Kürzlich hatten wir ein Problem, bei dem Outlook gut funktionierte, Android-Geräte, insbesondere Mobiltelefone, jedoch eine Fehlermeldung ausgaben, dass das Zertifikat ungültig sei, wenn ein Exchange-Postfach über die Gmail-App konfiguriert wurde. Der Fehler lautete:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Wenn wir auf „Erweitert“ klickten, erhielten wir eine weitere Klarstellung, dass das Zertifikat nicht vertrauenswürdig sei. Wir konnten jedoch schnell erkennen, dass den Android-Geräten das korrekte Zertifikat angezeigt wurde und es sich eindeutig nicht um ein Problem mit dem Datum handelte.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Wir haben dann unser Zertifikat mit dem SSL-Zertifikatschecker von DigiCert getestet. Dies ist ein hervorragendes Tool, um zu bestätigen, dass das Zertifikat korrekt installiert und der Zertifikatspfad gültig ist. Sie können jedes Zertifikat mit diesem Tool überprüfen. Es muss nicht unbedingt ein von DigiCert ausgestelltes Zertifikat sein. In unserem Fall haben wir unser GoDaddy-Zertifikat mit diesem Tool getestet.
Wir haben schnell festgestellt, dass es ein Problem mit einem fehlenden Zwischenzertifikat gab. Wenn ein Zertifikat keinen direkten Pfad zur Stammzertifizierungsstelle hat, müssen Sie normalerweise auch die Zertifikate aller zwischengeschalteten Stellen installieren, um die Zertifikatskette zu vervollständigen. In unserem Fall mussten wir das fehlende GoDaddy-Zwischenzertifikat installieren.
Wenn Sie Ihr Zertifikat herunterladen, bündeln die meisten Zertifikatsanbieter die Zwischenzertifikate in der gleichen Zip-Datei. Die meisten Anbieter veröffentlichen jedoch auch ein Repository mit allen ihren Zwischenzertifikaten. Das Repository von GoDaddy finden Sie hier.
Das Diagnosetool von DigiCert gab uns einige gute Ratschläge (und Support-Artikel) zu den üblichen Orten, an denen Zwischenzertifikate installiert werden müssen. In unserem Fall veröffentlichten wir Exchange jedoch über einen Kemp Load Balancer, so dass wir wussten, dass dies der beste Ort war, um damit zu beginnen.
Zwischenzertifikate zu einem Load Balancer hinzufügen
Hinweis: Dieser Artikel beschreibt die Schritte für einen Kemp LoadMaster. Die gleichen Prinzipien gelten jedoch für alle Load Balancer.
Um das Vorhandensein von Zwischenzertifikaten auf einem Kemp Load Balancer zu überprüfen, melden Sie sich beim Kemp an und navigieren Sie zu Zertifikate & Sicherheit > Zwischenzertifikate. Auf diesem Bildschirm werden alle derzeit auf Ihrem Kemp Load Balancer installierten Zertifikate angezeigt. Wenn keine Zwischenzertifikate installiert sind, sehen Sie nur die Option zum Hinzufügen eines neuen Zwischenzertifikats.
Klicken Sie in diesem Fall auf Choose File und wählen Sie das Zwischenzertifikat aus. Geben Sie im Feld Zertifikatsname einen Namen für das Zwischenzertifikat ein. Dieser Name darf keine Leerzeichen enthalten. Sie können jedoch Zeichen wie Unterstriche oder Bindestriche verwenden. Klicken Sie auf die Schaltfläche Zertifikat hinzufügen.
Sie erhalten ein Popup, dass das Zertifikat erfolgreich installiert wurde. Klicken Sie auf Ok. Nun wird das Zertifikat auf derselben Seite angezeigt, auf der Sie weitere Zwischenzertifikate hinzufügen können. Diese Tabelle kann sich im Laufe der Zeit füllen und mehrere Zwischenzertifikate anzeigen.
Zwischenzertifikate zu IIS hinzufügen
Wenn Sie einen einzelnen Exchange-Server in Ihrer Umgebung haben, müssen Sie das Zwischenzertifikat wahrscheinlich auf dem Exchange-Server selbst installieren. Dies geschieht über das MMC-Snap-In „Zertifikate“. Dazu:
Klicken Sie auf Start und geben Sie MMC ein. Wählen Sie in den Suchergebnissen MMC, um die Microsoft Management Console zu öffnen.
Wählen Sie in der MMC-Konsole das Menü Datei und anschließend Snapin hinzufügen/entfernen.
Wählen Sie Zertifikate und klicken Sie auf Hinzufügen. Wählen Sie im Assistenten Computerkonto > Lokaler Computer > Fertigstellen. Klicken Sie auf Ok.
Zurück auf der Konsole erweitern Sie Zertifikate (Lokaler Computer) > Zwischenzertifizierungsstellen. Klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie im Kontextmenü Alle Aufgaben > Importieren.
Klicken Sie auf der Seite Willkommen auf Weiter.
Klicken Sie auf der Seite Zu importierende Datei auf die Schaltfläche Durchsuchen und wählen Sie Ihr Zwischenzertifikat aus. Klicken Sie auf Öffnen. Klicken Sie auf Weiter.
Behalten Sie auf der Seite Zertifikatsspeicher die Standardeinstellungen Alle Zertifikate im folgenden Speicher ablegen und Zwischenzertifizierungsstellen bei. Dadurch wird das Zwischenzertifikat unter dem richtigen Knoten platziert. Klicken Sie auf Weiter.
Klicken Sie auf Fertigstellen. Sie erhalten eine Meldung, dass der Import erfolgreich war. Klicken Sie auf Ok, um die Meldung zu verwerfen.
Das Zertifikat erscheint dann unter Zertifikate (Lokaler Computer) > Zwischenzertifizierungsstellen > Zertifikate.
Überprüfen Sie Ihre Arbeit
Zu diesem Zeitpunkt können Sie die Zertifikatsinstallation mit dem SSL-Zertifikatsprüfer von DigiCert erneut testen. In den Ergebnissen sollten Sie nun eine Kette sehen, die das soeben installierte Zwischenzertifikat enthält.
Nachdem wir diese Validierung vom SSL-Checker erhalten haben, haben wir unsere Android-Geräte erneut getestet und konnten ein Exchange-Postfach ohne weitere Fehler hinzufügen.