И настал очередной срок замены сертификата для сервисов Remote Desktop Gateway & Exchange 2010 (Version: 14.03.0509.00), как я думал, у меня же все задокумментировано и все действия уже на протяжении тройки раз раз в 3 месяца делаются на ура, но… И вот тут, применяя заметку: "Как экспортировать Let’s Encrypted сертификат с Windows Server 2012 R2" я получил pfx сертификат для домена mail.ekzorchikdom.ru, скопировал pfx сертификат на srv-mail01-cas, запускаю оснастку Exchange Management Console - Server Configuration - Import Exchange Certificate… прохожу процесс импорта сертификата и сталкиваюсь с тем что импортированный сертификат имеет статус: "The certificate status could not be determined because the revocation check failed". Вот те на, проверяю на предмет этого свои наработки и понимаю, что с таким еще не сталкивался.
На заметку: Как происходит процесс импорта сертификата pfx в Exchange 2010 смотрите в заметке: "Сертификат от Let’s Encrypt для домена @ekzorchikdom.ru закончился"
Перевожу с English на Russian текст статуса, что это означает:
The certificate status could not be determined because the revocation check failed
Статус сертификата не может быть определен, так как проверка отзыва не пройдена.
Так что значит проверка отзыва, ведь я, когда на srv-mail01-cas обновления настройку проверки отключил:
logon in srv-mail01-cas (Login: ekzorchik Group: Administrators, DHCP Administrators, Domain Admins, Enterprise Admins, Organization Management, Schema Admins)
Win + R -> control.exe - View by: Small icons - Internet Options — вкладка "Advanced" — раздел "Security"
Check for publisher's certificate revocation: галочка снята
Сперва я подумал, что неправильно у меня установлен сертификат, внешний сертификат, добавил его в Computer account, как:
Certificates (Local Computer) - Personal - CertificatesCertificates (Local Computer) - Trusted Root Certification Authorities - Certificates
но это не возымело результата.
Далее путем чтения различных форумов на этот счет вышел на упоминание, что Exchange сервер не имеет доступ в Интернет и не может проверить состояние сертификата, отозван он или нет.
Так — это уже интересно, проверяю по логам шлюза имеет ли полный доступ в интернет мой почтовый сервер и оказалось, что не полностью. Добавил его в правило OUT.Server которое у меня для всех серверов которым нужен полный доступ и после уже через правый клик на сертификате опираясь на заметку выше назначаю:
- После нужно сертификат mail.ekzorchikdom.ru обозначиться на сервисы: IMAP,POP,SMTP
- После нужно сертификат на srv-mail01-cas.amilux.local обозначить на сервис: IIS
- Теперь сертификат mail.ekzorchikdom.ru имеет статус The certificate is valid for Exchange Server usage.
- Теперь сертификат srv-mail01-cas.polygon.local имеет статус The certificate is valid for Exchange Server usage.
После проверяю, что отправка и прием почты работает — работает, проблем нет.
Исходя из этого все расписанного выше с чем мне пришлось столкнуться, я пополнил еще одним нюансом работы с Exchange 2010 в мою копилку знаний.
На этом заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.