Auteur de questions
Le certifcat de confiance directe a expiré

Discussion générale
-
Bonjour à tous,
Depuis quelques jours j'ai cette erreur qui revient en boucle dans les evenements :
Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx a expiré. Réexécutez New-ExchangeCertificate pour générer un nouveau certificat de confiance direct.
Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Alors, je me suis empressé d'effectuer la commande indiquée via EMS : New-ExchangeCertificate
Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :
New-ExchangeCertificate
http://go.microsoft.com/fwlink/events.asp.
Alors, je me suis empressé d'effectuer la commande indiquée via EMS : New-ExchangeCertificate
Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :
New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )
Enable-ExchangeCertificate 06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate 06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP
Apres, cela, je pense ne rien avoir oublier
Mais le log indique toujours que la clé en question a expiré ...Si je cherche à supprimer la clé expirée (Remove-ExchangeCertificate), car me dit que je peux pas supprimer le certificat par défaut.
Via MMC, j'ai viré d'anciens certificats qui etaient expirés, qui ne servaient pas, dont le fameux qui me provoque des erreurs.
Maintenant, toujours la meme erreur dans les logs, mais avec le dernier certificat que je viens de creer... deja expiré ? je viens de le creer, c'est possible ?
Je dois mal m'y prendre, mais si vous avez des suggestions, je suis preneur !Ah oui, je le précise mais je pense que ca n'a rien à voir : J'ai activé ces derniers jours le protocole IMAP (sécurisé, voir ce post : http://www.forum-microsoft.org/post545725.html ) sur notre serveur exchange 2007
Merci pour vos lumieres
Cdlt,- Type modifié Roxana PANAITMicrosoft employee jeudi 29 octobre 2009 15:22
Toutes les réponses
-
Personne n'a d'idée
Systematiquement, le certificat que je créé sous exchange (new-exchangecertificate) et que j'active pour le SMTP, par exemple (enable-exchangecertificate thumbprint -services SMTP), me mets une erreur dans le log, toutes les 15 minutes environ ...
Merci pour vos conseils
-
Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.htmlJ'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociétéNew-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:\temp\request.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.comLe certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :Import-ExchangeCertificate -Path c:\temp\certnew.cer |
Enable-ExchangeCertificate -services SMTPEt là, erreur :
AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:\temp\certnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP
Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du clientLes autres certificats présents ont tous, en roles prévus "Authentification
du server"j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
noire -
-
suite des nouvelles :
J'ai suivi cette méthode (recreer un certificat a multinoms de domaines)
http://episteme.arstechnica.com/eve/forums/a/tpc/f/12009443/m/591006693831
La création se passe bien, idem lors de l'import
Ca se corse au moment de l'activation d'un serveur sur le certificat en question :[PS] C:\Documents and Settings\user>Enable-ExchangeCertificate 4C90
C5D2B292898331006CBFBD2AD0CC0703AA40 -services SMTP
AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en cours
de génération : Le certificat portant l'empreinte
4C90C5D2B292898331006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte 4C90C5D2B2928983
31006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide pour une utilisatio
n avec Exchange Server (motif : PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Au niveau de ligne : 1 Caractère : 27
+ Enable-ExchangeCertificate <<<< 4C90C5D2B292898331006CBFBD2AD0CC0703AA40 -se
rvices SMTPCertificat non valide pour une utilisation avec Exchange ?
Pourtant que je regarde les certificats installés sur la machine, ce certificat en question a pour roles :
"Systeme de fichiers EFS, Messagerie electronique securisée, authentification du client"Je note aussi, que ce certificat fraichement créé/importé, n'apparait pas parmi les autres certificats via la commande Get-ExchangeCertificat
Une idée ?
-
-
-
-
D'accord,
Mais dans ce cas, quelle commande utiliser sous EMS pour creer une demande de certificat de serveur ? (ou ajouter le role "authentification du serveur" ?)
Ceux que je créé directement sous EMS, ont pour unique role "authentification du serveur", mais sont systematiquement affichés dans les events comme quoi il sont expirés (alors que je viens de les creer, voir messages précédents)
Ceux que je créé sous mon serveur d'autorité de certification (fichier de demande créé sous EMS, comme indiqué précédemment), ont les 3 roles cités : EFS, Auth. du client, messagerie electronique sécurisé. Mais pas "authentification du serveur" ...
Aurais-tu une suggestion ?
-
C'est pas sur Exchange que tu défini le type de certificat.
Alors voici la procédure que je te propose de suivre.
Tu supprime tous les certificats que tu as sur ton serveur Exchange. Tu crée une demande sous EMS que tu exports dans un TXT.
Ensuite tu ouvres ton internet explorer pour aller sur l'interface web de ton serveur de certif ( http://ip/cretsrv/ si je me souviens bien) la tu navigue pour touver l'endroit tu peux coller le contenu de ton fichier TXT et surtout juste en dessou tu n'oublie pas de choisir le modèle de certificat, dans ce cas authentification de serveur.
je suis désolé d'être un peu vague pour la création de certificat sur le site web mais je n'ai pas l'interface à dispo pour regarder.
-
D'accord,
Je pense dans ce cas, que c'est ici que ca coince :
Sur la page ou je colle le contenu du TXT, je n'ai que "EFS Basique", et "Utilisateur" dans les modeles de certificats ...
http://ip/certsrv/certrqxt.asp
Saurais-tu comment ajouter un modele de certificat ?
Enfin, dans tous les cas, le certificat qui m'est délivré, et délivré à "IUSR_NOMSERVEURDC1".
Je suppose que cela a son importance ? car sinon je risque d'etre confronté à un nom de domaine qui ne correspond pas au nom de domaine contacté ? (le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom du site)
A moins qu'il se base sur le nom convivial du certificat, ce qui m'étonnerait ... ?
Merci
-
Il faut rajouter le modèle sur le serveur de certificat via la MMC. Si tu veux plus d'info là dessu regarde le webcast http://www.microsoft.com/france/vision/WebcastTechnet.aspx?EID=085330f9-9f95-4d9d-9231-c5b815edbac9
-
Merci pour l'info, je regarde de ce coté là.
chose étonnante, le modele "serveur web" apparait bien dans les modeles de certificats (sous MMC), mais n'apparait pas sur la page web pour soumettre la demande.
J'ai supprimé le modele, et je l'ai remis, il n'apparait toujours pas sur la page web.
J'ai ajouté un autre modele, et celui-ci apparait bien sur la page web
Normalement, sur la page web, je ne suis pas censé retrouver l'intégralité des modeles présents via la console MMC ?
Actuellement j'ai :
administrateur
agent de récupération EFS
autorité de certification secondaire
controleur de domaine
EFS Basique
Ordinatuer
Serveur Web
Session authentifiée
utilisateur
Et sur la page web, apparaissent seulement :
EFS basqique
Utilisateur
Session Authentifiée (que je viens d'ajouter)
Vraiment pas de chance
-
-
-
-
-