Exchange 2016 Issue. Event 15021 An error occurred while using SSL configuration for endpoint

%3CLINGO-SUB%20id%3D%22lingo-sub-2261285%22%20slang%3D%22en-US%22%3EExchange%202016%20Issue.%20Event%2015021%20An%20error%20occurred%20while%20using%20SSL%20configuration%20for%20endpoint%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-2261285%22%20slang%3D%22en-US%22%3E%3CP%3EHello%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EMy%20event%20logs%20on%20my%20exchange%20server%20are%20constantly%20getting%20hit%20with%3A%3C%2FP%3E%3CP%3EEvent%2015021%20HttpEvent%3CBR%20%2F%3EAn%20error%20occurred%20while%20using%20SSL%20configuration%20for%20endpoint%20%5B%3A%3A%5D%3A443.%20The%20error%20status%20code%20is%20contained%20within%20the%20returned%20data.%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EI%20have%20checked%20around%20on%20this%20issue%20and%20some%20of%20the%20other%20results%20or%20fixes%20of%20this%20issue%20don't%20seem%20to%20work%20with%20mine.%26nbsp%3B%20My%20users%20are%20able%20to%20access%20OWA%20and%20ECP%20and%20I%20don't%20really%20notice%20and%20issues%20with%20the%20system.%26nbsp%3B%20Other%20reports%20have%20have%20these%20troubleshooting%20steps%3A%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3Enetsh%20http%20show%20sslcert%3C%2FP%3E%3CP%3Ethis%20returns%3A%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-bash%22%3E%3CCODE%3ESSL%20Certificate%20bindings%3A%0A-------------------------%0A%0A%20%20%20%20IP%3Aport%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%200.0.0.0%3A443%0A%20%20%20%20Certificate%20Hash%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%200c9d535326----------------------------%0A%20%20%20%20Application%20ID%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%7B4dc3e181-e14b------------------------%7D%0A%20%20%20%20Certificate%20Store%20Name%20%20%20%20%20%20%20%3A%20MY%0A%20%20%20%20Verify%20Client%20Certificate%20Revocation%20%3A%20Enabled%0A%20%20%20%20Verify%20Revocation%20Using%20Cached%20Client%20Certificate%20Only%20%3A%20Disabled%0A%20%20%20%20Usage%20Check%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Enabled%0A%20%20%20%20Revocation%20Freshness%20Time%20%20%20%20%3A%200%0A%20%20%20%20URL%20Retrieval%20Timeout%20%20%20%20%20%20%20%20%3A%200%0A%20%20%20%20Ctl%20Identifier%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20Ctl%20Store%20Name%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20DS%20Mapper%20Usage%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Disabled%0A%20%20%20%20Negotiate%20Client%20Certificate%20%3A%20Disabled%0A%0A%20%20%20%20IP%3Aport%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%200.0.0.0%3A444%0A%20%20%20%20Certificate%20Hash%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20760aa39d552--------------------------%0A%20%20%20%20Application%20ID%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%7B4dc3e181-e14b-----------------------%7D%0A%20%20%20%20Certificate%20Store%20Name%20%20%20%20%20%20%20%3A%20MY%0A%20%20%20%20Verify%20Client%20Certificate%20Revocation%20%3A%20Enabled%0A%20%20%20%20Verify%20Revocation%20Using%20Cached%20Client%20Certificate%20Only%20%3A%20Disabled%0A%20%20%20%20Usage%20Check%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Enabled%0A%20%20%20%20Revocation%20Freshness%20Time%20%20%20%20%3A%200%0A%20%20%20%20URL%20Retrieval%20Timeout%20%20%20%20%20%20%20%20%3A%200%0A%20%20%20%20Ctl%20Identifier%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20Ctl%20Store%20Name%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20DS%20Mapper%20Usage%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Disabled%0A%20%20%20%20Negotiate%20Client%20Certificate%20%3A%20Disabled%0A%0A%20%20%20%20IP%3Aport%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%200.0.0.0%3A8172%0A%20%20%20%20Certificate%20Hash%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%2023f927ab6ccfb----------------------------%0A%20%20%20%20Application%20ID%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%7B00000000-0000-0000-0000-000000000000%7D%0A%20%20%20%20Certificate%20Store%20Name%20%20%20%20%20%20%20%3A%20MY%0A%20%20%20%20Verify%20Client%20Certificate%20Revocation%20%3A%20Enabled%0A%20%20%20%20Verify%20Revocation%20Using%20Cached%20Client%20Certificate%20Only%20%3A%20Disabled%0A%20%20%20%20Usage%20Check%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Enabled%0A%20%20%20%20Revocation%20Freshness%20Time%20%20%20%20%3A%200%0A%20%20%20%20URL%20Retrieval%20Timeout%20%20%20%20%20%20%20%20%3A%200%0A%20%20%20%20Ctl%20Identifier%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20Ctl%20Store%20Name%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20DS%20Mapper%20Usage%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Disabled%0A%20%20%20%20Negotiate%20Client%20Certificate%20%3A%20Disabled%0A%0A%20%20%20%20IP%3Aport%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20127.0.0.1%3A443%0A%20%20%20%20Certificate%20Hash%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%200c9d5353261e510-------------------------%0A%20%20%20%20Application%20ID%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%7B4dc3e181-e14b----------------------%7D%0A%20%20%20%20Certificate%20Store%20Name%20%20%20%20%20%20%20%3A%20MY%0A%20%20%20%20Verify%20Client%20Certificate%20Revocation%20%3A%20Enabled%0A%20%20%20%20Verify%20Revocation%20Using%20Cached%20Client%20Certificate%20Only%20%3A%20Disabled%0A%20%20%20%20Usage%20Check%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Enabled%0A%20%20%20%20Revocation%20Freshness%20Time%20%20%20%20%3A%200%0A%20%20%20%20URL%20Retrieval%20Timeout%20%20%20%20%20%20%20%20%3A%200%0A%20%20%20%20Ctl%20Identifier%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20Ctl%20Store%20Name%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20DS%20Mapper%20Usage%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Disabled%0A%20%20%20%20Negotiate%20Client%20Certificate%20%3A%20Disabled%0A%0A%20%20%20%20IP%3Aport%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%5B%3A%3A%5D%3A443%0A%20%20%20%20Certificate%20Hash%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%207d8923810fce72--------------------------%0A%20%20%20%20Application%20ID%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20%7Bba195980-cd49---------------------%7D%0A%20%20%20%20Certificate%20Store%20Name%20%20%20%20%20%20%20%3A%20MY%0A%20%20%20%20Verify%20Client%20Certificate%20Revocation%20%3A%20Enabled%0A%20%20%20%20Verify%20Revocation%20Using%20Cached%20Client%20Certificate%20Only%20%3A%20Disabled%0A%20%20%20%20Usage%20Check%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Enabled%0A%20%20%20%20Revocation%20Freshness%20Time%20%20%20%20%3A%200%0A%20%20%20%20URL%20Retrieval%20Timeout%20%20%20%20%20%20%20%20%3A%200%0A%20%20%20%20Ctl%20Identifier%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20Ctl%20Store%20Name%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20(null)%0A%20%20%20%20DS%20Mapper%20Usage%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%20Disabled%0A%20%20%20%20Negotiate%20Client%20Certificate%20%3A%20Disabled%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EI%20am%20assuming%20the%20last%20binding%20is%20the%20issue%20but%20when%20I%20go%20to%20IIS%20and%20check%20that%20binding%20for%20443%20*%20it%20shows%20my%20correct%20wildcard%20certificate.%26nbsp%3B%3C%2FP%3E%3CP%3EBut%20this%20netsh%20command%20does%20show%20a%20different%20Certificate%20Hash%20from%20the%20443%20certs%20and%20they%20really%20should%20be%20the%20same%20so%20I%20am%20not%20sure%20why%20IIS%20is%20showing%20it%20that%20way.%26nbsp%3B%20Should%20I%20run%20the%20netsh%20command%20and%20replace%20the%20certificate%20for%20the%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-LABS%20id%3D%22lingo-labs-2261285%22%20slang%3D%22en-US%22%3E%3CLINGO-LABEL%3EExchange%20Server%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESSL%3C%2FLINGO-LABEL%3E%3C%2FLINGO-LABS%3E
New Contributor

