Bei einem unserer Kunden stand die Erneuerung des SSL-Zertifikats an. Damit Handys und Nicht-Domänenmitglieder keine Fehlermeldung bei dem Aufruf des Outlooks bzw. des OWAs bekommen, wurde ein Zertifikat von GoDaddy gewählt. Nachdem der Zertifikatsrequest im Exchange Server ausgestellt (eine Anleitung dazu hat mein Kollege Carsten hier im Blog geschrieben) und das fertige Zertifikat wieder eingespielt wurde, zeigte der Exchange Server die folgende Fehlermeldung:
Der Zertifikatsstatus konnte nicht ermittelt werden, da die Sperrungsüberprüfung fehlgeschlagen ist.
Durch diesen Fehler war es nicht möglich, Dienste auf das neu eingespielte Zertifikat zu binden. Eine kurze Suche hat den folgenden Thread im Microsoft-Forum sowie den offiziellen Technet-Artikel zu dem Problem hervorgebracht:
The Certificate Status could not be determined because the revocation check failed
Ursache dieses Problems ist, das die CRL (Certificate Revocation List) nicht abgefragt werden kann. Nachdem per Netsh die WinHTTP Proxy-Einstellungen gesetzt wurden, konnte eine Überprüfung der CRL durchgeführt werden. Nach einem Aktualisieren der Zertifikats-Liste in der Exchange-Konsole wurde das Zertifikat als gültig anerkannt.
Zur Info: Der Parameter “proxy-server” kann entweder der Name oder die IP des Proxys sein, der Port wird per : eingestellt. Der Parameter “bypass-list” gibt an, für welche Namen der Proxy nicht genutzt wird. In unserem Fall wäre dies z.B. “*.rachfahl.local”.
Nun können die Dienste auf das neue Zertifikat gebunden werden, das alte abgelaufene Zertifikat kann danach gelöscht werden.
Vielen Dank für den Artikel.
Ich verwende keinen Proxyserver. Direktzugriff.
Muss dieser dann zwingend verwendet und konfiguriert werden?
Vielen Dank für den Artikel.
Ich verwende keinen Proxyserver. Direktzugriff.
Muss dieser dann zwingend verwendet und konfiguriert werden?
Was muss denn wie konfiguriert werden wenn kein Proxyserver eingesetzt wird und der Zugang direkt über die Firewall erfolgt?
Das würde mich auch mal interessieren, welche Einstellungen man nutzen soll/muss wenn kein Proxy im Einsatz ist.
Ich habe das Problem mit einer internen CA. Der Server kann direkt und ohne Proxy die CRL abrufen, scheitert aber.
Ich kann die CRL vom Server über den IE downloaden. Exchange aber nicht. Über welchen Account versucht Exchange die CRL zu downloaden. Können Berechtigungen das Problem sein?
Super, hat gut funktioniert. Wäre ich nicht drauf gekommen!