For nylig opstod der et problem, hvor Outlook fungerede fint, men Android-enheder, især mobiltelefoner, gav en fejlmeddelelse om, at certifikatet var ugyldigt, når de konfigurerede en Exchange-postkasse via Gmail-appen. Fejlen var:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Når vi klikkede på Avanceret fik vi mere klarhed om, at certifikatet ikke var tillid til. Vi kunne dog hurtigt se, at det korrekte certifikat blev præsenteret for Android-enhederne, og det var tydeligvis ikke et problem med datoen.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Vi testede derefter vores certifikat med DigiCert’s SSL Certificate Checker. Dette er et godt værktøj til at bekræfte, at certifikatet er installeret korrekt, og at certifikatstien er gyldig. Du kan kontrollere ethvert certifikat med dette værktøj. Det behøver ikke at være et certifikat udstedt af DigiCert. I vores tilfælde testede vi vores GoDaddy-certifikat med dette værktøj.
Vi fandt hurtigt ud af, at der var et problem med et manglende mellemliggende certifikat. Det er typisk et krav, at når et certifikat ikke har en direkte sti til rodcertifikatmyndigheden, at du også skal installere certifikaterne for eventuelle mellemliggende myndigheder for at fuldføre certifikatkæden. I vores tilfælde var vi nødt til at installere det manglende GoDaddy-mellemliggende certifikat.
Når du downloader dit certifikat, bundler de fleste certifikatudbydere de mellemliggende certifikater i den samme zip-fil. De fleste udbydere offentliggør dog også et arkiv med alle deres mellemliggende certifikater. Du kan finde GoDaddys repository her.
DigiCerts diagnostiske værktøj gav os nogle gode råd (og supportartikler) om almindelige steder, hvor mellemliggende certifikater skulle installeres. I vores tilfælde udgav vi dog Exchange via en Kemp Load Balancer, så vi vidste, at dette var det bedste sted at starte.
Tilføjelse af mellemliggende certifikater til en load balancer
Bemærk: Denne artikel indeholder trinene for en Kemp LoadMaster. De samme principper gælder dog for alle load balancere.
For at kontrollere tilstedeværelsen af mellemliggende certifikater på en Kemp load balancer skal du logge på Kemp’en og navigere til Certifikater & Sikkerhed > Mellemliggende certifikater. Dette skærmbillede viser alle certifikater, der i øjeblikket er installeret på din Kemp load balancer. Hvis der ikke er installeret nogen mellemliggende certifikater, vil du kun se muligheden for at tilføje et nyt mellemliggende certifikat.
I så fald skal du klikke på Choose File (Vælg fil) og vælge det mellemliggende certifikat. I feltet Certificate Name (Certifikatnavn) skal du angive et navn til det mellemliggende certifikat. Dette navn må ikke indeholde mellemrum. Men du kan bruge tegn som f.eks. understregninger eller bindestreger. Klik på knappen Tilføj certifikat.
Du får en popupmeddelelse om, at certifikatet er blevet installeret med succes. Klik på Ok. På dette tidspunkt vil certifikatet nu blive vist på den samme side, hvor du kan tilføje yderligere mellemliggende certifikater. Denne tabel kan fyldes op over tid for at vise flere mellemliggende certifikater.
Tilføjelse af mellemliggende certifikater til IIS
Hvis du har en enkelt Exchange-server i dit miljø, er der stor sandsynlighed for, at du skal installere det mellemliggende certifikat på selve Exchange-serveren. Det gør du med MMC-snap-in’en Certifikater. Sådan gør du det:
Klik på Start, og skriv MMC. Vælg MMC i søgeresultaterne for at åbne Microsoft Management Console.
Fra MMC-konsollen skal du vælge menuen Filer efterfulgt af Tilføj/fjern snapin.
Vælg Certifikater, og klik på Tilføj. I guiden skal du vælge Computerkonto > Lokal computer > Afslut. Klik på Ok.
Tilbage på konsollen udvider du Certificates (Local Computer) > Intermediate Certification Authorities (Certifikater (lokal computer) > Mellemliggende certificeringsmyndigheder). Højreklik på Certifikater, og vælg Alle opgaver > Importere i kontekstmenuen.
På velkomstsiden skal du klikke på Næste.
På siden Fil til import skal du klikke på Gennemse-knappen og vælge dit mellemliggende certifikat. Klik på Åbn. Klik på Næste.
På siden Certifikatlager beholder du standardindstillingerne Placer alle certifikater i følgende lager og Mellemliggende certificeringsmyndigheder. Dette vil placere det mellemliggende certifikat under det korrekte knudepunkt. Klik på Næste.
Klik på Afslut. Du får en meddelelse om, at importen er lykkedes. Klik på Ok for at afvise meddelelsen.
Certifikatet vises derefter under Certifikater (lokal computer) > Mellemliggende certificeringsmyndigheder > Certifikater.
Kontrol af dit arbejde
På dette tidspunkt kan du teste certifikatinstallationen igen med DigiCerts SSL Certificate Checker. I resultaterne bør du nu se en kæde, der omfatter det mellemliggende certifikat, du netop har installeret.
Når vi modtog denne validering fra SSL-checkeren, testede vi derefter vores Android-enheder igen og kunne tilføje en Exchange-postkasse uden yderligere fejl.