none
Accesso mobile

    Domanda

  • [Exch. 2010] Ho configurato l'accesso a Exchange dall'esterno. Su
    Android e iPhone funziona ma su Win Phone 7 mi da un errore di
    certificato e non va avanti (la sola differenza con gli altri due
    sistemi, è che questo non dà modo di proseguire comunque).
    Mi collego tramite IP pubblico (https://IP_Pubblico/owa) e non tramite
    nome di dominio (https://remote.miodominio.it) ma mi sono reso conto
    che Exchange ha generato un certificato proprio per il nome, non per
    l'IP. Devo per forza registrare tale nome? Ci sono alternative per
    continuare ad usare l'IP
     
    lunedì 4 giugno 2012 11:44

Tutte le risposte

  • Non solo devi registrare il dominio a livello DNS ma devi anche creare un certificato attendibile su una CA pubblica, o in alternativa esportare il certificato che installato su exchange ed importarlo su tutti i dispositi.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx

    lunedì 4 giugno 2012 12:16
  • Quindi non c'è modo di usare l'indirizzo IP? Ma solo con Phone 7...
     
    lunedì 4 giugno 2012 12:20
  • Quindi non c'è modo di usare l'indirizzo IP? Ma solo con Phone 7...

    Il problema è che usando l'indirizzo IP sicurmante non sarà attendibile per il certificato sul server il quale risponde ad un certo CN o SAN, quindi per dispositivi come WP7 dove la verifica del certificato è essenziale potresti non riescire a scaricare la posta.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx

    lunedì 4 giugno 2012 14:41
  • >Il problema è che usando l'indirizzo IP sicurmante non sarà
    >attendibile per il certificato sul server il quale risponde ad un
    > certo CN o SAN, quindi per dispositivi come WP7 dove la verifica del
    >certificato è essenziale potresti non riescire a scaricare la posta.
     
    Non posso aggiungere un certificato con l'IP (come si poteva fare con
    il 2003)?
     
    martedì 5 giugno 2012 07:38
  • Ciao, puoi utilizzare anche un certificato autofirmato creato con una tua root ca interna oppure con selfssl.exe (fa parte del toolkit di iis 6). Funziona senza problemi, l'importante è che il record A esterno sia esattamente uguale al certificato che vai ad emettere. per capirci se hai un record exchange.nomeazienda.com crei il certificato ssl exchange.nomezienda.com in exchange ed assegni i servizi a quello. Una volta che lo esporti e lo carichi su WP7 (spededotelo via mail od aprendolo da un web browser) tutto fila liscio come l'olio. Ne ho parecchi fuori. In questo modo ti risparmi di comprare un certificato da una CA online.

    A.

    martedì 5 giugno 2012 08:42
  • Mi sto informando per la registrazione del nome "remote.miodominio.it".
     
    Nel frattempo ho voluto fare una prova:
    Ho aggiunto la voce "remote.miodominio.it" al DNS interno (che,
    ovviamente, punta all'IP interno del server). Ho verificato con OWA da
    un PC in rete, e funziona.
    Ho collegato lo smartphone alla WiFi interna e ho riconfigurato
    l'account per collegarsi al nome invece che all'IP, ma l'errore di
    certificato compare lo stesso (P.S. Collegandosi a OWA dal browser del
    telefono, il collegamento funziona, sia internamente che esternamente).
    Bisogna comunque importare "a mano" il certificato?
     
    martedì 5 giugno 2012 11:41
  • Ciao, puoi utilizzare anche un certificato autofirmato creato con una tua root ca interna oppure con selfssl.exe (fa parte del toolkit di iis 6). Funziona senza problemi, l'importante è che il record A esterno sia esattamente uguale al certificato che vai ad emettere. per capirci se hai un record exchange.nomeazienda.com crei il certificato ssl exchange.nomezienda.com in exchange ed assegni i servizi a quello. Una volta che lo esporti e lo carichi su WP7 (spededotelo via mail od aprendolo da un web browser) tutto fila liscio come l'olio. Ne ho parecchi fuori. In questo modo ti risparmi di comprare un certificato da una CA online.

    A.


    Se la spesa risparmiata sul certificato giustifica tutto l'effort di import del certificato sui dispositivi, calcolando che servizi come startssl.com eranogano certificati singolo nome gratuiti che per la stragrande maggioranza delle installazione vanno più che bene.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx

    martedì 5 giugno 2012 12:10
  • Ciao, esatto! Il certificato lo devi installare per forza sull'apparato WP7 altrimenti non va ne da dentro, ne da fuori. Via web ci vai (e vorrei anche vedere il contrario) perchè è una pagina web ma per usare outlook mobile devi installare un certificato ssl sull'apparto.

