none
iPhone e certificati autogenerati RRS feed

  • Domanda

  • Buon giorno,

       ho un server Exchange server 2013 interno Version 15.0 ‎(Build 1365.1)‎, il 12/10/2020 è scaduto il certificato e , come facevo gli anni passati, l'ho traquillamente rinnovato.

    I client outlook hanno registrato la modifica, i telefoni android pure, gli iphone hanno deciso che non riescono più a verificare l'identità dl server.

    Ho provato a scaricare il nuovo certificato dal server e l'ho spedito all'iphone con un altro indirizzo email, l'ho salvato ed aggiunto ai profili, da li ho installato il profilo e lo ritrovo correttamente installati soto impostazioni -> generali -> profili, ho cancellato l'account, raivviato il telefono ed aggiunto nuovamente la casella di posta.

    Il risultato non cambia:"impossibile verificare il server" e se clicco su dettagli vedo il certificato, segnalato in rosso non attendibile, ma in alto a destra non lo posso accettare come attendibile, ho solo il tasto "Annulla".

    Come posso risolvere?

    Qualcuno a qualche idea?

    Grazie

    mercoledì 21 ottobre 2020 10:22

Tutte le risposte

  • Risposta semplice:

    1. Compri e installi un certificato SAN (scegline uno decente)
    2. Ti installi un certificato SAN  let's encrypt come fare su exchange

    Di solito con i self signed e iphone risolvevo installando il certificato...

    C'era un Blog di Microsoft, ora non c'è piu, l'autore ha pubblicato questo:

    https://uclobby.com/2014/01/09/installing-private-ca-root-certificate-on-ios-devices/

    in più

    Exchange Self Signed Certificates (Trust Issues with iOS 11

    Nothing is known about your certificate but it might be that it is not meeting the new requirements introduced in iOS 13. Requirements for trusted certificates in iOS 13 and macOS 10.15 describes these and these include that RSA keys must be at least 2048 bits and it is no longer possible to use SHA-1 as signature algorithm.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    mercoledì 21 ottobre 2020 19:56
    Moderatore

  • Di solito con i self signed e iphone risolvevo installando il certificato...


    dopo te le votano come utili? ;-)..hai preso un link ad una iOS 11 indietro di 3 anni..infatti, forse 3 anni fa installavi il certificato e basta.

    Da iOS 12 bisognava installare per forza anche la CA interna. altrimenti non andavano i tasks tra l'altro.

    Da iOS 13 non funziona più (quindi più di 2 anni quasi) e serve per forza un terze parti perchè alla prima update reimposta le chain trusted interne del repository centrale ed ogni settimana sei lì a ributtare dentro chain e certificato. 

    Dalla 14 (20 Settembre 2020) sei obbligato.

    Quindi su TUTTE le mele di ultima generazioni se vuoi exchange ti serve un certificato di un ente esterno.

    Se vai su Limenex costano 18€ all'anno. Ad oggi (da Agosto 2020) NON puoi più avere certificati che durano 2 anni. Su tutti i vendor online quindi anche se lo compri per 3, ogni anno devi fare request\renew e stai all'occhio alla scadenza.

    Let's Encrypt mettilo sul server del gattino. Usa una piattaforma di vendita blasonata. LASCIA PERDERE IL FREE sul server in produzione. Per 18€ all'anno non ha proprio senso. 

    Buon Proseguimento.

    A.

    giovedì 22 ottobre 2020 14:41
    Moderatore
  • LA situazione è questa:

    • il precedente certificato andava prima della scadenza 
    • quello attuale appena creato non funziona 

    Il precedente, l'avevi creato tu? quello nuovo è stato creato allo stesso modo?

    verifica  le info sul tuo certificato https://www.ssllabs.com/ssltest/

    se rispondono ai requisiti più stringenti

    https://support.apple.com/it-it/HT204477


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here



    giovedì 22 ottobre 2020 19:52
    Moderatore
  • Buon giorno,

      grazie per tutte le informazioni, ma avrei bisogno ancora di aiuto per capire. Ho visto il sito Limenex, ma non capisco quale sia il certificato corretto per il server Exchange.

    Secondo lei esiste anche su register.it un certificato SSL valido per il server in questione?

    Ma Apple non poteva fare come Android, che se io gli dico di accettare il certificato poi funziona???

    Perché devono complicarci la vita?

    lunedì 2 novembre 2020 07:16
  • Buon giorno,

      il precedente cerificata era stato creato in fase di installazione, quello nuovo l'ho creato rinnovandolo da interfaccia web.

    Altro non so.

    lunedì 2 novembre 2020 07:47
  • Buon giorno,

      grazie per tutte le informazioni, ma avrei bisogno ancora di aiuto per capire. Ho visto il sito Limenex, ma non capisco quale sia il certificato corretto per il server Exchange.

    Secondo lei esiste anche su register.it un certificato SSL valido per il server in questione?

    Ma Apple non poteva fare come Android, che se io gli dico di accettare il certificato poi funziona???

    Perché devono complicarci la vita?

