none
TLS zwischen 2 Exchange Orgs RRS feed

  • Frage

  • Hallo,

    ich versuche gerade eine TLS Kommunikation zwischen 2 Exchange Organisationen einzurichten. Leider bekomme ich auf beiden seiten immer den Fehler "RevocationOffline". Folgendes habe ich schon auf beiden Seiten eingestellt:

    - Stammzertifizierungsstellenzertifikat der jeweiligen Gegenstelle in den vertrauenswürdigen Speicher importiert
    - extra Sende und Empfangconnectoren auf den DomainSecureEnable Aktiv ist
    - über Set-TransportConfig wurde auf beiden Seiten der Wert für TLSSend und TLS Receive bearbeitet
    - auf beiden Seiten kommen keine Fehler beim CRL Download (getestet mit certutil -verify)
    - CRL Zugriff funktioniert an den jeweiligen Exchange Server über den Browser Ohne Fehler
    - der FQDN der Connectoren ist bestandteil des eigenen Zertifikats
    - das Zertifikat wurde an den SMTP Connector gebunden und ist auch das einzige dafür
    - auf beiden Seiten sind die CRL über Port80 auf einem IIS freigegeben (auf beiden Seiten auch mit Appcmd set config “Default Web Site” /section:system.webServer/Security/requestFiltering -allowDoubleEscaping:True -> Wegen Delta Download und Problem mit + im Namen)

    Der Eine Server ist ein Exchange 2007 (hinter einer TMG) der andere ein Exchange 2010 (hinter einer Fritzbox).

    Egal was ich versuche beide Exchangeserver bringen in der Warteschlange immer den Fehler Certificate Validation Failed. Habt ihr noch ein Tip woran es liegen könnte ?

    Ich danke euch schon einmal für eure Hilfe!

    Mfg Michael Scherr



    Dienstag, 17. Juli 2012 11:45

Antworten

  • Hallo,

    sorry das ich mich jetzt erst wieder melde. Nach dem reboot des einen Exchange Server funktionierte die Kommunikation per TLS. Ich vermute es lag an dem Cache der CRL Listen (obwohl ich diesen geleert hatte). Da ich die crl nicht aus dem std certenroll Ordner freigegeben habe musste ich noch eine Scriupt bauen was wir immer die neuen CRL an meinen IIS Webroot kopiert. Nachdem dies auch eingerichtet war funktioniert alles bis auf eine Sache.

    Immer wenn der Kunde mit eine Mail schickt die nicht direkt an mich sondern an eine Verteilerliste (bei Ihm eine) geht kommt die mail ungesichert an. In der Verteilerliste bei Ihm habe ich einen Kontakt wo meine Mail-Adresse als Extern eingestellt ist.

    Bis auf dieses kleine Problem funktioniert aber alles.

    Mfg

    Michael Scherr


    Montag, 23. Juli 2012 05:38

Alle Antworten

  • Moin,

    hier:

    ich versuche gerade eine TLS Kommunikation zwischen 2 Exchange Organisationen einzurichten. Leider bekomme ich auf beiden seiten immer den Fehler "RevocationOffline". Folgendes habe ich schon auf beiden Seiten eingestellt:

    unten:

    Egal was ich versuche beide Exchangeserver bringen in der Warteschlange immer den Fehler Certificate Validation Failed. Habt ihr noch ein Tip woran es liegen könnte ?

    Entscheide Dich für einen Fehler! ;)

    - Stammzertifizierungsstellenzertifikat der jeweiligen Gegenstelle in den vertrauenswürdigen Speicher importiert

    Hast Du das wirklich in den richtigen Speicher importiert? Also in das Computerkonto, nicht in das Benutzerkonto?


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 17. Juli 2012 12:34
  • Hallo,

    der Fehler ist denke ich er gleiche. Die Meldung "RevocationOffline" bekomme ich in der Ereignisanzeige. Die andere Meldung direkt in der Warteschlangenübersicht.

    Bezüglich deiner Frage, ja die rootca der jeweiligen Gegenstelle habe ich im Computerspeicher importiert. Das habe ich auch gerade noch einmal geprüft.

    Mfg

    Michael Scherr

    Dienstag, 17. Juli 2012 12:37
  • Hi Michael,

    wie war der genaue Fehler?

    Hier kannst du auch etwas testen, beides sind domain Zertifikate und nicht SelfSign?

    http://www.checktls.com/TestReceiver


    Viele Grüße
    Christian

    Dienstag, 17. Juli 2012 14:41
    Moderator
  • Hi,

    ach vielleicht hast du noch den SMTP-Dialog...


    Viele Grüße
    Christian

    Dienstag, 17. Juli 2012 14:42
    Moderator
  • Hallo,

    also ich bin jetzt noch ein Stück weiter gekommen. Nachdem ich gestern Abend mal den zweiten (Exchange 2007) rebootet habe bekahm ich erst einmal eine neue Fehlermeldungen.

    #550
    5.7.1 Client does not have permissions to submit to this server ##

    Nachdem ich dann noch ein wenig gegoogelt hatte habe ich herrausgefunden das bei dem Empfangsconnector nicht nur Anonym sondern auch Partner aktiviert werden musste. Nachdem ich dies getan hatte funktioniert das TLS ohne Erkennbare Probleme.

    Ich werde nochmal ein wenig testen und gebe dann noch einmal bescheid.

    Mittwoch, 18. Juli 2012 05:42
  • Hallo,

    sorry das ich mich jetzt erst wieder melde. Nach dem reboot des einen Exchange Server funktionierte die Kommunikation per TLS. Ich vermute es lag an dem Cache der CRL Listen (obwohl ich diesen geleert hatte). Da ich die crl nicht aus dem std certenroll Ordner freigegeben habe musste ich noch eine Scriupt bauen was wir immer die neuen CRL an meinen IIS Webroot kopiert. Nachdem dies auch eingerichtet war funktioniert alles bis auf eine Sache.

    Immer wenn der Kunde mit eine Mail schickt die nicht direkt an mich sondern an eine Verteilerliste (bei Ihm eine) geht kommt die mail ungesichert an. In der Verteilerliste bei Ihm habe ich einen Kontakt wo meine Mail-Adresse als Extern eingestellt ist.

    Bis auf dieses kleine Problem funktioniert aber alles.

    Mfg

    Michael Scherr


    Montag, 23. Juli 2012 05:38