sieht man, dass das Zertifikat weitergereicht wird.
Warum im Browser und nicht beim ActiveSync?
Nach einer kurzen Recherche im Internet fand ich diverse Forenbeiträge von BB Z10-Nutzern die genau dasselbe Problem haben. Die Lösung: Einen Blackberry Enterprise Server (BES) installieren, hierüber lassen sich die Zertifikate den Mail-Profilen zuordnen!
Damit wollte ich mich zunächst nicht mit zufrieden geben und habe versucht Kontakt mit Blackberry aufzunehmen. Scheinbar gibt es aber keine Hotline für Smartphone-Besitzer, sondern nur einen twitter-Channel und das Community-Forum. Ich persönlich hätte ja auch Geld bezahlt um mit einem qualifizierten Techniker ein Telefonat führen zu können, aber gut, dann halt nicht :(.
Twitter/Facebook etc. kommen bei mir per se nicht in Frage, ich habe keine Account und möchte dort auch keine Accounts anlegen. Der Wunsch Zertifikate direkt im Gerät an Profile zu binden ist nicht neu (siehe http://forums.crackberry.com/blackberry-10-os-f269/import-certificate-access-corporate-email-769439/ oder https://www.reddit.com/r/sysadmin/comments/1x7r9o/certificate_authentication_without_a_bes/
Der Beitrag im englischsprachigen Community-Forum ist bis heute unbeantwortet, leider.
Schade, ich hatte mich an das Blackberry schon gewöhnt. Aber mir einen Blackberry Enterprise Server für ein paar wenige Geräte dahinzustellen (welcher ebenfalls lizenziert werden muss, da der Blackberry Enterprise Server Express nicht für BB 10-Geräte verwendet werden kann), scheint mir nicht wirklich rentabel. Ich glaube auch nicht, dass es für Blackberry ein wirtschaftlicher Verlust wäre, die Funktion zu integrieren. Ab einer gewissen Unternehmensgröße ist das schon eine charmante Lösung mit dem BES, die sich dann auch rechnet.
Update (14.08.2016): Leider hat sich an dem Thema nichts geändert, auch scheint nun das Blackberry eigene OS nun gefühlt einem von Blackberry gehärteten Android weichen zu müssen. Das Einstiegmodell hier war das Blackberry PRIV, hier kann man meiner Meinung nach aber nicht mehr von QWERTZ reden. Zwar ist diese Tastatur existent aber wohl eher drangebastelt denn mit Liebe in das Design integriert worden. Ich habe mir nun ein Nokia E6 mit Symbian gebraucht beschafft. Nokias Smartphone Entwicklung ist zwar nicht mehr "existent" aber das Gerät scheint auch so ausgereift zu sein.
ActiveSync mit CBA kein Problem und der Akku hält sehr lange. Die Tastatur ist etwas kleiner als beim Q10 von der Habtik aber sehr ähnlich, mir gefällts ;).