Jump to content
Sign in to follow this  
  • entries
    6
  • comments
    8
  • views
    2283

Exchange 2010, PKI & certificate revocation lists

Sign in to follow this  
dimitris

268 views

Σε πρόσφατη επίσκεψη σε πελάτη ο οποίος εγκαθιστούσε ένα επιπλέον Exchange 2010 SP1 με όλους τους ρόλους, εμφανίστηκε ένα περίεργο πρόβλημα αφού έκανε export & import το commercial certificate το οποίο χρειαζόταν για να δουλέψει ο OWA και οι σχετικές υπηρεσίες (Autodiscover, Outlook Anywhere κλπ) από τον αρχικό Exchange. Το μήνυμα είχε ως εξής: "The certificate status could not be determined because the revocation check failed". Από το κείμενο ήταν προφανές ότι ο server δεν είχε πρόσβαση στην CRL (Certificate Revocation List) του Certification Authority (CA) το οποίο εξέδωσε το πιστοποιητικό.

Σε παρόμοιες καταστάσεις στις οποίες χρησιμοποιούμε εσωτερικό CA, το πρόβλημα έγκειται συνήθως στη μη διαθεσιμότητα της CRL λόγω κάποιου σφάλματος στο configuration. Στη συγκεκριμένη περίπτωση όμως, το CA ήταν commercial και η εταιρεία που εξέδωσε το πιστοποιητικό μεγάλη και σοβαρή - οπότε το να υπάρχει πρόβλημα διαθεσιμότητας στην CRL ήταν ένα ενδεχόμενο το οποίο ούτε καν εξέτασα. Εστίασα στο κατά πόσο ο συγκεκριμένος server είχε πρόσβαση προς το internet, κάτι που φάνταζε πιο πιθανό. Και όντως έτσι ήταν: η πρόσβαση στο internet απαιτούσε proxy και αυτός δεν είχε δηλωθεί.

Μια δήλωση μέσω netsh μας έλυσε το πρόβλημα. Τρέχοντας την εντολή netsh winhttp show proxy είδαμε ότι δεν είχε οριστεί proxy. Τρέξαμε την ίδια εντολή στον παλιό server και εκεί είδαμε τους proxy που είχαν οριστεί και τους αντιγράψαμε στον "προβληματικό" server. Το πρόβλημα λύθηκε και η Exchange δουλειά μας συνεχίστηκε. Περισσότερες πληροφορίες για τέτοιου είδους καταστάσεις μπορείτε να βρείτε εδώ: http://blogs.technet.com/b/exchange/archive/2010/07/26/3410505.aspx. Τις εντολές για το netsh μπορείτε να τις βρείτε εδώ: http://technet.microsoft.com/en-us/library/bb430772.aspx.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...