Nedávno jsem narazil na problém, kdy Outlook fungoval bez problémů, avšak zařízení se systémem Android, zejména mobilní telefony, při konfiguraci schránky Exchange prostřednictvím aplikace Gmail hlásily chybu, že certifikát je neplatný. Chyba byla:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Při kliknutí na tlačítko Upřesnit jsme dostali další upřesnění, že certifikát není důvěryhodný. Rychle jsme však viděli, že zařízením se systémem Android je prezentován správný certifikát a zjevně se nejedná o problém s datem.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Poté jsme certifikát otestovali pomocí nástroje DigiCert SSL Certificate Checker. Jedná se o skvělý nástroj, který potvrdí, že je certifikát správně nainstalován a že cesta k certifikátu je platná. Pomocí tohoto nástroje můžete zkontrolovat jakýkoli certifikát. Nemusí se jednat o certifikát vydaný společností DigiCert. V našem případě jsme pomocí tohoto nástroje testovali certifikát GoDaddy.
Brzy jsme zjistili, že je problém s chybějícím zprostředkujícím certifikátem. Obvykle se vyžaduje, aby v případě, že certifikát nemá přímou cestu ke kořenové certifikační autoritě, byly nainstalovány také certifikáty všech zprostředkujících autorit, aby byl řetězec certifikátů kompletní. V našem případě jsme potřebovali nainstalovat chybějící zprostředkující certifikát GoDaddy.
Při stahování certifikátu většina poskytovatelů certifikátů přibaluje zprostředkující certifikáty do stejného souboru zip. Většina poskytovatelů však také zveřejňuje úložiště všech svých zprostředkujících certifikátů. Úložiště společnosti GoDaddy najdete zde.
Diagnostický nástroj společnosti DigiCert nám poskytl několik dobrých rad (a článků podpory) ohledně běžných míst, kam je třeba nainstalovat zprostředkující certifikáty. V našem případě jsme však publikovali Exchange prostřednictvím nástroje Kemp Load Balancer, takže jsme věděli, že je to nejlepší místo, kde začít.
Přidání zprostředkujících certifikátů k load balanceru
Poznámka: Tento článek obsahuje kroky pro Kemp LoadMaster. Stejné principy však platí pro všechny load balancery.
Chcete-li zkontrolovat přítomnost zprostředkujících certifikátů na load balanceru Kemp, přihlaste se na Kemp a přejděte do části Certifikáty & Zabezpečení > Zprostředkující certifikáty. Na této obrazovce se zobrazí všechny certifikáty aktuálně nainstalované ve vašem zařízení pro vyrovnávání zátěže Kemp. Pokud nejsou nainstalovány žádné zprostředkující certifikáty, zobrazí se pouze možnost Přidat nový zprostředkující certifikát.
V takovém případě klikněte na tlačítko Vybrat soubor a vyberte zprostředkující certifikát. Do pole Název certifikátu zadejte název zprostředkujícího certifikátu. Tento název nesmí obsahovat mezery. Můžete však použít znaky, jako jsou podtržítka nebo pomlčky. Klepněte na tlačítko Přidat certifikát.
Objeví se vyskakovací okno, že certifikát byl úspěšně nainstalován. Klepněte na tlačítko Ok. V tomto okamžiku se nyní certifikát zobrazí na stejné stránce, kde můžete přidat další zprostředkující certifikáty. Tato tabulka se může časem naplnit a zobrazit více zprostředkujících certifikátů.
Přidání zprostředkujících certifikátů do služby IIS
Pokud máte ve svém prostředí jediný server Exchange, pak je pravděpodobné, že budete muset nainstalovat zprostředkující certifikát na samotný server Exchange. To provedete pomocí modulu snap-in Certificates MMC. Postup:
Klepněte na tlačítko Start a zadejte příkaz MMC. Ve výsledcích vyhledávání vyberte MMC, čímž otevřete Konzolu pro správu společnosti Microsoft.
V konzole MMC vyberte nabídku Soubor a následně Přidat/Odebrat snapin.
Zvolte Certifikáty a klikněte na Přidat. V průvodci vyberte Účet počítače > Místní počítač > Dokončit. Klikněte na tlačítko Ok.
Zpět na konzole rozbalte položku Certifikáty (Místní počítač) > Zprostředkující certifikační autority. Klikněte pravým tlačítkem myši na položku Certifikáty a z kontextové nabídky vyberte Všechny úlohy > Importovat.
Na úvodní stránce klikněte na tlačítko Další.
Na stránce Soubor k importu klikněte na tlačítko Procházet a vyberte svůj zprostředkující certifikát. Klepněte na tlačítko Otevřít. Klikněte na tlačítko Další.
Na stránce Úložiště certifikátů ponechte výchozí nastavení Umístit všechny certifikáty do následujícího úložiště a Zprostředkující certifikační autority. Tím se zprostředkující certifikát umístí pod správný uzel. Klikněte na tlačítko Další.
Klikněte na tlačítko Dokončit. Zobrazí se výzva, že import proběhl úspěšně. Klepnutím na Ok oznámení zrušíte.
Certifikát se poté objeví v části Certifikáty (Místní počítač) > Zprostředkující certifikační autority > Certifikáty.
Kontrola práce
V tomto okamžiku můžete instalaci certifikátu znovu otestovat pomocí nástroje DigiCert SSL Certificate Checker. Ve výsledcích byste nyní měli vidět řetězec, který obsahuje právě nainstalovaný mezilehlý certifikát.
Po obdržení tohoto potvrzení od SSL checkeru jsme poté znovu otestovali naše zařízení se systémem Android a mohli jsme přidat schránku Exchange bez dalších chyb.
.