Ran em um problema em que o Outlook estava funcionando bem recentemente, no entanto, os dispositivos Android, particularmente celulares, lançariam um erro de que o certificado era inválido ao configurar uma caixa de correio do Exchange através do aplicativo Gmail. O erro era:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
Ao clicar em Avançado recebemos mais esclarecimentos de que o certificado não era confiável. Entretanto, pudemos ver rapidamente que o certificado correto estava sendo apresentado aos dispositivos Android e claramente não era um problema com a data.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Em seguida, testamos nosso certificado com o DigiCert’s SSL Certificate Checker. Esta é uma ótima ferramenta para confirmar que o certificado está instalado corretamente e que o caminho do certificado é válido. Você pode verificar qualquer certificado com esta ferramenta. Não tem de ser um certificado emitido pelo DigiCert. No nosso caso, estávamos a testar o nosso certificado GoDaddy com esta ferramenta.
Rapidamente descobrimos que havia um problema com um certificado intermediário em falta. É normalmente exigido que quando um certificado não tem um caminho direto para a autoridade do certificado raiz, que você também deve instalar os certificados de qualquer autoridade intermediária para completar a cadeia de certificados. No nosso caso, precisávamos de instalar o certificado intermediário GoDaddy em falta.
Quando você faz o download do seu certificado, a maioria dos provedores de certificados agrupa os certificados intermediários no mesmo arquivo zip. No entanto, a maioria dos provedores também publica um repositório de todos os seus certificados intermediários. Você pode encontrar o repositório do GoDaddy aqui.
A ferramenta de diagnóstico do DigiCert nos deu alguns bons conselhos (e artigos de suporte) sobre os locais comuns que os certificados intermediários precisavam ser instalados. No entanto, no nosso caso, estávamos publicando Exchange através de um Balanceador de Carga Kemp, então sabíamos que este era o melhor lugar para começar.
Adicionar certificados intermediários a um balanceador de carga
Nota: Este artigo fornece os passos para um Kemp LoadMaster. No entanto, os mesmos princípios aplicam-se a todos os equilibradores de carga.
Para verificar a presença de certificados intermediários num equilibrador de carga Kemp, inicie sessão no Kemp e navegue até Certificados.&Segurança >Certificados Intermediários. Esta tela exibirá quaisquer certificados atualmente instalados no seu balanceador de carga Kemp. Se nenhum certificado intermediário estiver instalado, você verá apenas a opção de Adicionar um novo certificado intermediário.
Você receberá um popup que o certificado foi instalado com sucesso. Clique em Ok. Neste ponto, o certificado será agora exibido na mesma página onde você pode adicionar certificados intermediários adicionais. Esta tabela pode ser preenchida ao longo do tempo para mostrar vários certificados intermediários.
Adicionar certificados intermediários ao IIS
Se tiver um único servidor Exchange no seu ambiente, então as chances são de que você precise instalar o certificado intermediário no próprio servidor Exchange. Faz isto com o snap-in dos Certificados MMC. Para o fazer:
Click Start e digite MMC. A partir dos resultados da pesquisa selecione MMC para abrir o Microsoft Management Console.
Do console MMC selecione o menu File seguido por Add/Remove Snapin.
Selecione Certificados e clique em Add. A partir do assistente selecione Conta de computador > Computador local > Concluir. Clique Ok.
Voltar no console expandir Certificados (Computador Local) > Autoridades de Certificação Intermediárias. Clique com o botão direito do mouse em Certificados e selecione All Tasks > Importar no menu de contexto.
Na página de boas-vindas clique em Next.
Na página File to Import, clique no botão Browse e selecione seu certificado intermediário. Clique em Open (Abrir). Clique em Next.
Na página Loja de Certificados mantenha as configurações padrão de Colocar todos os certificados na seguinte loja e Autoridades de Certificação Intermediárias. Isto irá colocar o certificado intermediário sob o nó correto. Clique em Next.
Click Finish. Você receberá um aviso de que a importação foi bem sucedida. Clique em Ok para rejeitar a notificação.
O certificado aparecerá em Certificados (Computador Local) > Autoridades de Certificação Intermediárias > Certificados.
Verificando seu trabalho
Neste ponto, você pode reteste a instalação do certificado com o verificador de certificados SSL do DigiCert. Nos resultados, deverá agora ver uma cadeia que inclui o certificado intermédio que acabou de instalar.
Após termos recebido esta validação do verificador SSL, voltamos a testar os nossos dispositivos Android e conseguimos adicionar uma caixa de correio Exchange sem mais erros.