    Se vuoi fare delle prove da dentro devi installarti sul WP7 il certificato con cui girano i tuoi client Mapi, quindi probabilmente quello autofirmato di exchange. A differenza di Android o Iphone, WP vuole per forza l'installazione. Spezzo una lancia nel dire che è molto meglio a scapito della sicurezza e poi Outlook Mobile funziona veramente bene...un gioiellino!

    ;-)

    martedì 5 giugno 2012 12:11
  • Be'...l'effort è solo sui WP7. Android e Apple lo chiedono solo al primo avvio. Certo su una struttura grande non ha senso. Mi permetto però di mettere una postilla. L'autofirmato è l'unico modo di far funzionare i dispositivi mobili dietro server con dns dinamico. Mi dirai "e quando mai uno non ha un ip pubblico? Ho alcuni clienti che hanno questo problema o che hanno un ip fastweb nattato...in quel caso non si può fare diversamente perchè nessuno provider ti fa fare dei record A verso dns dinamici, tanto meno emittenti di certificati.

    A.

    martedì 5 giugno 2012 12:15
  • L'effort è oltre che sui WP7 anche per tutti gli outlook anywhere che si collegheranno al server fuori dalla rete. Per gli ip dinamici parliamo veramente di realtà microscopiche tendenti al casalingo e cmq nella parte dei SAN di un certificato puoi mettere quello che vuoi, infatti si inseriscono anche indirizzi locali.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx

    martedì 5 giugno 2012 14:11
  • Peppacci, 5 client base su sbs2011 con una Adsl 640...non è casalingo, è una piccola azienda, lo so, vi sembra assurdo ma qui lavoriamo anche così. L'effort di un "installa in fonti attendibili" su un certificato in anywhere porta via quanto...2 secondi in fase di configurazione? Poi sono d'accordo con te, è meglio un autodiscover con un certificato verisign. Ma funziona comunque allo stesso modo alla fine della corsa. o no?

    A.

     
    martedì 5 giugno 2012 15:05
  • Certo che quello che dici funziona, ma il concetto che vorrei esprimere è un altro. Non serve avere una rete di centenai di client per centralizzare i servizi o implementare un certificato attendibile anche per un solo WP. Le soluzioni ci sono, ed invistire una decina di ero al mese per avere degli ip pubblichi non mi sembra un investimento così gravoso, oppure l'aquistare un certificato su GoDaddy ed inserire nei SAN per esempio l'indirizzo di dyndns.org non mi sembra anche questo complicato. I vantaggi di questo tipo di soluzioni sono molteplici, vedi la pubblicazione del proprio MX abbandonando gli accrocchi dei connettori pop3 o l'implementazione di connessione TLS con qualche partner che più passa il tempo e più ne vedo di richieste del genere. Poi per carità, ognuno è libero di gestire le proprie reti nel modo che ritiene più soddisfacente.

    Peppacci - MVP - Microsoft Exchange Server Microsoft MCP - MCTS - MCITP http://blogs.sysadmin.it/peppacci/Default.aspx

    martedì 5 giugno 2012 20:09
  • >Per gli ip dinamici parliamo veramente di realtà microscopiche
    >tendenti al casalingo
     
    Attenzione a non fare lo stesso ragionamento del nostro "amato" governo
    che snobba (anzi, ostacola) le piccole imprese "tendenti al casalingo"
    che sono tuttaltro che marginali, anzi sono, di fatto, alla base della
    nostra economia.
    Forse queste aziende non avranno bisogno di infrastrutture informatiche
    ultracomplesse, ma, anche in virtù della maggior semplicità e minori
    costi di implementazione di sistemi "semplici" (un singolo server SBS
    per me rientra in questa fascia) possono sfruttare i vantaggi dati da
    un server.
     
    mercoledì 6 giugno 2012 08:57
  • Sky, penso che Peppacci non volesse trasmettere questo. Il suo discorso è giustissimo, ma sicuramente opera in posti e vede panorami diversi dai miei. Per me pubblicare un record MX è spesso una chimera perchè la connettività è penosa. L'ip pubblico è vero, costa pochi soldi, ma tante volte uno singolo non te lo danno, ne devi prendere 4 e devi cambiare il router, quindi altra spesa. So benissimo anche io come dovrebbero essere fatte le cose e mi piacerebbe poterle sempre fare corrette. Ma preferisco "accrocchiare" che richiare di stare 2gg senza record in piedi e perdere le mail, almeno lascio una copia sul provider ed il clente non perde nulla, se poi si può parlare di accrocchi, perchè i connettori pop3 di terze parti funzionano veramente bene. Perchè esisterebbero? Per fare casino? Non credo.

