Als stolzer Besitzer meines HTC Mozarts möchte ich gerne auch meine Firmen-Emails und Kalender von unserem Exchange haben. Leider verweigerte das Telefon die Synchronisation mit der kryptischen Fehlermeldung „80072F0D“ und einem Zertifikatsfehler.

Viele Seiten geben Hinweise, wie man selbst signierte Zertifikate auf dem Telefon installiert, aber das ist nur die „halbe“ Wahrheit.

Das Windows Phone braucht einen komplett geschlossene und vertrauenswürdige Zertifikatskette.
Dazu gehören,

  • dass das Root Zertifikat der auszustellenden Zertifikatsstelle im Telefon installiert ist, und das Root Zertifikat nicht abgelaufen ist
  • dass der ISS der die OWA Seiten bedient ein SSL Zertifikat hat, und das Zertifikat gültig ist (nicht abgelaufen, im Speicher für Vertrauenswürdige Zertifikate)
  • dass der Exchange diese Zertifikatsstelle ebenfalls in seinem Speicher für vertrauenswürdige Zertifikate hat,
  • dass alle Domainnamen für den Exchange in diesem Zertifikat enthalten sind.

Beim Export des Root Zertifikats sollte man darauf achten, dass man die korrekte CA wählt.

Der Exchange kann beispielsweise selber sein eigenes Zertifikat erstellen, meistens bezieht er seine Zertifikate aber von einem anderen Rechner in der Domäne. Hier also prüfen, welches Root Zertifikat man braucht.

In der Verwaltungskonsole für Internet Informationsdienste, die Website suchen, welche die OWA Seiten des Exchange Servers anbietet. Meistens die „Standard“ Website auf dem Exchange.

Dort in den Einstellungen unter der „Verzeichnissicherheit“-Karteikarte unter „Sichere Kommunikation“ das „Zertifikat anzeigen“.

In den Detail-Karteireitern sollte das Zertifikat keine Fehler aufweisen (beispielsweise kann IIS bemängeln, dass das Zertifikat nicht im Speicher für Vertrauenswürdige Zertifikatsstellen liegt).

Dieser Fehler muss behoben werden!

Wo man dann schon das Zertifikat offen hat:
In der Registerkarte „Details“ prüfen, dass unter dem Feld „Alternativer Antragstellername“ ALLE Namen des Exchange Servers aufgeführt sind, die für den korrekten Betrieb notwendig sind.

Insbesondere die externe URL die vom Windows Phone für die Synchronisation verwendet wird.

Also sollten beispielsweise folgende Namen enthalten sein:
DNS-Name=exchange.EXAMPLE.local (z.B.lokaler Name im Intranet)
DNS-Name=owa.EXAMPLE.com (Name über den „von Außen“ via https auf den Exchange zugegriffen wird. Diese Adresse bekommt auch das Windows Phone)
DNS-Name=mail.EXAMPLE.com (Name für MX Eintrag)
DNS-Name=autodiscover.EXAMPLE.com

Hat man also ein korrektes Root Zertifikat seiner Zertifikatsstelle an seinen eigenen PC verteilt und geprüft, dass auf dem Exchange die Zertifikate ebenfalls „vertraut“ werden, sollte man mit seinem Browser auf „https://owa.EXAMPLE.com/owa surfen, und das Zertifikat der Seite prüfen.

Beschwert sich der Browser nicht, exportiert man nun das korrekte Root Zertifikat, und überspielt es auf sein Telefon.

Entweder man schickt es sich an ein zweites Mailkonto dem das Telefon automatisch vertraut (z.B. Hotmail), oder man packt das Zertifikat auf einen Webserver (prüfen, dass der MIME Typ dem Webserver bekannt ist) und verlinkt mit einer kleinen HTML Seite auf das Zertifikat.

Sobald das Telefon dem Root Zertifikat dann vertaut, funktioniert auch die Synchronisation.

Zumindest solange, bis das Root Zertifikat abgelaufen ist, und man sich in 2 Jahren wundert, warum das Telefon nicht mehr synchronisiert.