Hello

 

My event logs on my exchange server are constantly getting hit with:

Event 15021 HttpEvent
An error occurred while using SSL configuration for endpoint [::]:443. The error status code is contained within the returned data.

 

I have checked around on this issue and some of the other results or fixes of this issue don't seem to work with mine.  My users are able to access OWA and ECP and I don't really notice any issues with the system.  Other reports have have these troubleshooting steps:

 

netsh http show sslcert

this returns:

 

 

SSL Certificate bindings:
-------------------------

    IP:port                      : 0.0.0.0:443
    Certificate Hash             : 0c9d535326----------------------------
    Application ID               : {4dc3e181-e14b------------------------}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 0.0.0.0:444
    Certificate Hash             : 760aa39d552--------------------------
    Application ID               : {4dc3e181-e14b-----------------------}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 0.0.0.0:8172
    Certificate Hash             : 23f927ab6ccfb----------------------------
    Application ID               : {00000000-0000-0000-0000-000000000000}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : 127.0.0.1:443
    Certificate Hash             : 0c9d5353261e510-------------------------
    Application ID               : {4dc3e181-e14b----------------------}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

    IP:port                      : [::]:443
    Certificate Hash             : 7d8923810fce72--------------------------
    Application ID               : {ba195980-cd49---------------------}
    Certificate Store Name       : MY
    Verify Client Certificate Revocation : Enabled
    Verify Revocation Using Cached Client Certificate Only : Disabled
    Usage Check                  : Enabled
    Revocation Freshness Time    : 0
    URL Retrieval Timeout        : 0
    Ctl Identifier               : (null)
    Ctl Store Name               : (null)
    DS Mapper Usage              : Disabled
    Negotiate Client Certificate : Disabled

 

 

I am assuming the last binding is the issue but when I go to IIS and check that binding for 443 * it shows my correct wildcard certificate. 

But this netsh command does show a different Certificate Hash from the 443 certs and they really should be the same so I am not sure why IIS is showing it that way.  Should I run the netsh command and replace the certificate for the this binding to match the one that is in the other bindings?

1 Reply
Looking further I don't see a cert available that matches the certificate hash that is tied to the [::]:443 binding. I am just going to update the certificate on that one to match the one I use for 443 and see how it goes.