none
Центр Сертификации + Exchange 2010. RRS feed

  • Вопрос

  • Доброго дня, коллеги.

    Данная проблема уже неоднократно поднималась на просторах интернета, но к сожалению решения для меня оказалось не очевидным.


    Собственно выписываю сертификат моим (внутреннем, доменным) центром сертификации для сервисов Exchange 2010 и как бы я не пытался чтобы я не делал всегда одна и таже ошибка:

    "Не удалось определить состояние сертификата, так как не удалось выполнить проверку отзыва"

    Я вроде как разобрался, что должна быть доступна url указанная в "Точка распределения саиска отзыва"

    у меня это   URL=http://мой_ЦС/root.crl

    Сервер доступен, сертификаты он выдает. 

    А вот если перейти по этой url, то будет ошибка "404 - файл или каталог не найден"

    На самом ЦС в свойствах так же указан этот урл.

    Я маленько не понимаю в этом моменте, почему ошибка "не найден" 

    Как можно исправить ? 

    Какая еще нужна информация для более точного определения проблемы ? 
    2 ноября 2016 г. 11:49

Ответы

  • Exchange(IIS) не воспринимает символ "+" в дельте CRL.

    выполните команду на сервере CA

    %windir%\system32\inetsrv\appcmd set config  -section:requestfiltering -allowDoubleEscaping:true

    и перезапустите сервер CA и Exchange


    scientia potentia est
    My blog


    • Изменено Mikhail SartaevMVP 4 ноября 2016 г. 12:22
    • Помечено в качестве ответа Ульт 7 ноября 2016 г. 4:40
    4 ноября 2016 г. 12:17

Все ответы

  • Коллеги, подскажите, в чём может быть дело ? 


    Путь указанный в "точках распостранени" доступен с почтового сервера, по пути расположены списки отзыва. Я их уже всяко установил. Явно указывал и тд и тп. Выписываю сертификат - всё равно
     "Не удалось определить состояние сертификата, так как не удалось выполнить проверку отзыва"


    3 ноября 2016 г. 4:30
  • А вы файл CRL туда положили - в ту папку, на которую URL указывает?

    Сам центр сертификации по умолчанию кладёт списки отзыва в папку так, что они доступны (при условии установки службы роли Certificate Web Enrolment, насколько я помню) через несколько другой URL (всё это настраивается в свойствах ЦС - настройка расширения CDP сертификата) .

    PS Имейте в виду: если вы хотите использовать эти сертификаты при доступе снаружи, то точка распространения списков отзыва тоже должна быть доступна снаружи.


    Слава России!




    • Изменено M.V.V. _ 3 ноября 2016 г. 7:34
    3 ноября 2016 г. 7:31
  • если в браузере на почтовом сервере перейти по url указанному в "точка списка отзывов" то там отобразится 4 файла, 2 из них будут списками отзывов (постоянный и новый, на сколько я понимаю).

    Доступ к ним есть внутри нашей сети как минимум. Скачать можно по урл с любого компа. Все пути настраивал и перепроверял в ЦС.

    Проблема собственно в том, что когда пользователь запускает аутлук, тот при подключении к моему ексченджу ругается на плохой сертификат. Работать можно, но каждый раз соглашаться с ошибкой я не хочу. Я могу подсунуть через IIS "плохой" сертификат и тогда ошибка уйдет, но это вызывает не правильную работу со спам фильтром.

    Как заставить ексчейндж увидеть точки списков отзывов, учитывая что доступ к ним есть ?
    3 ноября 2016 г. 8:34
  • Смотрите расширение CDP конкретного сертификата в Exchange: там эта точка отзыва прописана?

    И ещё: не устарел ли ваш список отзыва?

    PS Проверить сертификат, включая доступность информации об отзыве, можно командой

    certutil -verify -urlfetch файл_сертификата


    Слава России!


    • Изменено M.V.V. _ 3 ноября 2016 г. 8:39
    3 ноября 2016 г. 8:38
  • Смотрите расширение CDP конкретного сертификата в Exchange: там эта точка отзыва прописана?

    Вот тут можно поподробней ?

     И ещё: не устарел ли ваш список отзыва?

    Как это узнать ? 

