Di recente mi sono imbattuto in un problema in cui Outlook funzionava bene, tuttavia, i dispositivi Android, in particolare i telefoni cellulari, davano un errore che indicava che il certificato non era valido quando si configurava una casella postale Exchange tramite l’app Gmail. L’errore era:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Facendo clic su Advanced abbiamo ricevuto ulteriori chiarimenti che il certificato non era affidabile. Tuttavia, abbiamo potuto vedere rapidamente che il certificato corretto veniva presentato ai dispositivi Android e chiaramente non era un problema di data.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Abbiamo poi testato il nostro certificato con DigiCert’s SSL Certificate Checker. Questo è un ottimo strumento per confermare che il certificato è installato correttamente e che il percorso del certificato è valido. Puoi controllare qualsiasi certificato con questo strumento. Non deve essere necessariamente un certificato rilasciato da DigiCert. Nel nostro caso, stavamo testando il nostro certificato GoDaddy con questo strumento.
Abbiamo subito scoperto che c’era un problema con un certificato intermedio mancante. È tipicamente richiesto che quando un certificato non ha un percorso diretto all’autorità di certificazione radice, è necessario installare anche i certificati di qualsiasi autorità intermedia per completare la catena di certificati. Nel nostro caso, avevamo bisogno di installare il certificato intermedio mancante di GoDaddy.
Quando scarichi il tuo certificato, la maggior parte dei fornitori di certificati raggruppa i certificati intermedi nello stesso file zip. Tuttavia, la maggior parte dei provider pubblica anche un repository di tutti i loro certificati intermedi. Puoi trovare il repository di GoDaddy qui.
Lo strumento diagnostico di DigiCert ci ha dato alcuni buoni consigli (e articoli di supporto) sulle posizioni comuni in cui i certificati intermedi devono essere installati. Tuttavia, nel nostro caso, stavamo pubblicando Exchange attraverso un Kemp Load Balancer, quindi sapevamo che questo era il posto migliore per iniziare.
Aggiungimento di certificati intermedi a un load balancer
Nota: Questo articolo fornisce i passi per un Kemp LoadMaster. Tuttavia, gli stessi principi si applicano a tutti i bilanciatori di carico.
Per verificare la presenza di certificati intermedi su un bilanciatore di carico Kemp, accedi al Kemp e vai a Certificati & Sicurezza > Certificati intermedi. Questa schermata mostrerà tutti i certificati attualmente installati sul tuo bilanciatore di carico Kemp. Se non ci sono certificati intermedi installati, vedrai solo l’opzione Add A New Intermediate Certificate.
In tal caso, clicca su Choose File e seleziona il certificato intermedio. Nel campo Certificate Name fornisci un nome per il certificato intermedio. Questo nome non può contenere spazi. Ma si possono usare caratteri come underscore o trattini. Fare clic sul pulsante Add Certificate.
Si riceverà un popup che il certificato è stato installato con successo. Cliccate su Ok. A questo punto, il certificato verrà visualizzato nella stessa pagina in cui è possibile aggiungere ulteriori certificati intermedi. Questa tabella può popolarsi nel tempo per mostrare più certificati intermedi.
Aggiungimento di certificati intermedi a IIS
Se hai un singolo server Exchange nel tuo ambiente, allora è probabile che tu debba installare il certificato intermedio sul server Exchange stesso. Puoi farlo con lo snap-in Certificates MMC. Per farlo:
Clicca su Start e digita MMC. Dai risultati della ricerca seleziona MMC per aprire la Microsoft Management Console.
Dalla console MMC seleziona il menu File seguito da Add/Remove Snapin.
Seleziona Certificates e clicca Add. Dalla procedura guidata seleziona Computer account > Computer locale > Fine. Clicca Ok.
Di nuovo nella console espandi Certificati (Computer locale) > Autorità di certificazione intermedie. Clicca con il tasto destro su Certificati e seleziona Tutte le attività > Importa dal menu contestuale.
Nella pagina di benvenuto clicca su Avanti.
Nella pagina File da importare, clicca sul pulsante Sfoglia e seleziona il tuo certificato intermedio. Fai clic su Open. Clicca su Next.
Nella pagina Certificate Store mantieni le impostazioni predefinite di Place all certificates in the following store e Intermediate Certification Authorities. Questo posizionerà il certificato intermedio sotto il nodo corretto. Clicca su Next.
Clicca su Finish. Riceverai un avviso che l’importazione ha avuto successo. Fai clic su Ok per respingere la notifica.
Il certificato apparirà quindi sotto Certificati (Computer locale) > Autorità di certificazione intermedie > Certificati.
Verifica il tuo lavoro
A questo punto, puoi ricontrollare l’installazione del certificato con SSL Certificate Checker di DigiCert. Nei risultati, dovresti ora vedere una catena che include il certificato intermedio che hai appena installato.
Una volta ricevuta questa convalida dal verificatore SSL abbiamo poi ritestato i nostri dispositivi Android e siamo stati in grado di aggiungere una cassetta postale Exchange senza ulteriori errori.