    Register mi dice di comprare questo

    Certificato InstantSSL OV

    che costa 95,00 €/anno...

    lunedì 2 novembre 2020 09:06
  • Su Limenex devi prendere il Comodo Positive Multi SAN SSL, è verso la fine, 1,5$ al mese sono 18€ all'anno circa.

    lunedì 2 novembre 2020 09:46
    Moderatore

  • Ma Apple non poteva fare come Android, che se io gli dico di accettare il certificato poi funziona???

    Perché devono complicarci la vita?

    Perchè se io ti emetto un certificato farlocco e tu lo accetti senza sapere cosa sia mi fai entrare nel tuo dispositivo. E' la base della security. Se tu accetti a prescindere perchè "così funziona" allora c'è un problema di fondo. ;-)

    lunedì 2 novembre 2020 10:17
    Moderatore
  • Buon giorno,

      sul sito ho trovato questo:

    Comodo Positive SSL Multi-Domain Certificate (2 SAN included)

    a 18,90 $/y

    Per caso ha una guida per crearlo e poi configurarlo sull'Exchange server ed eventualmente sui telefoni della mela morsicata? E' un procedimento che non ho mai fatto e farlo su un server in produzione, devo farlo funzionare al primo colpo... :P

    Grazie


    lunedì 2 novembre 2020 14:28
  • Si ho capito...però il Technet non è formazione. E risoluzione dei problemi. Altrimenti ti facciamo la fattura. :-) 

    Io ti scrivo gli step. E poi te la sgavagni da solo. Altrimenti chiami un professionista che lo fa. Se no diventa un farsi fare il lavoro dagli altri. 

    - Emetti la request del certificato dalla Exchange console inserendo dentro il nome fqdn esterno di exchange (tipo mail.azienda.com) e l'autodiscover (autodiscover.azienda.com) ci devono essere solo i 2 nomi nella request

    - compri il certificato

    - la posti nella req dell'emittente

    - validi la conferma con uno dei 3 metodi proposti

    - ti viene dato il certificato

    - lo importi nella ECP completano la request

    - gli attivi i servizi (pop\imap\iis\smtp)

    - riavvii IIS o il server

    Sui client non c'è da fare nulla e nemmeno sui mobile. Al massimo c'è da riconfermare la password se la richiede o riaccettare il certificato nuovo. Sia internamente che esternamente i nomi fqdn ed autodiscover devono essere risolvibili e puntare al tuo exchange.

    Come vedi non è una "procedurina" se la fai 5 volte al mese è semplice, prima volta primo colpo= chiama uno che la sa fare. Imho.

    ciao!

    A.

    lunedì 2 novembre 2020 14:36
    Moderatore
  • Si ho capito...però il Technet non è formazione. E risoluzione dei problemi. Altrimenti ti facciamo la fattura. :-) 

    Ha perfettamente ragione, difatti ho chiesto una guida da consultarmi in autonomia, ma ...

    Io ti scrivo gli step. E poi te la sgavagni da solo. Altrimenti chiami un professionista che lo fa. Se no diventa un farsi fare il lavoro dagli altri. 

    [...]

    la sua gentilezza è andata oltre e mi ha scritto direttamente gli step! :D

    Quindi grazie mille.

    Come vedi non è una "procedurina" se la fai 5 volte al mese è semplice, prima volta primo colpo= chiama uno che la sa fare. Imho.

    Conosce qualcuno? :P

    Vi aggiorno appena ho terminato.

    Ancora grazie

    lunedì 2 novembre 2020 16:08
  • :-) Non possiamo naturalmente consigliare sul Technet gente esterna. La soluzione migliore è cercare qualcuno vicino alla tua zona geografica che abbia competenze su Exchange. Sono sicuro che con un po' di ricerca qualcuno lo trovi!

    Ciao!

    A.

    lunedì 2 novembre 2020 18:02
    Moderatore
  • Buon giorno,

      sul sito ho trovato questo:

    Comodo Positive SSL Multi-Domain Certificate (2 SAN included)

    a 18,90 $/y

    Per caso ha una guida per crearlo e poi configurarlo sull'Exchange server ed eventualmente sui telefoni della mela morsicata? E' un procedimento che non ho mai fatto e farlo su un server in produzione, devo farlo funzionare al primo colpo... :P

    Grazie


    Se può servire

    https://docs.microsoft.com/en-us/exchange/mailbox-migration/add-an-ssl-certificate-to-exchange-2010

    https://www.lawtrust.co.za/news/2018/03/29/microsoft-exchange-2010---ssl-tls-certificate-installation-instructions


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    lunedì 2 novembre 2020 20:27
    Moderatore
  • Certificato richiesto, acquistato, installato.

    Ora anche gli iphone scaricano l'email dal server.

    Ho modificato gli indirizzi associati ad i vari servizi Exchange ed i Outlook 2010 hanno accettato il certificato senza battere ciglio.

    Gli Outlook da 2013 in avanti invece all'avvio si lamentano perchè il certificato è emesso per il nome esterno del server mentre loro continuano a puntare sul nome interno...

    Ho provato a ricreare il profilo usando il nome pubblico, su uno di questi client, e funziona senza problemi, quindi dovrò fare il giro su tutti i pc che hanno questo comportamento e rifare il profilo.

    Grazie

    giovedì 12 novembre 2020 08:27