none
Добавление wildcard сертификата Ошибка: RevocationCheckFailure RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Пришло время обновлять сертификат для Exchange 2013 (SMTP,IMAP,POP3,IIS). 

    На www.digicert.com был приобретен за деньги wildcard сертификат, в формате pem. 

    Через openssl сконвертировал успешно pem в pkcs12 -  openssl.exe pkcs12 -export -out "C:\mycertificate.pfx" -inkey "C:\key.pem" -in "C:\crt.pem" -certfile "C:\root.crt" (задаю пароль)

    Далее через EMS импортирую его на CAS:

    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "C:\crt\mycertificate.pfx" -Encoding byte -ReadCount 0)) -FriendlyName domainnamecert -Password:(Get-Credential).password

    По итогу статус сертификата RevocationCheckFailure.


    Мои действия:

    Пробую импортировать через GUI ECP + повторно перегенерить с помощью openssl заново pkcs12 сертификат. 

    Добавляю на Exchange в доверенные корневой и промежуточный 

    Проверил в ECP состояние этого добавленного сертификата "Revocation check failed",  в соседней вкладке IE проверяю доступность crl - отлично открывается ссылка и автоматически скачивается файл crl.

    Так же с сервера доступны crl и промежуточного сертификата. (Напомню, корневой и промежуточный добавлен уже в локальное хранилище в доверенные)

    Результат команды с сервера:

    C:\WINDOWS\system32>netsh winhttp show proxy
    
    Текущие параметры WinHTTP прокси.
    
        Прямой доступ (без прокси-сервера).

    Подскажите пожалуйста, что я пропустил или как заставить сертификат поменять статус на Valid?



    • Изменено Legioner 1 марта 2018 г. 9:20
    1 марта 2018 г. 9:16

Ответы

  • If the proxy settings are correct, and it still doesn't work, try the following commands to clear the OCSP/CRL cache:

    certutil -urlcache ocsp delete
    certutil -urlcache crl delete

    Next, reboot your server, and open the Exchange Management Console back up to check the status of the certificate again.

    • Помечено в качестве ответа Legioner 2 марта 2018 г. 7:31
    1 марта 2018 г. 12:22

Все ответы

  • Добрый день,

    а в настройках IE при этом указан прокси какой то?

    1 марта 2018 г. 10:21
  • Ранее было указано "Авто определение параметров" (У нас используется WPAD), но я его отключил. После чего повторял операции.

    Пробовал даже специально прописать прокси, с добавлением в исключения *.domain - после чего перезапускал службу транспорта, результат тот же.

    Сейчас в настройках IE не указано ничего в значениях прокси

    1 марта 2018 г. 10:35
  • If the proxy settings are correct, and it still doesn't work, try the following commands to clear the OCSP/CRL cache:

    certutil -urlcache ocsp delete
    certutil -urlcache crl delete

    Next, reboot your server, and open the Exchange Management Console back up to check the status of the certificate again.

    • Помечено в качестве ответа Legioner 2 марта 2018 г. 7:31
    1 марта 2018 г. 12:22
  • If the proxy settings are correct, and it still doesn't work, try the following commands to clear the OCSP/CRL cache:

    certutil -urlcache ocsp delete
    certutil -urlcache crl delete

    Next, reboot your server, and open the Exchange Management Console back up to check the status of the certificate again.

    Спасибо за информацию. Проверю в нерабочее время, через 8 часов.

    По итогу, если status сертификата будет: Valid, то можно будет смело удалять старый и применить новый


    • Изменено Legioner 1 марта 2018 г. 12:41
    1 марта 2018 г. 12:40
  • Добрый день, помогло.

    Status: Valid

    2 марта 2018 г. 7:30