Exchange 2010, PKI & certificate revocation lists
Σε πρόσφατη επίσκεψη σε πελάτη ο οποίος εγκαθιστούσε ένα επιπλέον Exchange 2010 SP1 με όλους τους ρόλους, εμφανίστηκε ένα περίεργο πρόβλημα αφού έκανε export & import το commercial certificate το οποίο χρειαζόταν για να δουλέψει ο OWA και οι σχετικές υπηρεσίες (Autodiscover, Outlook Anywhere κλπ) από τον αρχικό Exchange. Το μήνυμα είχε ως εξής: "The certificate status could not be determined because the revocation check failed". Από το κείμενο ήταν προφανές ότι ο server δεν είχε πρόσβαση στην CRL (Certificate Revocation List) του Certification Authority (CA) το οποίο εξέδωσε το πιστοποιητικό.
Σε παρόμοιες καταστάσεις στις οποίες χρησιμοποιούμε εσωτερικό CA, το πρόβλημα έγκειται συνήθως στη μη διαθεσιμότητα της CRL λόγω κάποιου σφάλματος στο configuration. Στη συγκεκριμένη περίπτωση όμως, το CA ήταν commercial και η εταιρεία που εξέδωσε το πιστοποιητικό μεγάλη και σοβαρή - οπότε το να υπάρχει πρόβλημα διαθεσιμότητας στην CRL ήταν ένα ενδεχόμενο το οποίο ούτε καν εξέτασα. Εστίασα στο κατά πόσο ο συγκεκριμένος server είχε πρόσβαση προς το internet, κάτι που φάνταζε πιο πιθανό. Και όντως έτσι ήταν: η πρόσβαση στο internet απαιτούσε proxy και αυτός δεν είχε δηλωθεί.
Μια δήλωση μέσω netsh μας έλυσε το πρόβλημα. Τρέχοντας την εντολή netsh winhttp show proxy είδαμε ότι δεν είχε οριστεί proxy. Τρέξαμε την ίδια εντολή στον παλιό server και εκεί είδαμε τους proxy που είχαν οριστεί και τους αντιγράψαμε στον "προβληματικό" server. Το πρόβλημα λύθηκε και η Exchange δουλειά μας συνεχίστηκε. Περισσότερες πληροφορίες για τέτοιου είδους καταστάσεις μπορείτε να βρείτε εδώ: http://blogs.technet.com/b/exchange/archive/2010/07/26/3410505.aspx. Τις εντολές για το netsh μπορείτε να τις βρείτε εδώ: http://technet.microsoft.com/en-us/library/bb430772.aspx.
0 Comments
Recommended Comments
There are no comments to display.