Verständnisfrage zu WAF und Wildcardzertifikat

Question

Hallo Community, 
 wir haben ein Wildcardzertifikat erworben und nutzen dies auch am Mailserver... Nun haben wir die WAF von einem "Experten" eingerichtet bekommen allerdings wird uns bei Android Handys das Zertifikat bei der ActiveSync Verbindung nicht als vertrauensw&uuml;rdig angezeigt obwohl es das korrekte Wildcardzertifikat ist. Schalte ich die WAF aus und aktiviere zum test einen DNAT Regel die auf den Mailserver zeigt klappt alles ohne Problem.... 
 Der MS Connectivity Test zeigt folgendes an:

There's a missing intermediate certificate in the certificate chain.

Wei&szlig; jemand wo ich das Wildcardzertifikat noch einspielen muss? Ich habe leider wenig erfahrung mit der WAF und Zertifikaten... 
 Gr&uuml;&szlig;e

Steve Weißflog · Answer

Hallo, 
 
 ggf. fehlt dir die Zwischenzertifizierungsstelle direkt auf der Sophos? Du musst dort dann bei Zertifikatsverwaltung -> CA - die bem&auml;ngelte fehlende Zwischen-CA auf die Sophos hochladen. (w&auml;re der Fall, wenn ein SSL-Checker beim Pr&uuml;fen von mailname.firmendomain.de und autodiscover.firmendomain.de die fehlende Zwischen-CA anmeckert) 
 
 Falls das okay ist: 
 Hast du alles &uuml;ber einen virtuellen Webserver in der Sophos ver&ouml;ffentlicht oder aufgetrennt auf mehrere virtuelle Server? Falls es aufgetrennt ist, hast du ggf. irgendwo (wahrscheinlich bei autodiscover) ein falsches Zertifikat im virtuellen Webserver hinterlegt? im Prinzip ben&ouml;tigt man ja mailname.firmendomain.de und autodiscover.firmendomain.de als "Zertifikatsname"/Ver&ouml;ffentlichung. 
 
 Steve

Dirk Wohlgemuth · Answer

ja leck mich am .... ES GEHT! :) 
 Vielen Dank an alle Helfer!!! Ich musste lediglich die rapidssl.pem und digicert.pem in die CA als Verifizierungs-CA einpflegen! 
 Der "Experte" hatte nur das Wildcard eingepflegt... Soviel dazu! 
 Die Handys k&ouml;nnen nun auch ohne Zertifikatsfehler eine Verbindung zum Mailserver aufbauen. Der SSLChecker gibt auch keinen Fehler mehr aus und zeigt die Kette korrekt an! 
 
 Philipp bei dir werde ich mich noch per PM melden ;) 
 
 nochmal tausend Dank! 
 
 Dirk