Remove From My Forums

impossible de determiner l'état du certificat car la vérification de révocation a échoué

Question
0

Connectez-vous pour voter

Bonjour,

Je commence par une description détaillée de la topologie de notre système de messagerie:

On a 2 serveurs Exchange 2010 hébergeant tous les rôles en cluster (DAG). et on a une autorité de certificat installée sur un Windows Serveur 2008.

Il y a maintenant 2 ans que tous fonctionne bien, parce que les trois serveurs existaient dans le réseau LAN. jusqu'au déplacement du serveur hébergeant l'autorité de certification dans la zone DMZ.

Après ce déplacement, on a le massage d'erreur suivant qui apparaît dans la console Exchange "impossible de déterminer l'état du certificat car la vérification de révocation a échoué".

J'ai vérifié la connectivité entre les deux serveurs Exchange et le serveur de l'autorité de certificat: OK

Le port 443 est ouvert entre ses serveurs aussi.

Si quelqu'un à une idée par rapport à ce problème .....

Merci d'avance

JAOUAD KAMOU FORUM

mercredi 24 avril 2013 08:54

Réponse

|

Citation

Réponses

1

Connectez-vous pour voter
Bonjour tout le monde,

Le problème est réglé.

En fait, j'ai fait deux manips:

1- Publication de la liste de révocation.

2- Vérification des ports au niveau du firewall : http://blogs.technet.com/b/pki/archive/2010/06/25/firewall-roles-for-active-directory-certificate-services.aspx

Merci pour votre collaboration.

Jaouad KAMOU
- Marqué comme réponse KAMOU lundi 29 avril 2013 08:51
lundi 29 avril 2013 08:50

Réponse

|

Citation
0

Connectez-vous pour voter
Est ce que vous avez publier la liste de revocation recement? Celle ci est peut etre tout simplement trop vieille. Dans la console ADCS, sur Revoked Certificate -> Click droit / all task / publish

Verifier avec la MMC 'Enterprise PKI' si tout est OK aussi.
Bruce Jourdain de Coutance - Consultant Exchange http://brucejdc.blog.free.fr
- Marqué comme réponse Florin Ciuca lundi 29 avril 2013 08:52
vendredi 26 avril 2013 14:06

Réponse

|

Citation

Modérateur

Toutes les réponses

0

Connectez-vous pour voter
Bonjour, par défaut, le port d'écoute de la CRL est du http donc le port 80 si vous ne l'avez pas modifié. (http://technet.microsoft.com/en-us/library/dd379499(v=ws.10).aspx)

Pouvez-vérifier en ouvrant le port 80 ?

Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
- Modifié zeusos mercredi 24 avril 2013 09:58
mercredi 24 avril 2013 09:55

Réponse

|

Citation
0

Connectez-vous pour voter

Dans vos certificats vous devez avoir un champs indiquant ou est publiée la liste de revocation. Il suffit de vérifier si ce chemin fonctionne depuis votre LAN interne. La vérification est comme l'indique zeusos en HTTP et pas en HTTPS (il faudrait vérifier la CRL du certificat qui donne l'accès au CRL... un serpent qui se mord la queue facilement).

Bruce Jourdain de Coutance - Consultant Exchange http://brucejdc.blog.free.fr

mercredi 24 avril 2013 10:05

Réponse

|

Citation

Modérateur
0

Connectez-vous pour voter

Je vous remercie pour vos réponses.

Telnet sur le port 80 (depuis les serveurs Exchange vers CA et vis vers ça): OK.

Depuis le navigateur, l'url http://serveur-ca/certsrv : opérationnelle.

Est ce bien ça le chemin que je dois tester:

JAOUAD KAMOU FORUM

mercredi 24 avril 2013 10:18

Réponse

|

Citation
0

Connectez-vous pour voter

Pour accéder aux emplacements de la liste des révocations, afficher les propriétés de votre autorité racine puis cliquez sur l'onglet Extensions

Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

mercredi 24 avril 2013 11:31

Réponse

|

Citation
0

Connectez-vous pour voter

J'ai vérifié au niveau du serveur CA, la définition de l'url est correcte et elle est accessible depuis les serveurs Exchange et malgré ça, l'état du certificat est toujours le même.
JAOUAD KAMOU FORUM

mercredi 24 avril 2013 14:05

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Voici quelques article qui vous peuvent aider:

Certificate revocation checked failed

The Certificate Status could not be determined because the revocation check failed

Exchange server 2010 "The revocation function was unable to check revocation because the revocation server was offline

Message d'erreur lorsque vous importez un certificat tiers dans Exchange Server 2010: « l'état du certificat pas pu être déterminé car la vérification de révocation a échoué »

Merci de nous tenir au courant.

Cordialement,

Florin
Florin CIUCA, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

vendredi 26 avril 2013 14:02

Réponse

|

Citation
0

Connectez-vous pour voter
Est ce que vous avez publier la liste de revocation recement? Celle ci est peut etre tout simplement trop vieille. Dans la console ADCS, sur Revoked Certificate -> Click droit / all task / publish

Verifier avec la MMC 'Enterprise PKI' si tout est OK aussi.
Bruce Jourdain de Coutance - Consultant Exchange http://brucejdc.blog.free.fr
- Marqué comme réponse Florin Ciuca lundi 29 avril 2013 08:52
vendredi 26 avril 2013 14:06

Réponse

|

Citation

Modérateur
1

Connectez-vous pour voter
Bonjour tout le monde,

Le problème est réglé.

En fait, j'ai fait deux manips:

1- Publication de la liste de révocation.

2- Vérification des ports au niveau du firewall : http://blogs.technet.com/b/pki/archive/2010/06/25/firewall-roles-for-active-directory-certificate-services.aspx

Merci pour votre collaboration.

Jaouad KAMOU
- Marqué comme réponse KAMOU lundi 29 avril 2013 08:51
lundi 29 avril 2013 08:50

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Merci pour votre retour,

Cordialement,

Florin
Florin CIUCA, MSFT Votez! Appel à la contribution
Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

lundi 29 avril 2013 08:52

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

impossible de determiner l'état du certificat car la vérification de révocation a échoué

Question

Réponses

Toutes les réponses