HTC Touch Diamond / WPA2 / PEAP / Windows Server 2003

Szenario: HTC Touch Diamond über WPA2 AES mit Hilfe von RADIUS/IAS an das Firmen-Netzwerk anbinden.

Nicht nur ich, sondern auch andere Personen haben das Problem, dass der Wifi-Manager im HTC Touch Diamond bei ausgewähltem PEAP meldet, dass man ein persönliches Sicherheitszertifikat benötigt.
Im Internet gibt es einige Hinweise, dass man entweder ValidateServerCert auf “0” setzen soll -so habe ich es vor einigen Tagen auch in diesem Blog geschrieben- oder aber, dass man Securew2 benutzt.
Beides reichte bei unserem Netzwerk nicht aus. Deshalb hier eine kurze Anleitung, wie es funktioniert.

Zuerst muss auf dem Domänen-Controller – bei uns ist das ein Windows Server 2003 R2 – das Server-Zertifikat exportiert werden. Microsoft stellt dazu unter http://www.microsoft.com/downloads/details.aspx?FamilyID=6123EB55-6590-4643-8E7F-11C177104DE2&displaylang=en das Tool SslChainSaver zur Verfügung. Dies muss auf der Kommandozeile aufgerufen werden:

sslchainsaver $DOMAENENCONTROLLER

Man erhält nun zwei XML-Dateien und einige Zertifikate. Das Windows Mobile 6-Zertifikat ($DOMAENENCONTROLLER.wm6.xml) muss in _setup.xml umbenannt und danach zu einer CAB gepackt werden:

makecab _setup.xml domaene_rootcert.wm6.cab

Die domaene_rootcert.wm6.cab muss auf das HTC Touch Diamond kopiert und installiert werden. Unter Einstellungen > System > Sicherheitszertifikate sollte nun die Zertifizierungsstelle erscheinen.

Als nächstes folgt der Export des Benutzerzertifikats nach PCKS#12. Auch hier gibt es wieder viele Anleitungen wie man das macht: Unter Windows Server 2003 die MMC starten, das Zertifizierungsstellen-Snap-In laden (muss mit dem Domänen-Controller verbunden werden) und dann unter Ausgestellte Zertifikate den Benutzer auswählen, Details > In Datei kopieren und PKCS#12 auswählen. Aus welchen Gründen auch immer war die PCKS#12-Option bei unserem Server deaktiviert.

Deshalb gilt nun folgendes: Auf einem Client-Computer den Internet Explorer starten und die Adresse http://$DOMAENENCONTROLLER/certsrv aufrufen und sich mit seinem Benutzernamen und Passwort authentifizieren. Nun muss ein neues Benutzer-Sicherheitszertifikat im PCKS#10-Stil angefordert werden. Dieses muss nach der Erzeugung in der Zertifizierungsstelle logischerweise auch im IE installiert werden.

Danach kann man im IE 8 unter Extras > Internetoptionen > Inhalt > Zertifikate > Eigene Zertifikate sein eben gerade erstelltes Zertifikat auswählen und dieses als PCKS#12 exportieren.
Die exportierte Datei muss ebenfalls auf das HTC Touch Diamond kopiert und danach mit einem Doppelklick installiert werden.

Nun kann die WLAN-Verbindung über PEAP und ohne Securew2 erfolgen.

Comment ( 1 )

  1. / ReplyWindows Mobile 6.5, ActiveSync und die Zertifikate « Bathroom Reading
    [...] Eine Anleitung, die beschreibt wie man an die Zertifikate kommt, findet sich zum Beispiel im Biba Blog. Posted by bathroomreading Filed in Windows & Vista Tags: windows mobile, zertifikate No [...]

Leave a reply

Your email address will not be published.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>