    Se posso farmi un certificato che funziona ha uno sutpido single name e non devo far pagare 50€ l'anno al mio cliente glielo faccio, tanto la config degli apparati la faccio io. Se ho 50 client non ci penso nemmeno, chiaro. Ma ho tante microrealtà che usano le grandi tecnologie e ne vado fiero. Per questo ogni tano qui mi scontro anche in maniera vivace con le soluzioni, sono perfette, non c'è che dire, ma di strutture perfette nel mio mondo ce ne sono poche e quello che è accademia e DEVE funzionare perchè è così, non funziona sempre aimè. Fermo restando che il buon Peppacci ha ragione, su questo non ho dubbi, ma se "funziona" io sono a posto così, non voglio eleganza, voglio solo non avere problemi e finchè non ne ho vuol dire che il metodo è comunque giusto, poi ci sono tante soluzioni più belle e corrette!

    Ciao Bella gente.

    A.

    mercoledì 6 giugno 2012 11:24
  • Probabilmente sono stato mal interpretato. La risposta a Peppacci era
    solo per evidenziare quanta poca attenzione ci sia (in generale) nei
    riguardi delle imprese piccole e piccolissime, sia a livello
    politici/economico, sia dal punto di vista tecnico e questo è, secondo
    me, più grave perché richiederebbe modifiche sostanzialmente limitate
    ai prodotti in commercio (parlando di sistemi tipo SBS)
     
    mercoledì 6 giugno 2012 12:30
  • Tanto per capire, il certificato da esportare è quello che trovo in
    \\nomeserver\public\downloads\Certificate Distribution Package?
     
    mercoledì 6 giugno 2012 12:32
  • apri l'mmc, aggiungi snapin certificati, scegli computer e questo computer.

    Ti sposti nei personal e dovresti avere solo quello. Ci vai sopra e lo esporti in modalità x509.cer senza chiave privata.

    Attento però che deve combaciare col tuo record esterno dns. Se quindi hai un record fuori che si chiama exchange.pippo.it anche il certificato che il server usa si deve chiamare così. Di solito invece si chiama exchange.local a quel punto ne devi emettere uno che si chiami giusto ed assegnare a quello i servizi. Sul 2010 lo fai da dentro la console di exchange\gestione certificati sotto "server" se è un 2007 lo devi fare a manina con l'enable-exchangecertificate.

    A.

    mercoledì 6 giugno 2012 12:38
  • Grazie per la guida.
    Ho esportato il certificato "remote.miodominio.it" (è già col nome
    giusto). Poi lo invierò via mail al telefono del cliente e farò una
    prova
     
    mercoledì 6 giugno 2012 14:28
  • ciao,

    avevo provato anch'io a suo tempo ma con scarso successo...

    alla fine ho acquistato un certificato (di tipo 123) e ho risolto tutto.

    va alla meraviglia in https e senza problemi... :)


    .: stefano ropele :.

    sabato 9 giugno 2012 16:21
  • Scusa Skywalker,

    Abbiamo ancora la tua richiesta aperta nel Forum di Exchange Server.

    Per cortesia, se le dritte ricevute ti sono tornate utili, ricorda di cliccare su "Segna come Risposta", in questo modo puoi ringraziare i partecipanti nella discussione e aiutare gli altri utenti che leggeranno il thread a trovare la soluzione.

    Grazie a tutti della partecipazione nel forum,


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 11 giugno 2012 10:46
  • Ho potuto provare giusto adesso.
    Non serve esportare alcun certificato nuovo come alcuni affermavano,
    basta spedirsi ed installare quello presente nella cartella
    "public\downloads".
    Non mi hanno ancora attivato il nome "remote.miodominio.it" ma visto
    che il telefono è configurato per cercare quell'indirizzo ed il DNS
    interno fa il suo dovere, per ora ho potuto provare solo dalla rete
    interna, e funziona.
     
    lunedì 11 giugno 2012 11:07
  • ciao,

    avevo provato anch'io a suo tempo ma con scarso successo...

    :-) Ci ho messo un anno per capire come farlo funzionare...senza aiuto non è facile. Ma...soddisfazione!!! :-)

    Sky, da dentro certo che funziona ragazzaccio, ma quando esci dall'azienda e cerca il server.nomedominio.local non va più! Di qui un certificato che abbia lo stesso SAN dentro e fuori...;-)

    A.

    lunedì 11 giugno 2012 13:10
  • Io nel telefono come server ho messo "remote.nomedominio.it", però
    finché non mi attivano l'indirizzo esterno, non posso fare verifiche
     
    martedì 12 giugno 2012 07:26