Onlangs kwam ik een probleem tegen waarbij Outlook prima werkte, echter, Android apparaten, met name mobiele telefoons, gaven een foutmelding dat het certificaat ongeldig was bij het configureren van een Exchange mailbox via de Gmail app. De foutmelding was:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Wanneer we op Advanced klikten kregen we meer uitleg dat het certificaat niet vertrouwd werd. We konden echter al snel zien dat het juiste certificaat werd gepresenteerd aan de Android-apparaten en dat het duidelijk geen probleem was met de datum.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
We hebben ons certificaat vervolgens getest met de SSL Certificate Checker van DigiCert. Dit is een geweldig hulpmiddel om te bevestigen dat het certificaat correct is geïnstalleerd en dat het certificaatpad geldig is. U kunt elk certificaat met deze tool controleren. Het hoeft geen certificaat te zijn dat door DigiCert is uitgegeven. In ons geval, testten we ons GoDaddy certificaat met deze tool.
We ontdekten al snel dat er een probleem was met een ontbrekend intermediair certificaat. Het is typisch vereist dat wanneer een certificaat geen direct pad heeft naar de root-certificaatautoriteit, dat u ook de certificaten installeert van alle tussenliggende autoriteiten om de certificaatketen te voltooien. In ons geval moesten we het ontbrekende tussenliggende GoDaddy-certificaat installeren.
Wanneer u uw certificaat downloadt, bundelen de meeste certificaatleveranciers de tussenliggende certificaten in hetzelfde zip-bestand. De meeste providers publiceren echter ook een repository van al hun tussenliggende certificaten. U kunt GoDaddy’s repository hier vinden.
DigiCert’s diagnostische tool gaf ons een aantal goede adviezen (en ondersteuningsartikelen) over veelvoorkomende locaties waar tussenliggende certificaten moesten worden geïnstalleerd. In ons geval publiceerden we Exchange echter via een Kemp Load Balancer dus wisten we dat dit de beste plek was om te beginnen.
Tussencertificaten toevoegen aan een loadbalancer
Note: Dit artikel geeft de stappen voor een Kemp LoadMaster. Dezelfde principes gelden echter voor alle loadbalancers.
Om de aanwezigheid van intermediaire certificaten op een Kemp loadbalancer te controleren, logt u in op de Kemp en navigeert u naar Certificaten & Beveiliging > Intermediaire Certs. Dit scherm toont de certificaten die momenteel op uw Kemp loadbalancer zijn geïnstalleerd. Als er geen tussenliggende certificaten zijn geïnstalleerd, ziet u alleen de optie Een nieuw tussenliggend certificaat toevoegen.
Klik in dat geval op Choose File en selecteer het intermediate certificaat. In het veld Certificate Name geeft u een naam op voor het intermediate certificaat. Deze naam mag geen spaties bevatten. U kunt wel tekens gebruiken, zoals underscores of koppeltekens. Klik op de knop Certificaat toevoegen.
U ontvangt een pop-up dat het certificaat met succes is geïnstalleerd. Klik op Ok. Het certificaat wordt nu weergegeven op dezelfde pagina waar u extra tussenliggende certificaten kunt toevoegen. Deze tabel kan na verloop van tijd gevuld worden met meerdere intermediate certs.
Tussencertificaten toevoegen aan IIS
Als u een enkele Exchange server in uw omgeving heeft dan is de kans groot dat u het intermediate certificaat moet installeren op de Exchange server zelf. Dit doet u met de Certificates MMC snap-in. U doet dit als volgt:
Klik op Start en typ MMC. Selecteer MMC in de zoekresultaten om de Microsoft Management Console te openen.
Vanuit de MMC-console selecteert u het menu Bestand gevolgd door Snapin toevoegen/verwijderen.
Selecteer Certificaten en klik op Toevoegen. Selecteer in de wizard Computeraccount > Lokale computer > Voltooien. Klik op Ok.
Terug op de console vouwt u Certificaten (Lokale computer) > Intermediaire certificeringsinstanties uit. Klik met de rechtermuisknop op Certificaten en selecteer Alle taken > Importeren in het contextmenu.
Klik op de welkomstpagina op Volgende.
Klik op de pagina Te importeren bestand op de knop Bladeren en selecteer uw tussenliggende certificaat. Klik op Openen. Klik op Volgende.
Op de pagina Certificaatopslag behoudt u de standaardinstellingen van Plaats alle certificaten in de volgende opslag en Tussenliggende certificeringsinstanties. Hierdoor wordt het tussenliggende certificaat onder het juiste knooppunt geplaatst. Klik op Volgende.
Klik op Voltooien. U krijgt een melding dat de import is geslaagd. Klik op Ok om de melding af te sluiten.
Het certificaat verschijnt nu onder Certificates (Local Computer) > Intermediate Certification Authorities > Certificates.
Het controleren van uw werk
Op dit punt kunt u de installatie van het certificaat opnieuw testen met DigiCert’s SSL Certificate Checker. In de resultaten zou u nu een keten moeten zien die het tussenliggende certificaat bevat dat u zojuist hebt geïnstalleerd.
Toen we deze validatie van de SSL-checker hadden ontvangen, hebben we onze Android-apparaten opnieuw getest en konden we een Exchange-mailbox toevoegen zonder verdere fouten.
