Exchange Server 2010 – Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung fehlgeschlagen ist

Bei einem unserer Kunden stand die Erneuerung des SSL-Zertifikats an. Damit Handys und Nicht-Domänenmitglieder keine Fehlermeldung bei dem Aufruf des Outlooks bzw. des OWAs bekommen, wurde ein Zertifikat von GoDaddy gewählt. Nachdem der Zertifikatsrequest im Exchange Server ausgestellt (eine Anleitung dazu hat mein Kollege Carsten hier im Blog geschrieben) und das fertige Zertifikat wieder eingespielt wurde, zeigte der Exchange Server die folgende Fehlermeldung:

Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung fehlgeschlagen ist.

Durch diesen Fehler war es nicht möglich, Dienste auf das neu eingespielte Zertifikat zu binden. Eine kurze Suche hat den folgenden Thread im Microsoft-Forum sowie den offiziellen Technet-Artikel zu dem Problem hervorgebracht:

The Certificate Status could not be determined because the revocation check failed

Error message when you import a third-party certificate into Exchange Server 2010: „The certificate status could not be determined because the revocation check failed“

Ursache dieses Problems ist, das die CRL (Certificate Revocation List) nicht abgefragt werden kann. Nachdem per Netsh die WinHTTP Proxy-Einstellungen gesetzt wurden, konnte eine Überprüfung der CRL durchgeführt werden. Nach einem Aktualisieren der Zertifikats-Liste in der Exchange-Konsole wurde das Zertifikat als gültig anerkannt.

image

Zur Info: Der Parameter “proxy-server” kann entweder der Name oder die IP des Proxys sein, der Port wird per : eingestellt. Der Parameter “bypass-list” gibt an, für welche Namen der Proxy nicht genutzt wird. In unserem Fall wäre dies z.B. “*.rachfahl.local”.

Nun können die Dienste auf das neue Zertifikat gebunden werden, das alte abgelaufene Zertifikat kann danach gelöscht werden.

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

6 Kommentare:

  1. Vielen Dank für den Artikel.
    Ich verwende keinen Proxyserver. Direktzugriff.
    Muss dieser dann zwingend verwendet und konfiguriert werden?

  2. Vielen Dank für den Artikel.
    Ich verwende keinen Proxyserver. Direktzugriff.
    Muss dieser dann zwingend verwendet und konfiguriert werden?

  3. Was muss denn wie konfiguriert werden wenn kein Proxyserver eingesetzt wird und der Zugang direkt über die Firewall erfolgt?

  4. Das würde mich auch mal interessieren, welche Einstellungen man nutzen soll/muss wenn kein Proxy im Einsatz ist.

  5. Ich habe das Problem mit einer internen CA. Der Server kann direkt und ohne Proxy die CRL abrufen, scheitert aber.

  6. Ich kann die CRL vom Server über den IE downloaden. Exchange aber nicht. Über welchen Account versucht Exchange die CRL zu downloaden. Können Berechtigungen das Problem sein?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *