Ran into an issue recently where Outlook was working fine, however, Android devices, particularly mobile phones, would throw an error that the certificate was invalid when configuring an Exchange mailbox via the Gmail app. Błąd był następujący:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Po kliknięciu Advanced otrzymywaliśmy więcej wyjaśnień, że certyfikat nie jest zaufany. Jednak szybko zauważyliśmy, że prawidłowy certyfikat był prezentowany na urządzeniach z Androidem i nie był to problem z datą.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Potem przetestowaliśmy nasz certyfikat za pomocą DigiCert’s SSL Certificate Checker. Jest to świetne narzędzie do potwierdzenia, że certyfikat jest zainstalowany poprawnie i że ścieżka certyfikatu jest prawidłowa. Możesz sprawdzić dowolny certyfikat za pomocą tego narzędzia. Nie musi to być certyfikat wydany przez DigiCert. W naszym przypadku, testowaliśmy nasz certyfikat GoDaddy za pomocą tego narzędzia.
Szybko znaleźliśmy problem z brakującym certyfikatem pośredniczącym. Zazwyczaj wymagane jest, aby w przypadku certyfikatów, które nie mają bezpośredniej ścieżki do głównego urzędu certyfikacji, zainstalować również certyfikaty urzędów pośredniczących w celu uzupełnienia łańcucha certyfikatów. W naszym przypadku musieliśmy zainstalować brakujący certyfikat pośredni GoDaddy.
Kiedy pobierasz swój certyfikat, większość dostawców certyfikatów dołącza certyfikaty pośrednie w tym samym pliku zip. Jednak większość dostawców publikuje również repozytorium wszystkich swoich certyfikatów pośrednich. Możesz znaleźć repozytorium GoDaddy tutaj.
Narzędzie diagnostyczne DigiCert dało nam kilka dobrych rad (i artykułów wsparcia) na temat typowych miejsc, w których certyfikaty pośrednie muszą być zainstalowane. Jednak w naszym przypadku, publikowaliśmy Exchange poprzez Kemp Load Balancer, więc wiedzieliśmy, że to najlepsze miejsce, aby zacząć.
Dodawanie certyfikatów pośredniczących do load balancera
Uwaga: Ten artykuł przedstawia kroki dla Kemp LoadMaster. Jednak te same zasady mają zastosowanie do wszystkich load balancerów.
Aby sprawdzić obecność certyfikatów pośrednich na load balancerze Kemp, zaloguj się na Kemp i przejdź do Certificates & Security > Intermediate Certs. Na tym ekranie zostaną wyświetlone wszystkie certyfikaty aktualnie zainstalowane na urządzeniu Kemp load balancer. Jeśli nie są zainstalowane żadne certyfikaty pośrednie, zobaczysz tylko opcję Dodaj nowy certyfikat pośredni.
W takim przypadku kliknij przycisk Choose File i wybierz certyfikat pośredni. W polu Certificate Name podaj nazwę dla certyfikatu pośredniego. Nazwa ta nie może zawierać spacji. Możesz natomiast użyć znaków takich jak podkreślenia czy myślniki. Kliknij przycisk Dodaj certyfikat.
Otrzymasz popup, że certyfikat został pomyślnie zainstalowany. Kliknij przycisk Ok. W tym momencie certyfikat zostanie wyświetlony na tej samej stronie, na której można dodać dodatkowe certyfikaty pośrednie. Ta tabela może się z czasem zapełnić wieloma certyfikatami pośrednimi.
Dodawanie certyfikatów pośrednich do IIS
Jeśli masz jeden serwer Exchange w swoim środowisku, to najprawdopodobniej musisz zainstalować certyfikat pośredni na samym serwerze Exchange. Robimy to za pomocą Certificates MMC snap-in. Aby to zrobić:
Kliknij Start i wpisz MMC. W wynikach wyszukiwania wybierz MMC, aby otworzyć Microsoft Management Console.
W konsoli MMC wybierz menu File, a następnie Add/Remove Snapin.
Wybierz Certificates i kliknij Add. W kreatorze wybierz Konto komputera > Komputer lokalny > Zakończ. Kliknij Ok.
Wracając do konsoli rozwiń Certyfikaty (Komputer lokalny) > Pośrednie urzędy certyfikacji. Kliknij prawym przyciskiem myszy na Certificates i wybierz All Tasks > Import from the context menu.
Na stronie Welcome kliknij Next.
Na stronie File to Import, kliknij przycisk Browse i wybierz swój certyfikat pośredni. Kliknij przycisk Otwórz. Kliknij przycisk Next.
Na stronie Certificate Store zachowaj domyślne ustawienia opcji Place all certificates in the following store i Intermediate Certification Authorities. Dzięki temu certyfikat pośredni zostanie umieszczony pod właściwym węzłem. Kliknij Dalej.
Kliknij Zakończ. Zostanie wyświetlony komunikat o pomyślnym zakończeniu importu. Kliknij Ok, aby odrzucić powiadomienie.
Certyfikat pojawi się w Certificates (Local Computer) > Intermediate Certification Authorities > Certificates.
Checking your work
W tym momencie możesz ponownie przetestować instalację certyfikatu za pomocą DigiCert’s SSL Certificate Checker. W wynikach powinniśmy zobaczyć łańcuch, który zawiera certyfikat pośredni, który właśnie zainstalowaliśmy.
Po otrzymaniu tego potwierdzenia od SSL checkera, ponownie przetestowaliśmy nasze urządzenia z Androidem i byliśmy w stanie dodać skrzynkę Exchange bez żadnych dalszych błędów.
.