MICROLINC - Probleme suchen Lösung
Zurück   Home

Blackberry Q10 - Zertifikatsbasierte Authentifizierung nur mit BES

  -  16.11.2015 - 12:03
Menü

Home
Microsoft Small Business Server 2011 Standard
Hardware
Windows
MS Office
Projekte
Support
Download
Peripherie
Sonstiges (Off-Topic)
Telefonie
Windows 8
Windows Mobile
Security-Software
DATEV
Virtualisierung Oracle virtualbox
nginx
Kryptographie
hMailServer
Android
Novell
Exchange
Server 2012 R2
AD Certificate Service (PKI) / Zertifizierungsstelle
System Center
Blackberry

Blackberry Q10 - Zertifikatsbasierte Authentifizierung nur mit BES

Microsoft Flow
Virtualisierung Microsoft Hyper-V
Ubiquiti
3CX
OneDrive
PowerShell
Azure
HAProxy
Defender
Teams


 
Autor:Thomas Windscheif last edit:14.08.2016 18:24

Link zu diesem Beitrag:


[Druckansicht]

certificate based authentication (CBA) mit Blackberry OS 10

Zwischenzeitlich war mir mein Smartphone kaputtgegangen. Also suchte ich nach Ersatz. Meine Anforderungen waren wie immer "nur":
  • Anbindung an Exchange ActiveSync mittels zertifikatsbasierter Authentifizierung.

  • QWERTZ-Tastatur

  • Praktikable Kalenderfunktionen

  • SMS-Sync über ActiveSync


Vor einiger Zeit liebäugelte ich schon mit Blackberry, seinerzeit war aber schon für rudimentäre Funktionen ein Blackberry Enterprise Server bzw. ein Abo beim Carrier notwendig. In den neueren OS-Versionen (hier OS 10) ist dies aber nicht mehr zwingend notwendig. Da ich auf Apps im Allgemeinen verzichten kann und auch die zusätzlichen Dienste von Blackberry nicht benötige, muss ich auch nicht zwingend eine Blackberry ID haben.

Ein Muss-Kriterium ist für mich, das CBA (certificate bases authentication) mit Exchange unterstützt wird. Heute eigentlich nichts tolles mehr. Jedes Android kann das nativ. Bei Blackberry dachte ich mir: Die legen von Natur aus auf Sicherheit wert, also werden Basisfunktionen wie Zertifikatsauthentifizierung wohl selbstverständlich dabei sein.

Nachdem ich das BB Q10 bestellt hatte, war ich zunächst sehr erfreut. Eine tolle Haptik, angenehme Telefonie. Die Tastatur ist am Anfang etwas gewöhnungsbedürftig, aber nach einiger Zeit schreibt man hier auch sehr flott. Mir persönlich fehlen die Hardware-Tasten für Gesprächsannahme und Auflegen, aber man kann nicht alles haben ;).

Zur Sicherheit hatte ich das Gerät vorab einmal Sicherheitsgelöscht (SWipe). Das dauert im Vergleich zu anderen Geräten extrem lang (bei mir 30 Minuten), spricht aber dafür, dass hier wirklich "sicher" gelöscht wird.

Am Anfang hatte ich der Zeit wegen das ActiveSync-Profil noch nicht eingerichtet und war zunächst mit einem "leeren" Telefon unterwegs. Was mich etwas nervte, war das ständige Popup von Blackberry, dass man eine Blackberry ID anlegen soll. Aber abhängigen Dienste (z. B. Blackberry Protect etc.) hatte ich im Menü aber abgeschaltet. Damit hätte ich aber auch noch leben können.

Dann aber wollte ich das ActiveSync-Profil einrichten. Zunächst das Root-Zertifikat importieren, dann das persönliche Zertifikat. Prüfen ob es im Zertifikatsmanager angezeigt wird (yeah, im Gegensatz zu Windows Phone gibt es das, man kann auch Zertifikate wieder entfernen - ohne Hardreset -)
Zur Sicherheit das BB nochmal neustarten. Dann Einrichtung des ActiveSync-Profils:
Die bekannten Parameter konfigurieren und "Go" -> Resultat: Meine Konfiguration wäre wohl nicht korrekt.
OK ?!
Also wiederholte ich das Ganze nochmal, es blieb aber bei der angeblich fehlerhaften Konfiguration.
Auf dem Exchange-Server im IIS sieht man dann das Problem:
Das Blackberry gibt das persönliche Zertifikat nicht weiter (HTTP 400).
Mit dem integrierten BB-Browser habe ich mich dann direkt auf den ActiveSync-Namespace verbunden. Wenn man hier im IIS-Log nachsieht, sieht man, dass das Zertifikat weitergereicht wird.
Warum im Browser und nicht beim ActiveSync?
Nach einer kurzen Recherche im Internet fand ich diverse Forenbeiträge von BB Z10-Nutzern die genau dasselbe Problem haben. Die Lösung: Einen Blackberry Enterprise Server (BES) installieren, hierüber lassen sich die Zertifikate den Mail-Profilen zuordnen!

