Wednesday, August 29, 2012

Exchange 2010: “The certificate status could not be determined because the revocation check failed”

Na het installeren van een certificaat kan in de Exchange Management Console de volgende melding verschijnen in de Status-kolom: “The certificate status could not be determined because the revocation check failed”.

image

Om te bepalen of een certificaat geschikt is om aan Exchange-services te koppelen doet de server een aantal controles. Bijvoorbeeld of de private key geïnstalleerd is en of het certificaat niet ingetrokken is. De lijst waarop ingetrokken certificaten staan wordt bijgehouden door de instantie die het certificaat uitgegeven heeft, deze lijst is de Certificate Revocation List en de locatie waar deze te vinden is staat in het certificaat:

image

In dit geval is het dus niet zo dat Exchange ontdekt dat het certificaat ingetrokken is, maar dat het uitvoeren van deze controle mislukt is. Een vaak voorkomende oorzaak is dat de server achter een proxy zit en het operating system niet geconfigureerd is om deze te gebruiken. Exchange gebruikt voor HTTP en HTTPS connecties niet de instellingen in je browser maar WinHTTP. Wanneer de server een proxy moet gebruiken dan stellen we dat in met het netsh commando. Om de huidige instellingen te tonen gebruiken we:

netsh winhttp show proxy

Om een proxy-server in te stellen: (OnzeProxyServer is een placeholder voor de NetBIOS of FQDN naam of het IP-adres van de proxyserver)

netsh winhttp set proxy proxy-server="http=OnzeProxyServer:8080"

Met het volgende commando geven we een by-pass list mee:

netsh winhttp set proxy proxy-server="http=OnzeProxyServer:8080" bypass-list="*.domain.local"

image

(in bovenstaand screenshot is een deel van de servernaam verborgen in verband met privacy)

Na het doorvoeren van deze aanpassing is een refresh van de EMC voldoende, Exchange kan de controle nu uitvoeren en meldt dat het certificaat in orde is:

image

Wanneer dit niet direct te zien is kan het soms nodig zijn om de caches eerst te legen:

certutil -urlcache ocsp delete
certutil -urlcache crl delete

Na een reboot en opnieuw starten van EMC moet nu het goede resultaat te zien zijn.

No comments: