Problemes amb el certificat vàlid i un Exchange 2010 onPremise
Per realitzar una federació del nostre Exchange onPremise amb Office 365, necessitàvem tenir una sèrie de requisits, un dels quals era que els certificats fossin correctes. Fins aquí cap problema; a l’Exchange onPremise teníem instal·lats uns certificats de Sectigo que eren vàlids, però a la plataforma ens trobàvem que apareixia el següent missatge d’error “The certificate status could not be determined because the revocation check failed”.Forçant la instal·lació del certificat, a l’Exchange, aquest funcionava correctament, i a l’OWA els navegadors, donaven el certificat com a vàlid, però en canvi a l’hora de fer la federació aquest no permetia seleccionar el certificat que teníem instal·lat, per tant la federació fallava.
Buscant informació sobre aquest error per la xarxa, vaig trobar en varies entrades que parlaven que el problema era, que teníem un proxy i no estava correctament configurat a l’Exchange.
On collons esta el problema?
Vàrem revisar, i les configuracions eren correctes. Nosaltres no teníem proxy i a les configuracions del proxy estaven deshabilitades. Després de donar-li voltes, vaig recordar, que antigament, sí que havíem tingut un proxy i aquest es va retirar.
Però les configuracions del proxy al servidor d’Exchange, ja no estaven i el servidor navegava sense proxy.
Després de setmanes donant-li voltes al problema, vaig començar a analitzar el tràfic del servidor, filtrant l’antiga IP del proxy. La meva sorpresa va ser que hi havia intents de tràfic cap a aquella IP des dels nostres Exchange OnPremise, això si, molt poc tràfic, i m’encaixaria amb els intents de verificar la revocació del certificat.
Després de revisar tot el servidor no vaig trobar cap entrada relacionada amb el proxy i només quedava que la pròpia conta del sistema tingues configurat el proxy i que per algun motiu que desconec, després de retirar-lo, en aquella conta va quedar residual. Però com modifico la configuració del compte del sistema?
Doncs ho explico ara mateix… per mi va ser un calvari, i m’agradaria que ningú passes per aquí.
Com solucionar el problema
Primer de tot descarreguem l’aplicació PsExec v2.2, des d’aquí
Veureu que és un arxiu zip. Només cal descarregar a l’equip afectat l’executable PsExec.exe.
Ara, des de un cmd.exe amb elevació, executem la següent comanda: PsExec.exe –i –d –s cmd
A continuació executem la següent comanda: whoami
I ara executem intecpl.cpl i farà aparèixer la finestra de “Local Area Network”
I sorpresa, el compte del sistema té el maleït proxy ficat. Simplement el retirem i en uns minuts el certificat de l’Exchange ja apareixerà com a vàlid, i deixarà d’aparèixer “The certificate status could not be determined because the revocation check failed”.