The estimated reading time 2 minutes
Auf das folgende Problem bin ich bei einer Migration bei einem Kunden gestolpert. Es galt ein SSL Zertifikat eines namhaften Anbieters auf dem Exchange Server einzuspielen. Request und auch das Einreichen, auch die Validierung der Daten waren kein Problem. Allerdings stellt sich dann folgende Situation:
Zertifikat auf dem Exchange Server eingespielt. Exchange markierte den Zertifikatsstatus ROT, da dieser nicht überprüft werden konnte
Fehlermeldung en: the certificate status could not be determined because the revocation check failed
Fehlermeldung de:
Fehlermeldung beim Importieren eines Fremdanbieter-Zertifikats in Exchange Server 2010: „der Status konnte nicht ermittelt werden, da die Sperrprüfung ist fehlgeschlagen“
Nach einiger Suche konnte ich feststellen, dass an der Firewall (nicht transparenter Proxy) Pakete des Exchange Servers ankamen, die auf Grund von falschen Proxyeinstellungen verworfen wurden.
Hierzu findet man einen interessanten KB Artikel von MS: http://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx
Zusätzlich konnte ich noch folgenden Link finden:
http://support.microsoft.com/kb/979694/de
„Fehlerursache“ ist hier der WinHTTP Dienst
Zitat: In Microsoft Exchange Server 2010 sind mehrere Serverrollen bei der Verwaltung des gesamten HTTP- und HTTPS-Datenverkehrs auf die zugrunde liegenden Microsoft Windows-HTTP-Dienste (WinHTTP) angewiesen. Sowohl Hub-Transport-Server als auch Edge-Transport-Server können HTTP für den Zugriff auf Filterupdates für Microsoft Exchange-Antispamupdatedienste und Microsoft Forefront Protection für Exchange Server-Antispamupdatedienste sowie für die Überprüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) verwenden.
Deshalb müssen die Proxyeinstellungen auch in Exchange importiert werden.
Hier nochmals die Meldung:
Um das Problem zu lösen können die Proxyeinstellungen über die Powershell mitgegeben werden:
netsh winhttp set proxy proxy-server=“http=meinhttpproxy.domain.int:8081;https=meinhttpsproxy.domain.int:8081″
WICHTIG: je nach DNS Konfig muss der Befehl noch um den Bypass Paramter erweitert werden siehe Support Artikel oben!
Bypass-List = „exchangeserver.domain.int„
Ich muss nach der Anpassung nichts mehr tun, der Zertifikatsstatus änderte sich nach dem Neustart auf grün.
Ansonsten muss der Cache der CRL bzw des OCSP (Online Certificate Status Protocol) nochmals gelöscht werden.
Dazu folgenden Befehl verwenden:
certutil -urlcache ocsp delete
certutil -urlcache crl delete
Viel Spaß.