    Выполненная команда показывает ошибки:

      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32:
     50)
        file://SDC.evm.ru/CertEnroll/SDC.evm.ru_evm-SDC-CA.crt


      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        [1.2.0] http://sdc.evm.ru/CertEnroll/

      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (05d5)" Время: 0
        [0.0] http://SDC.evm.ru/CertEnroll/evm-SDC-CA+.crl

      ОК "Базовый CRL (05d5)" Время: 0
        [1.0] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      ОК "Разностный CRL (05d5)" Время: 0
        [1.0.0] http://SDC.evm.ru/CertEnroll/evm-SDC-CA+.crl

      Старый базовый CRL "Разностный CRL (05d5)" Время: 0
        [1.0.1] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        [1.2.0] http://sdc.evm.ru/CertEnroll/

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        http://sdc.evm.ru/CertEnroll/

      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://SDC.evm.ru/CertEnroll/SDC.evm.ru_evm-SDC-CA.crt


    Я вижу что он ругается на то, что не нашел объект. Но маленько не понимаю где его взять ? По какому пути он должен быть ? 

    • Изменено Ульт 3 ноября 2016 г. 9:23
    3 ноября 2016 г. 9:02
  • Код 0x80190194 имеет символическое имя BG_E_HTTP_ERROR_404. То есть клиент BITS при попытке скачать CRL получает от веб-сервера код ошибки 404 (файл не найден). Разбирайтесь с веб-сервером: смотрите его лог, проверяйте пути, по которым отображаются папки, и т.д.

    PS AIA у вас криво настроен, однако: URL типа file:// в расширение AIA сертификата добавлять не нужно (да и вообще в одноуровневой иерархии PKI без AIA можно обойтись, т.к. сертификат выпускающего ЦС в этом случае по любому обязан находиться на клиенте - в хранилище довернных корневых центров сертификации); путь к OCSP настроен совершенно неправильно - если OCSP используется, то там должна быть папка, обычно - http://имя.сервера/ocsp, если не используется - его вообще не должно быть в AIA.


    Слава России!

    3 ноября 2016 г. 9:28
  • Я маленько поправил свойства ЦА, выписал новый серт и уже получил другие ошибки. Отредактировал своё сообщение.


    "путь к OCSP настроен совершенно неправильно - если OCSP используется, то там должна быть папка, обычно - http://имя.сервера/ocsp, если не используется - его вообще не должно быть в AIA."

    Я бы рад его не использовать, но как отключить ? 
    3 ноября 2016 г. 9:43
  • Про OCSP: галку "Включать в расширение OCSP" в свойствах ЦС для AIA снимите .

    Расширение CDP у нынешнего сертификата покажите.

    И зря вы редактировали - тому, кто повторит вашу ошибку, будет ничего не понятно.


    Слава России!

    3 ноября 2016 г. 10:05
  • Про OCSP: галку "Включать в расширение OCSP" в свойствах ЦС для AIA снимите

    Спасибо - убрал.


    Получается остались только ошибки:

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        [1.2.0] http://sdc.evm.ru/CertEnroll/

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        http://sdc.evm.ru/CertEnroll/
    3 ноября 2016 г. 10:22
  • Во-первых, в первом URL поставьте галки Опубликовать CRL по данному адресу и Публикация разностных CRL по адресу, чтобы CRL публиковались там центром сертификации автоматически.

    Во-вторых, второй и третий URL имело бы смысл объединить с помощью переменных: http://sdc.evm.ru/CertEnroll/<CAname><CRLNameSuffix><DeltaCRLAllowed>.crl. А то если смените/обновите сертификат ЦС, будут проблемы.

    Или, как минимум, во втором - оставить только галку "Включить в CRL ..."(это - разностный CRL, знак '+' - это как раз признак его по умолчанию - <DeltaCRLAllowed>), а для третьего - только "Включать в CDP выданных сертификатов" (это - базовый CRL)

    PS И последнее: зачем вы публикацию CRL в AD (ldap://...) убрали?


    Слава России!




    • Изменено M.V.V. _ 3 ноября 2016 г. 11:35
    3 ноября 2016 г. 11:03
  • Сделал как вы сказали, перевыпустил сертификат заново и тоже самое

     "Не удалось определить состояние сертификата, так как не удалось выполнить проверку отзыва"

    C:\Users\Vrabets>certutil -verify -urlfetch C:\Users\Vrabets\Desktop\certnew.cer

    Поставщик:
        CN=evm-SDC-CA
        DC=evm
        DC=ru
    Субъект:
        CN=evm.ru
        OU=IT
        O=EVM
        L=Ekb
        S=Svrdl
        C=RU
    Серийный номер сертификата: 7d0000008f2d350cd9eb159b3500000000008f

