Foutmelding - Revocation check failed

Na installatie van uw certificaat in Exchange 2010 kunt u geen services aan het certificaat toewijzen vanuit de console. De volgende melding verschijnt: The certificate status could not be determined because the revocation check failed. Services toewijzen via PowerShell is wel mogelijk.

Foutmelding Revocation check failed

Oorzaak

Exchange is niet in staat verbinding te maken met de revocation server van uw certificaat. Omdat de geldigheid hierdoor niet goed genoeg gecontroleerd kan worden kunt u het certificaat niet toewijzen vanuit de management console. De mogelijke oorzaken hiervoor zijn divers;

  • Een netwerk of internet storing
  • CRL/OCSP probleem bij de CA
  • Incorrecte installatie van root en intermediate certificaten
  • Verouderde CRL informatie op de server
  • Een configuratie fout in de gebruikte netwerk of proxy instellingen


Oplossingen

Een netwerk of internet storing
Controleer ten eerste of de gebruikte server over een werkende internetverbinding beschikt. Als dit niet het geval is dan verwijzen wij u naar uw netwerkbeheerder of uw internet provider om dit probleem te verhelpen.


CRL/OCSP probleem bij de CA

De CRL van uw certificaat kunt u zelf controleren met een browser.
Om het adres van de CRL te achterhalen opent u het certificaat door hierop te dubbelklikken en vervolgens te gaan naar het tabblad Details. Scroll hier naar de regel CRL-Distriubtiepunten en kopieer de getoonde URL:


Foutmelding Revocation check failed

Surf vervolgens met een browser naar dit adres. Als deze correct werkt krijgt u een CRL-bestand aangeboden. In het bovenstaande voorbeeld zou dit het bestand PositiveSSLCA2.crl zijn.


Incorrecte installatie van root en intermediate certificaten

Om de installatie van deze certificaten te controleren kunt u onze installatie instructies doorlopen.


Verouderde CRL informatie op de server
Windows servers en workstations houden een cache bij waarin CRL's worden opgeslagen. Het is mogelijk dat deze cache verlopen is, maar toch niet wordt vernieuwd door Windows. Om dit te forceren kunt u de aanwezige entries handmatig laten verlopen. Hiervoor kunt u het onderstaande commando gebruiken vanuit een command prompt met Admin rechten:

certutil -setreg chain\ChainCacheResyncFiletime @now


Een configuratie fout in de gebruikte netwerk of proxy instellingen
Het is mogelijk dat de server de CRL niet kan controleren, zelfs als u deze met een browser vanaf de server wel kunt bereiken. In deze gevallen is het mogelijk dat er voor het Local system account foutief een proxy is ingesteld. Om na te gaan of dit het geval is, moet Internet Explorer gestart worden vanaf dit account. Hoe u dit kunt doen staat in onderstaande stappen beschreven:

  1. Start een command prompt met Administrator rechten.
  2. Geef het volgende commando op om een test service aan te maken die onder het local system account draait:

    sc create testsvc binpath= "cmd /K start" type= own type= interact

    Foutmelding Revocation check failed

  3. Start de aangemaakte service vervolgens met het commando:

    sc start testsvc

  4. U krijgt mogelijk een foutmelding [SC] StartService failed 1053, deze kan veilig genegeerd worden

        Foutmelding Revocation check failed

  5. Klik op het Interactive Services Detection icoon en klik op view message

        Foutmelding Revocation check failed

  6. U krijgt nu een command prompt die draait als Local System; de desktop word tijdelijk niet weergegeven.
  7. Start vanuit deze prompt Internet Explorer op met het commando:

    "c:\Program Files (x86)\Internet Explorer\iexplore.exe"

       Foutmelding Revocation check failed

  8. Als Internet Explorer gestart is gaat u naar het menu Tools → Internet options → Connections → Lan Settings.

       Foutmelding Revocation check failed

  9. Controleer de aanwezige instellingen en pas deze aan waar nodig.

       Foutmelding Revocation check failed

  10. Sluit Internet Explorer af, maar laat de commando prompt open zodat de aanwezige caches geleegd kunnen worden.
  11. Om OCSP cache te legen voert u uit:

    certutil -urlcache ocsp delete

    Foutmelding Revocation check failed

  12. Om het CRL cache te legen voert u uit:

    certutil -urlcache crl delete

      Foutmelding Revocation check failed

  13. De command prompt kan nu worden gesloten, gebruik hiervoor het commando exit.
  14. U komt nu terug in het Interactive Services Detection venster.
  15. Klik hier op Return Now.

     Foutmelding Revocation check failed

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.