Recientemente me encontré con un problema en el que Outlook funcionaba bien, sin embargo, los dispositivos Android, en particular los teléfonos móviles, arrojaban un error de que el certificado no era válido al configurar un buzón de Exchange a través de la aplicación de Gmail. El error era:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Al hacer clic en Avanzado recibimos más aclaraciones de que el certificado no era de confianza. Sin embargo, pudimos ver rápidamente que el certificado correcto se presentaba a los dispositivos Android y claramente no era un problema con la fecha.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
A continuación, probamos nuestro certificado con el comprobador de certificados SSL de DigiCert. Esta es una gran herramienta para confirmar que el certificado está instalado correctamente y que la ruta del certificado es válida. Puede comprobar cualquier certificado con esta herramienta. No tiene que ser un certificado emitido por DigiCert. En nuestro caso, estuvimos comprobando nuestro certificado de GoDaddy con esta herramienta.
Rápidamente descubrimos que había un problema con la falta de un certificado intermedio. Normalmente, cuando un certificado no tiene una ruta directa a la autoridad certificadora raíz, es necesario instalar también los certificados de las autoridades intermedias para completar la cadena de certificados. En nuestro caso, necesitábamos instalar el certificado intermedio de GoDaddy que faltaba.
Cuando se descarga el certificado, la mayoría de los proveedores de certificados incluyen los certificados intermedios en el mismo archivo zip. Sin embargo, la mayoría de los proveedores también publican un repositorio de todos sus certificados intermedios. Puede encontrar el repositorio de GoDaddy aquí.
La herramienta de diagnóstico de DigiCert nos dio algunos buenos consejos (y artículos de soporte) sobre las ubicaciones comunes en las que debían instalarse los certificados intermedios. Sin embargo, en nuestro caso, estábamos publicando Exchange a través de un Kemp Load Balancer por lo que sabíamos que este era el mejor lugar para empezar.
Añadir certificados intermedios a un balanceador de carga
Nota: Este artículo proporciona los pasos para un Kemp LoadMaster. Sin embargo, los mismos principios se aplican a todos los equilibradores de carga.
Para comprobar la presencia de certificados intermedios en un equilibrador de carga Kemp, inicie sesión en el Kemp y navegue hasta Certificados & Seguridad > Certificados intermedios. Esta pantalla mostrará los certificados actualmente instalados en su equilibrador de carga Kemp. Si no hay certificados intermedios instalados, sólo verá la opción de Añadir un nuevo certificado intermedio.
En ese caso, haga clic en Elegir archivo y seleccione el certificado intermedio. En el campo Nombre del certificado proporcione un nombre para el certificado intermedio. Este nombre no puede contener espacios. Pero puede utilizar caracteres como guiones bajos o guiones. Haga clic en el botón Añadir certificado.
Recibirá una ventana emergente que indica que el certificado se ha instalado correctamente. Haga clic en Aceptar. En este punto, el certificado se mostrará ahora en la misma página en la que puede añadir certificados intermedios adicionales. Esta tabla puede rellenarse con el tiempo para mostrar múltiples certificados intermedios.
Añadir certificados intermedios a IIS
Si tiene un único servidor Exchange en su entorno, lo más probable es que tenga que instalar el certificado intermedio en el propio servidor Exchange. Esto se hace con el complemento MMC de Certificados. Para ello:
Haga clic en Inicio y escriba MMC. En los resultados de la búsqueda, seleccione MMC para abrir la consola de administración de Microsoft.
Desde la consola MMC, seleccione el menú Archivo seguido de Agregar/Quitar complemento.
Seleccione Certificados y haga clic en Agregar. Desde el asistente seleccione Cuenta de equipo > Equipo local > Finalizar. Haga clic en Aceptar.
De nuevo en la consola expanda Certificados (Equipo local) > Autoridades de certificación intermedias. Haga clic con el botón derecho del ratón en Certificados y seleccione Todas las tareas > Importar en el menú contextual.
En la página de bienvenida haga clic en Siguiente.
En la página Archivo para importar, haga clic en el botón Examinar y seleccione su certificado intermedio. Haga clic en Abrir. Haga clic en Siguiente.
En la página Almacén de certificados mantenga la configuración predeterminada de Colocar todos los certificados en el siguiente almacén y Autoridades de certificación intermedias. Esto colocará el certificado intermedio bajo el nodo correcto. Haga clic en Siguiente.
Haga clic en Finalizar. Recibirá un aviso de que la importación se ha realizado correctamente. Haga clic en Aceptar para descartar la notificación.
El certificado aparecerá entonces en Certificados (Equipo local) > Autoridades de certificación intermedias > Certificados.
Comprobando su trabajo
En este punto, puede volver a probar la instalación del certificado con el Verificador de certificados SSL de DigiCert. En los resultados, ahora debería ver una cadena que incluye el certificado intermedio que acaba de instalar.
Una vez que recibimos esta validación del verificador SSL, volvimos a probar nuestros dispositivos Android y pudimos añadir un buzón de Exchange sin más errores.
