none
Сертификат Exchange в сабдомене RRS feed

  • Вопрос

  • Добрый день.

    Есть инфраструктура Exchange. Коренной домен firma.loc  и сабодомен office.firma.loc. В обоих доменах есть Exchange (версии одинаковые). Для публикации OWA сделал сертификат. В сертификате участвует адрес внешнего домена и адреса хостов внутреннего.

    В коренном домене сертификат встал как влитой на 1 ноду кластера Exchange и прекрасно импортнулся на вторую ноду (запрос на сертификат делался из коренного домена). На  Exchange дочернего домена сертификат имортнулся. Но при этом горит ерором   "The certificate status could not be determined because the revocation check failed".

    Интернета начитался на эту тему и что сделал:

    • WinHTTPProxy прописал.
    • CRL пути отвечают.

    Пробовал запросить сертификат именно из этого сабдомена - ситуация аналогичная. В общем такая ошибка светится на всех сертификатах за исключением самоподписанных exchange в сабдомене.

    Варианты?

    16 сентября 2013 г. 12:23

Ответы

  • Проверьте, что CRL, находящийся в точке публикации, не устарел. Убедитесь, что корневой сертификат вашей организации установлен на сервере подчиненного домена и что точка публикации сертификата издающего CA (AIA) также доступна. Смысл ошибки в том, что ваша цепочка сертификации не прослеживается с сервера в подчиненном домене. Еще причиной такой ошибки может быть использования какого-либо криптоалгоритма (в любом сертификате) или длины ключа, которые "знакомы" для сервера в корневом домене, но не распознаются криптоподсистемой сервера в подчиненном домене.


    17 сентября 2013 г. 6:37
    Модератор

Все ответы

  • Проверьте (например, с помощью браузера), что путь CRL доступен с Exchange-сервера в поддомене. Более подробно причины этой ошибки описаны в статье

    http://blogs.technet.com/b/exchange/archive/2010/07/26/emc-and-certificates-with-failed-revocation-checks-in-exchange-2010.aspx

    но все они сводятся к недоступности CDP по сети. В частности, в CRL фигурирует FQDN или короткое имя сервера?


    16 сентября 2013 г. 14:02
    Модератор
    • Как я и писал изначально CRL пути отвечают как из коренного домена так и из сабдомена.
    • Эту статью я читал
    • В CDP фигурирует FQDN имя домена
    17 сентября 2013 г. 6:13
  • Проверьте, что CRL, находящийся в точке публикации, не устарел. Убедитесь, что корневой сертификат вашей организации установлен на сервере подчиненного домена и что точка публикации сертификата издающего CA (AIA) также доступна. Смысл ошибки в том, что ваша цепочка сертификации не прослеживается с сервера в подчиненном домене. Еще причиной такой ошибки может быть использования какого-либо криптоалгоритма (в любом сертификате) или длины ключа, которые "знакомы" для сервера в корневом домене, но не распознаются криптоподсистемой сервера в подчиненном домене.


    17 сентября 2013 г. 6:37
    Модератор