Damit wollte ich mich zunächst nicht mit zufrieden geben und habe versucht Kontakt mit Blackberry aufzunehmen. Scheinbar gibt es aber keine Hotline für Smartphone-Besitzer, sondern nur einen twitter-Channel und das Community-Forum. Ich persönlich hätte ja auch Geld bezahlt um mit einem qualifizierten Techniker ein Telefonat führen zu können, aber gut, dann halt nicht :(.
Twitter/Facebook etc. kommen bei mir per se nicht in Frage, ich habe keine Account und möchte dort auch keine Accounts anlegen. Der Wunsch Zertifikate direkt im Gerät an Profile zu binden ist nicht neu (siehe http://forums.crackberry.com/blackberry-10-os-f269/import-certificate-access-corporate-email-769439/ oder https://www.reddit.com/r/sysadmin/comments/1x7r9o/certificate_authentication_without_a_bes/

Der Beitrag im englischsprachigen Community-Forum ist bis heute unbeantwortet, leider.

Schade, ich hatte mich an das Blackberry schon gewöhnt. Aber mir einen Blackberry Enterprise Server für ein paar wenige Geräte dahinzustellen (welcher ebenfalls lizenziert werden muss, da der Blackberry Enterprise Server Express nicht für BB 10-Geräte verwendet werden kann), scheint mir nicht wirklich rentabel. Ich glaube auch nicht, dass es für Blackberry ein wirtschaftlicher Verlust wäre, die Funktion zu integrieren. Ab einer gewissen Unternehmensgröße ist das schon eine charmante Lösung mit dem BES, die sich dann auch rechnet.

Update (14.08.2016): Leider hat sich an dem Thema nichts geändert, auch scheint nun das Blackberry eigene OS nun gefühlt einem von Blackberry gehärteten Android weichen zu müssen. Das Einstiegmodell hier war das Blackberry PRIV, hier kann man meiner Meinung nach aber nicht mehr von QWERTZ reden. Zwar ist diese Tastatur existent aber wohl eher drangebastelt denn mit Liebe in das Design integriert worden. Ich habe mir nun ein Nokia E6 mit Symbian gebraucht beschafft. Nokias Smartphone Entwicklung ist zwar nicht mehr "existent" aber das Gerät scheint auch so ausgereift zu sein.
ActiveSync mit CBA kein Problem und der Akku hält sehr lange. Die Tastatur ist etwas kleiner als beim Q10 von der Habtik aber sehr ähnlich, mir gefällts ;).



Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen (Novell/Micro Focus, Microsoft), Cloud-Lösungen (Office365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.

Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.


Login


QuickTag:  

 
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur?
Treten Sie gerne mit mir in Kontakt. Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern unterstütze ich Sie -auch kurzfristig- sehr gerne.

Nutzen Sie den Live Chat, xing, LinkedIn, das Kontaktformular oder den Mailkontakt

[News als RSS-Feed abonnieren]
News

vom 06.11.2023 - 18:05


- Safe Sender List unter Outlook leeren - Praktische Umsetzung -

Um die Safe Sender List unter Outlook zu leeren, gibt es verschiedene Möglichkeiten.
Die Richtlinienbasierte Option insbesondere für M365 Apps for Business-Kunden mit eingeschränkten Gruppenrichtlinien werden hier fündig.

https://www.microlinc.de/index.php?lev1=25&lev2=40&id=466


Weitere News:

Exchange Online Protection und die Safe Sender List


vom 26.10.2023 15:06


Exchange Online - Abschaltung Remote PowerShell Session (RPS)


vom 25.08.2023 14:37


Tool zum Konvertieren von Agfeo-Adressbüchern nach 3CX


vom 01.05.2023 16:47


Das Ende der Standardauthentifizierung - Wie bereite ich mein Unternehmen vor?


vom 03.08.2022 15:19


Sharepoint-Kalender unter Team freigeben


vom 17.07.2022 17:41


Exchange Update HAFNIUM-Exploit


vom 09.03.2021 09:27


Windows Server 2019 - LDAP out of memory exception


vom 16.09.2019 17:48


3CX V16 Call Control API mit PowerShell Core


vom 25.04.2019 11:41


Exchange Online SMTP TLS Report


vom 15.02.2019 18:04


TLS-Test für SMTP mit PowerShell


vom 10.12.2018 11:47


3CX Secure SIP via DIRECT-STUN mit yealink T46S


vom 08.09.2018 15:35


Exchange 2016 CU10


vom 25.06.2018 15:21


Apple iCloud Addin stört Outlook Kalenderfunktionen


vom 18.10.2017 13:24


.NET 4.7 released - Bitte nicht auf Exchange Servern installieren


vom 13.06.2017 21:52


Troubleshooting Exchange Health Manager Sensoren


vom 16.05.2017 21:06


Exchange 2016 - ActiveSync-Lesebestätigungen können nun unterdrückt werden


vom 09.03.2017 18:28


Exchange - Informationen an Dritte einschränken


vom 20.02.2017 01:53


Einen guten Start in das neue Jahr


vom 31.12.2016 19:21


Smart App Banner für OWA entfernen


vom 09.09.2016 20:15



[alle News auflisten]
Sitemap - Kontakt - Datenschutz & Disclaimer - Impressum