Exchange Server 2010 Certificate Revocation Checks

The estimated reading time 2 minutes

Auf das folgende Problem bin ich bei einer Migration bei einem Kunden gestolpert. Es galt ein SSL Zertifikat eines namhaften Anbieters auf dem Exchange Server einzuspielen. Request und auch das Einreichen, auch die Validierung der Daten waren kein Problem. Allerdings stellt sich dann folgende Situation:

Zertifikat auf dem Exchange Server eingespielt. Exchange markierte den Zertifikatsstatus ROT, da dieser nicht überprüft werden konnte

Fehlermeldung en: the certificate status could not be determined because the revocation check failed

 

 

Fehlermeldung de:

Fehlermeldung beim Importieren eines Fremdanbieter-Zertifikats in Exchange Server 2010: “der Status konnte nicht ermittelt werden, da die Sperrprüfung ist fehlgeschlagen”

Nach einiger Suche konnte ich feststellen, dass an der Firewall (nicht transparenter Proxy) Pakete des Exchange Servers ankamen, die auf Grund von falschen Proxyeinstellungen verworfen wurden.

Hierzu findet man einen interessanten KB Artikel von MS: http://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx

Zusätzlich konnte ich noch folgenden Link finden:

http://support.microsoft.com/kb/979694/de

“Fehlerursache” ist hier der WinHTTP Dienst

 Zitat: In Microsoft Exchange Server 2010 sind mehrere Serverrollen bei der Verwaltung des gesamten HTTP- und HTTPS-Datenverkehrs auf die zugrunde liegenden Microsoft Windows-HTTP-Dienste (WinHTTP) angewiesen. Sowohl Hub-Transport-Server als auch Edge-Transport-Server können HTTP für den Zugriff auf Filterupdates für Microsoft Exchange-Antispamupdatedienste und Microsoft Forefront Protection für Exchange Server-Antispamupdatedienste sowie für die Überprüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) verwenden.

Deshalb müssen die Proxyeinstellungen auch in Exchange importiert werden.

Hier nochmals die Meldung:

01-Fehlermeldung

 

 

 

Um das Problem zu lösen können die Proxyeinstellungen über die Powershell mitgegeben werden:

 netsh winhttp set proxy proxy-server=”http=meinhttpproxy.domain.int:8081;https=meinhttpsproxy.domain.int:8081″

02-Settings-Powershell

 

 

 

WICHTIG: je nach DNS Konfig muss der Befehl noch um den Bypass Paramter erweitert werden siehe Support Artikel oben!

Bypass-List = “exchangeserver.domain.int

Ich muss nach der Anpassung nichts mehr tun, der Zertifikatsstatus änderte sich nach dem Neustart auf grün.

Ansonsten muss der Cache der CRL bzw des OCSP (Online Certificate Status Protocol) nochmals gelöscht werden.

Dazu folgenden Befehl verwenden:

certutil -urlcache ocsp delete

certutil -urlcache crl delete

Viel Spaß.

 

Print Friendly, PDF & Email
  • Was this Helpful ?
  • yes   no
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments