Ran in an issue recently where Outlook was working fine, however, Android devices, particularly mobile phones, would throw an error that the certificate was invalid when configuring an Exchange mailbox via the Gmail app. L’erreur était :
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
En cliquant sur Advanced, nous avons reçu plus de précisions indiquant que le certificat n’était pas fiable. Cependant, nous avons pu rapidement voir que le certificat correct était présenté aux appareils Android et que ce n’était clairement pas un problème de date.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Nous avons ensuite testé notre certificat avec le vérificateur de certificats SSL de DigiCert. C’est un excellent outil pour confirmer que le certificat est installé correctement et que le chemin du certificat est valide. Vous pouvez vérifier n’importe quel certificat avec cet outil. Il n’est pas nécessaire que ce soit un certificat émis par DigiCert. Dans notre cas, nous avons testé notre certificat GoDaddy avec cet outil.
Nous avons rapidement constaté qu’il y avait un problème avec un certificat intermédiaire manquant. Il est généralement requis que lorsqu’un certificat n’a pas de chemin direct vers l’autorité de certification racine que vous devez également installer les certificats de toute autorité intermédiaire pour compléter la chaîne de certificats. Dans notre cas, nous devions installer le certificat intermédiaire manquant de GoDaddy.
Lorsque vous téléchargez votre certificat, la plupart des fournisseurs de certificats regroupent les certificats intermédiaires dans le même fichier zip. Cependant, la plupart des fournisseurs publient également un référentiel de tous leurs certificats intermédiaires. Vous pouvez trouver le référentiel de GoDaddy ici.
L’outil de diagnostic de DigiCert nous a donné de bons conseils (et des articles de support) sur les emplacements courants où les certificats intermédiaires devaient être installés. Cependant, dans notre cas, nous publiions Exchange via un équilibreur de charge Kemp, nous savions donc que c’était le meilleur endroit pour commencer.
Ajout de certificats intermédiaires à un équilibreur de charge
Note : Cet article fournit les étapes pour un équilibreur de charge Kemp. Cependant, les mêmes principes s’appliquent à tous les équilibreurs de charge.
Pour vérifier la présence de certificats intermédiaires sur un équilibreur de charge Kemp, connectez-vous au Kemp et naviguez vers Certificats & Sécurité > Certs intermédiaires. Cet écran affichera tous les certificats actuellement installés sur votre équilibreur de charge Kemp. Si aucun certificat intermédiaire n’est installé, vous ne verrez que l’option Ajouter un nouveau certificat intermédiaire.
Dans ce cas, cliquez sur Choisir un fichier et sélectionnez le certificat intermédiaire. Dans le champ Nom du certificat, fournissez un nom pour le certificat intermédiaire. Ce nom ne peut pas contenir d’espaces. Mais vous pouvez utiliser des caractères tels que des traits de soulignement ou des traits d’union. Cliquez sur le bouton Ajouter un certificat.
Vous recevrez un popup indiquant que le certificat a été installé avec succès. Cliquez sur Ok. À ce stade, le certificat sera maintenant affiché sur la même page où vous pouvez ajouter des certificats intermédiaires supplémentaires. Ce tableau peut se remplir au fil du temps pour montrer plusieurs certificats intermédiaires.
Ajouter des certificats intermédiaires à IIS
Si vous avez un seul serveur Exchange dans votre environnement, alors les chances sont que vous devez installer le certificat intermédiaire sur le serveur Exchange lui-même. Vous faites cela avec le snap-in MMC Certificats. Pour ce faire :
Cliquez sur Démarrer et tapez MMC. Dans les résultats de la recherche, sélectionnez MMC pour ouvrir la console Microsoft Management Console.
Depuis la console MMC, sélectionnez le menu File suivi de Add/Remove Snapin.
Sélectionnez Certificats et cliquez sur Add. Dans l’assistant, sélectionnez Compte d’ordinateur > Ordinateur local > Terminer. Cliquez sur Ok.
De retour sur la console, développez les certificats (ordinateur local) > Autorités de certification intermédiaires. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Importer dans le menu contextuel.
Sur la page de bienvenue, cliquez sur Suivant.
Sur la page Fichier à importer, cliquez sur le bouton Parcourir et sélectionnez votre certificat intermédiaire. Cliquez sur Ouvrir. Cliquez sur Suivant.
Sur la page Magasin de certificats, conservez les paramètres par défaut de Placer tous les certificats dans le magasin suivant et Autorités de certification intermédiaires. Cela placera le certificat intermédiaire sous le bon nœud. Cliquez sur Suivant.
Cliquez sur Terminer. Vous recevrez une notification indiquant que l’importation a réussi. Cliquez sur Ok pour rejeter la notification.
Le certificat apparaîtra alors sous Certificats (ordinateur local) > Autorités de certification intermédiaires > Certificats.
Vérification de votre travail
À ce stade, vous pouvez tester à nouveau l’installation du certificat avec le vérificateur de certificats SSL de DigiCert. Dans les résultats, vous devriez maintenant voir une chaîne qui inclut le certificat intermédiaire que vous venez d’installer.
Une fois que nous avons reçu cette validation du vérificateur SSL, nous avons ensuite retesté nos appareils Android et nous avons pu ajouter une boîte aux lettres Exchange sans autres erreurs.
.