Certificate validation failure

1. offizieller Beitrag

    Hallo Leute,


    ich bin neu in diesem Forum und hätte mal eine wichtige Frage, die ich jetzt schon bei drei Kunden von unserem Partner festgestellt habe.


    Wenn eine TLS Verbindung zu einem Server aufgebaut werden soll, der ein öffentliches Zert hat und dieses Cert ist bei 2012 gültig...



    Wenn jetzt der Exchange Server zum Server eine Verbindung aufbauen will, bekommen wir die folgende Fehlermeldung.


    451 4.4.0 Primary target IP address responded with: "454 4.7.5 Certificate validation
    failure." Attempted failover to alternate host, but that did not succeed. Either there are
    no alternate hosts, or delivery failed to all alternate hosts.


    Kann man beim Exchange irgendwie einstellen das er eine CSR online abfragen will. Weil Laut Log vom Exchange und Server sieht es so aus das er diese CSR nicht erreichen kann.



    Gruß und danke


    Steffen

    TLS Verbindungen werden von manchen Kunden Exchanges abgelehnt, weil die CSR nicht gefunden werden kann... Somit kann das Zertifikate nicht überprüft werden und die Verbindung kann nicht aufgebaut werden

    Hi,


    nur um sicher zu gehen: bei dem Zertifikat handelt es sich um durch Verisign o.ä. ausgestelltes Zertifikat? Enhält das Zertifikat mehrere Namen? Verbinden sich die Kunden mit dem (oder den) Servernamen wie er (oder sie) im Zertifikat aufgeführt ist (bzw sind)?


    "Weil Laut Log vom Exchange und Server.." > sprechen wir über einen oder mehrere Server? Falls mehrere wer oder was ist der andere?

    Jeder Kunde hat nur einen Backend Server mit dem er Kommunizieren kann... Das Zertifikate ist ein öffentlich Zertifikate.. Aktuell habe ich nicht im Kopf von wem es ausgestellt wurde...


    Grundsätzlich funktioniert die Kommunikation per TLS auch mit ca. 8000 anderen Exchange Konfigurationen, aber ich konnte jetzt schon mehrere sehen die dieses nicht hinbekommen haben (aktuell 3). Eigentlich ist es nicht meine Aufgabe diesen Fehler zu Fixen, aber aus Interesse möchte ich gerne wissen, wie das beim Exchange eingestellt wird.


    Das Cert ist ein Wildcard Cert, weil dieses ein Cloud Service ist und man so nicht sagen kann, wie viel Instancen mit welchen Namen online sind.

    Ok gelöst....


    Verify that a CRL URL is published
    * Re-issue cert if needed
    Verify that the CRL URL can be accessed
    Clear the URL cache
    * certutil -urlcache crl delete
    * certutil -urlcache ocsp delete
    Check validity of the URLS in the cert
    * certutil -verify -urlfetch C:\foobar2.cer
    Clear and Force re-sync of cache
    * certutil -setreg chain\chaincacheresyncfiletime @now
    Clear and Force re-sync of cache and don’t use cache for 3 days
    * certutil -setreg chain\chaincacheresyncfiletime @now+3
    2.7. Reboot the System.