Ran in i ett problem nyligen där Outlook fungerade bra, men där Android-enheter, särskilt mobiltelefoner, fick ett felmeddelande om att certifikatet var ogiltigt när de konfigurerade en Exchange-brevlåda via Gmail-appen. Felet var:
Certificate not validThe Gmail app can't guarantee the security of this email address. Your messages would be at risk.
När vi klickade på Avancerat fick vi mer förtydligande om att certifikatet inte var betrodd. Vi kunde dock snabbt se att rätt certifikat presenterades för Android-enheterna och att det uppenbarligen inte var ett problem med datumet.
Certificate not trustedContact your email provider about this error, or proceed with username (unsafe).
Vi testade sedan vårt certifikat med DigiCert’s SSL Certificate Checker. Detta är ett utmärkt verktyg för att bekräfta att certifikatet är korrekt installerat och att certifikatsökvägen är giltig. Du kan kontrollera vilket certifikat som helst med det här verktyget. Det behöver inte vara ett certifikat som utfärdats av DigiCert. I vårt fall testade vi vårt GoDaddy-certifikat med det här verktyget.
Vi fann snabbt att det fanns ett problem med ett saknat mellanliggande certifikat. Det krävs vanligtvis att när ett certifikat inte har en direkt sökväg till rotcertifikatutfärdaren att du också måste installera certifikaten för eventuella mellanliggande myndigheter för att slutföra certifikatkedjan. I vårt fall behövde vi installera det saknade GoDaddy-mellancertifikatet.
När du laddar ner ditt certifikat buntar de flesta certifikatleverantörer ihop mellancertifikaten i samma zip-fil. De flesta leverantörer publicerar dock också ett arkiv med alla sina mellanliggande certifikat. Du hittar GoDaddys arkiv här.
DigiCerts diagnostiska verktyg gav oss några bra råd (och supportartiklar) om vanliga platser där mellanliggande certifikat måste installeras. I vårt fall publicerade vi dock Exchange via en Kemp Load Balancer så vi visste att detta var det bästa stället att börja.
Läggning av mellanliggande certifikat till en Load Balancer
Anmärkning: Den här artikeln innehåller stegen för en Kemp LoadMaster. Samma principer gäller dock för alla lastbalanser.
För att kontrollera förekomsten av mellanliggande certifikat på en Kemp-lastbalanser loggar du in på Kemp och navigerar till Certifikat & Säkerhet > Mellanliggande certifikat. På den här skärmen visas alla certifikat som för närvarande är installerade på din Kemp load balancer. Om inga mellanliggande certifikat är installerade visas endast alternativet Add A New Intermediate Certificate (Lägg till ett nytt mellanliggande certifikat).
I det fallet klickar du på Välj fil och väljer mellanliggande certifikat. Ange ett namn för det mellanliggande certifikatet i fältet Certificate Name (certifikatnamn). Namnet får inte innehålla mellanslag. Men du kan använda tecken som t.ex. understrykningar eller bindestreck. Klicka på knappen Lägg till certifikat.
Du får en popupruta om att certifikatet installerats framgångsrikt. Klicka på Ok. Nu visas certifikatet på samma sida där du kan lägga till ytterligare mellanliggande certifikat. Den här tabellen kan fyllas med tiden för att visa flera mellanliggande certifikat.
Att lägga till mellanliggande certifikat till IIS
Om du har en enda Exchange-server i din miljö är chansen stor att du måste installera det mellanliggande certifikatet på själva Exchange-servern. Detta gör du med MMC-snapin-modulen Certifikat. Så här gör du:
Klicka på Start och skriv MMC. I sökresultatet väljer du MMC för att öppna Microsoft Management Console.
I MMC-konsolen väljer du Arkiv-menyn följt av Lägg till/ta bort snapin.
Välj Certifikat och klicka på Lägg till. I guiden väljer du Datorkonto > Lokal dator > Slutför. Klicka på Ok.
Tillbaka i konsolen expanderar du Certifikat (lokal dator) > Mellanliggande certifikatutfärdare. Högerklicka på Certifikat och välj Alla uppgifter > Importera från snabbmenyn.
På välkomstsidan klickar du på Nästa.
På sidan Fil som ska importeras klickar du på knappen Bläddra och väljer ditt mellanliggande certifikat. Klicka på Öppna. Klicka på Nästa.
På sidan Certifikatarkiv behåller du standardinställningarna Place all certificates in the following store och Intermediate Certification Authorities. Detta kommer att placera det mellanliggande certifikatet under rätt nod. Klicka på Nästa.
Klicka på Slutför. Du får en uppmaning om att importen lyckades. Klicka på Ok för att avvisa meddelandet.
Certifikatet visas sedan under Certifikat (lokal dator) > Mellanliggande certifikatutfärdare > Certifikat.
Kontrollera ditt arbete
I det här läget kan du testa installationen av certifikatet på nytt med DigiCerts SSL-certifikatkontroll. I resultaten bör du nu se en kedja som inkluderar det mellanliggande certifikatet som du just installerat.
När vi fick denna validering från SSL-kontrollen testade vi sedan våra Android-enheter på nytt och kunde lägga till en Exchange-brevlåda utan några ytterligare fel.
