Fehlermeldung, dass das Zertifikat nicht überprüft werden kann

Genauer Wortlaut

Leider ist uns der genaue Wortlaut der Fehlermeldung aktuell nur in englisch bekannt.

Service provider's certificate cannot be verified. Continue anyway?
Remote certificate chain errors:
RevocationStatusUnknown (Die Sperrfunktion konnte keine Sperrprüfung für das Zertifikat durchführen.)

Grund / Fehlerbehebung

Veeam möchte gerne die sogenannte CRL des Zertifikatanbieters (in unserem Fall Sectigo) abfragen können. Dadurch kann Ihre B&R-Suite sicherstellen, dass das Zertifikat nicht gesperrt wurde und das Ziel somit legitim ist. 

Scheinbar ist es jedoch nicht möglich, diese Abfrage aktuell durchzuführen. Das ist oft auf Restriktionen in der DMZ, in welcher sich Veeam befindet, zurückzuführen.

Die Dokumentation seitens Sectigo finden Sie hier: [https://support.sectigo.com/PS_KnowledgeDetailPage?Id=kA01N000000brkT] - und kann natürlich jederzeit aktualisiert werden. Wir haben dennoch hier den aktuellen Stand der nötigen Freigaben nochmal aufgelistet:

Freigabe über DNS (empfohlen)

Folgende Einträge sollten freigegeben werden:

• *.sectigo.com
• *.comodoca.com
• *.usertrust.com

Freigabe der IPs

• IPv4-Adressen (https://www.cloudflare.com/ips-v4):
  • 173.245.48.0/20
  • 103.21.244.0/22
  • 103.22.200.0/22
  • 103.31.4.0/22
  • 141.101.64.0/18
  • 108.162.192.0/18
  • 190.93.240.0/20
  • 188.114.96.0/20
  • 197.234.240.0/22
  • 198.41.128.0/17
  • 162.158.0.0/15
  • 104.16.0.0/13
  • 104.24.0.0/14
  • 172.64.0.0/13
  • 131.0.72.0/22
• IPv6-Adressen (https://www.cloudflare.com/ips-v6):
  • 2400:cb00::/32
  • 2606:4700::/32
  • 2803:f800::/32
  • 2405:b500::/32
  • 2405:8100::/32
  • 2a06:98c0::/29
  • 2c0f:f248::/32

Abschalten der CRL-Überprüfung (nicht empfohlen)

Sollten Sie keine Möglichkeiten sehen, die CRL abzufragen, kann Veeam mittels Registry-Eintrag zum Überspringen der Prüfung gebracht werden:

Bitte beachten Sie, dass Sie damit eine Sicherheitsfunktion aushebeln.