Sie verwenden selbstsignierte Zertifikate für den Cortado-Server und haben keinen SCEP- bzw. NDES-Server im Einsatz? Wie Sie Ihre mobilen Geräte trotzdem mit Hilfe von Client-Zertifikaten gegenüber Infrastrukturkomponenten (wie z. B. einem WLAN-Accesspoint, einem Exchange-Server bzw. einem VPN-Server) authentifizieren können, erfahren Sie in diesem How-To am Beispiel eines Exchange-Profils.
Ziel
Sie möchten die Exchange-Konten Ihrer Nutzer via MDM verwalten. Die Kommunikation zwischen den mobilen Geräten und dem Exchange-Server soll dabei zusätzlich mittels Client-Zertifikaten abgesichert werden. Das heißt, die mobilen Geräte müssen sich mit Client-Zertifikaten gegenüber dem Exchange-Server authentifizieren. Mit dem Cortado-Server können Sie die Client-Zertifikate zusammen mit einem Exchange-Profil an die Geräte Ihrer Nutzer verteilen.
Umsetzung
- Erstellen Sie zuerst die Client-Zertifikate für Ihre Nutzer auf Vorrat und legen diese in einem Verzeichnis ab, welches für den Cortado-Server erreichbar ist. Die Zertifikate sollten im .pfx-Format vorliegen und alle das selbe Passwort haben. Benennen Sie die Zertifikate nach dem UPN des Nutzers.
- Erstellen Sie anschließend in der Cortado Managementkonsole unter Control Panel→ Profiles ein neues Zertifikat-Profil (linker Pfeil im Bild).
- Wählen Sie danach Global Profiles→ Certificate (rechter Pfeil im Bild).
- Tragen Sie einen Display name für Ihr Zertifikat-Profil ein (frei wählbar).
- Wählen Sie One certificate for each profile user (linker Pfeil im Bild).
- Tragen Sie nun den Pfad zu dem Ordner mit den .pfx-Dateien (rechter Pfeil im Bild) und das Zertifikat-Passwort (mittlerer Pfeil im Bild) ein.
- Erstellen Sie anschließend ein Exchange-Profil (beispielsweise für iOS) unter Control Panel→ Profiles.
- Tragen Sie hier unter Exchange ActiveSync host die Adresse Ihres Exchange-Servers ein (linker Pfeil im Bild).
- Wählen Sie unter Identity certificate das zuvor erstellet Zertifikat-Profil aus (rechter Pfeil im Bild).
- Wählen Sie das Profil anschließend aus (unterer Pfeil im Bild) und weisen Sie es mit Klick auf Assign (oberer Pfeil im Bild) den betreffenden Nutzern/Gruppen/Geräten zu.
Der Cortado-Server greift jetzt auf das angegebene Verzeichnis zu und sendet das jeweils richtige Client-Zertifikat zum Exchange-Server sobald ein Nutzer seine E-Mails abruft.