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 2 Hours, 48 Minutes, 22 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 2 Hours, 48 Minutes, 22 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=evm-SDC-CA, DC=evm, DC=ru
      NotBefore: 03.11.2016 16:24
      NotAfter: 03.11.2018 16:24
      Subject: CN=evm.ru, OU=IT, O=EVM, L=Ekb, S=Svrdl, C=RU
      Serial: 7d0000008f2d350cd9eb159b3500000000008f
      SubjectAltName: DNS-имя=mail.evm.ru, DNS-имя=ex2013.evm.ru, DNS-имя=mail.dr6.r
    u, DNS-имя=mail.tdevm.ru, DNS-имя=autodiscover.evm.ru, DNS-имя=autodiscover.tevz
    .ru, DNS-имя=autodiscover.dr6.ru, DNS-имя=autodiscover.tdevm.ru, DNS-имя=sip.dr6
    .ru, DNS-имя=evm.ru, DNS-имя=tevz.ru, DNS-имя=dr6.ru, DNS-имя=tdevm.ru
      Template: Web-Server
      e1 da 0e 81 6b ca 58 45 be 36 1f ff 13 51 f4 20 7f c7 24 2c
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] ldap:///CN=evm-SDC-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN
    =Configuration,DC=evm,DC=ru?cACertificate?base?objectClass=certificationAuthorit
    y

      Проверено "Сертификат (0)" Время: 0
        [1.0] http://SDC.evm.ru/CertEnroll/SDC.evm.ru_evm-SDC-CA.crt

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (05d5)" Время: 0
        [0.0] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      Проверено "Разностный CRL (05d5)" Время: 0
        [0.0.0] http://SDC.evm.ru/CertEnroll/evm-SDC-CA+.crl

      Старый базовый CRL "Разностный CRL (05d5)" Время: 0
        [0.0.1] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        [0.2.0] http://sdc.evm.ru/CertEnroll/

      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (05d5)" Время: 0
        [0.0] http://SDC.evm.ru/CertEnroll/evm-SDC-CA+.crl

      ОК "Базовый CRL (05d5)" Время: 0
        [1.0] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      ОК "Разностный CRL (05d5)" Время: 0
        [1.0.0] http://SDC.evm.ru/CertEnroll/evm-SDC-CA+.crl

      Старый базовый CRL "Разностный CRL (05d5)" Время: 0
        [1.0.1] http://sdc.evm.ru/CertEnroll/evm-SDC-CA.crl

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        [1.2.0] http://sdc.evm.ru/CertEnroll/

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-214688562
    3)
        http://sdc.evm.ru/CertEnroll/

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 05d5:
        Issuer: CN=evm-SDC-CA, DC=evm, DC=ru
        0a 0b 88 76 21 f3 32 4a c2 0b d1 e3 f0 4b 7c 7a d7 9a 02 c2
        Delta CRL 05d5:
        Issuer: CN=evm-SDC-CA, DC=evm, DC=ru
        9d 34 fd 46 a3 c9 96 1f fd 14 48 46 43 8a bd 42 2f 4a 0f 5e
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=evm-SDC-CA, DC=evm, DC=ru
      NotBefore: 11.02.2012 14:53
      NotAfter: 11.02.2022 15:03
      Subject: CN=evm-SDC-CA, DC=evm, DC=ru
      Serial: 2a8a7970ea491cb5468a0bed82ff7e8a
      ce ce 6e 36 15 c4 91 3a 7c d5 5c 16 6d e4 df a3 a0 5f 34 2d
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      8e 41 2c 13 5b 10 8b ab 3c eb 37 cd b1 19 4e 9a 25 41 d1 fc
    Full chain:
      df 0a da 26 be 58 bf 1f 48 a7 d7 ad c5 94 6d 1a 21 db c1 d5
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.
    3 ноября 2016 г. 11:36
  • Статья отличная, то что мне было нужно, до того как я обратился на форум. Но как выяснелось, всё описанное в этой статье было уже мною проделано.


    На самом деле меня смущает вот что:

    После выполнения команды пишет "Проверка отзыва сертификата выполнена"

    А ошибка говорит что нет.

    3 ноября 2016 г. 11:52
  • Добавьте при проверке к certutil ключ -f.


    Слава России!

    3 ноября 2016 г. 23:07
  • Exchange(IIS) не воспринимает символ "+" в дельте CRL.

    выполните команду на сервере CA

    %windir%\system32\inetsrv\appcmd set config  -section:requestfiltering -allowDoubleEscaping:true

    и перезапустите сервер CA и Exchange


    scientia potentia est
    My blog


    • Изменено Mikhail SartaevMVP 4 ноября 2016 г. 12:22
    • Помечено в качестве ответа Ульт 7 ноября 2016 г. 4:40
    4 ноября 2016 г. 12:17
  • %windir%\system32\inetsrv\appcmd set config  -section:requestfiltering -allowDoubleEscaping:true

    После этой команды всё заработало. Спасибо.
    7 ноября 2016 г. 4:40