Estou tentando configurar um Exchange Server 2013 somente IPv6, rodando no Server 2012 R2 Datacenter. Esta é uma configuração de 1 máquina em um VirtualBox para fins de teste.
Tudo está funcionando bem até agora. Ou seja, posso acessar o Exchange-OWA e enviar e receber e-mails para provedores de e-mail habilitados para IPv6.
No entanto, ainda não consigo fazer com que o Outlook 2016 se conecte. Isso parece estar relacionado aos meus certificados. Também o Chrome/IE acessando o OWA reclama do certificado, mas isso pode ser ignorado, enquanto para o Outlook 2016 é uma parada.
Para tanto, instalei a função Autoridade de Certificação no servidor, configurei (Enterprise-CA, Root-CA), criei um certificado no Exchange 2013, assinei com minha CA (inscrição na web) e habilitei no Exchange. Então, se eu acessar o OWA do servidor, o certificado está bom. Em seguida, copiei o certificado para a máquina que executa meu cliente Outlook e o importei para lá (Windows 10 Home Premium x64). No entanto, o Chrome/IE ainda reclama de um emissor não confiável. Meu certificado aparece olhando para o armazenamento de certificados do Windows, mas se eu verificar as Opções da Internet no Painel de Controle, não vejo meu certificado. Quando tento adicioná-lo lá, diz que funcionou, mas não aparece na lista.
É de alguma forma necessário que a CA raiz (ou uma CA subordinada) seja acessível pela máquina cliente para verificar de alguma forma se o certificado não foi revogado? Ou estou perdendo alguma coisa? Se precisar ser online, tem como fazer sem? Este não é um ambiente de produção (e nunca deveria se tornar um), mas apenas um teste de prontidão para IPv6.
Bem, devo dizer que sinto muito. Mas todo esse tópico é bastante novo para mim. No entanto, consegui encontrar a solução para o meu problema sozinho:
Claro que não poderia funcionar porque eu só importei o certificado do servidor Exchange no meu cliente. Isso faz referência à minha CA raiz privada como emissora. Como não importei o certificado da minha CA raiz, meu cliente nunca poderia confiar no certificado de troca porque não poderia verificá-lo com o certificado da CA raiz. Então, depois que eu exportei meu certificado de CA raiz e o importei em meu cliente para o armazenamento de "Autoridades de Certificação Raiz Confiáveis", o certificado do Exchange também se tornou confiável. E, posteriormente, o Outlook 2016 se conecta perfeitamente.
Embora isso tenha resolvido meu problema original, não responde à minha pergunta que surgiu: como um certificado pode ser revogado sem conectividade com o emissor? Eu tenho muitos certificados raiz em minha loja que não parecem ter nenhum tipo de URL ou IP para verificar seu status de revogação.
Quanto à sua pergunta original, o problema reside no fato de que seu cliente não tinha como identificar e validar o certificado de folha. Para que qualquer máquina faça o mesmo, ela deve ter o certificado público da CA raiz em seu armazenamento confiável. Além disso, você não precisava copiar o certificado de folha para o cliente.
Quanto à pergunta que você colocou em sua resposta, consulte Wikipedia:Lista de revogação TL;DR - Você precisará propagar manualmente a CRL, pois é a CA raiz e é de sua responsabilidade