Verisign och ActiveSync

De flesta väljer att köpa ett certifikat från t.ex. Verisign när man börjar prata om att köra ActiveSync.

Tanken är att man inte ska få några problem med att telefonen inte “litar” på certifikatet.
Döm om förvåning när det visar sig att man kan få samma problem även med ett köpt certifikat!

Detta kan inträffa om man t.ex. köper ett certifikat utfärdat att “VeriSign Class 3 Secure Server CA”, detta är nämligen en s.k. intermediate CA och har en RootCA som heter “VeriSign Class 3 Public Primary CA”

Root CA”n finns i Mobile 5 som trusted men inte den intermediate som utfärdat den.
Detta gör att Mobile 5 kan uppfatta certifikatet som icke trusted.

Om man ska publicera ActiveSync i ISA och har ett sådant certifikat (kan tänka mig att det gäller för fler som använder intermediate CA) MÅSTE man i ISA lägga in “VeriSign Class 3 Secure Server CA” som en Intermediate CA i samband med att man imorterar certifikatet.

När man exporterar Certifikatet från den IIS där man gjorde requesten bockar man lämpligen i att ta med alla certifikat i pathen så får man med sig både intermediate certifikatet och rootcertifikatet att installera på ISA”n.

ISA kan nu ge Mobile 5 “hela” pathen för certifikatet och telefonen kan se att den kommer från en “trusted” root CA.

Leave a Reply

Your email address will not be published. Required fields are marked *