Le certifcat de confiance directe a expiré
Discussion générale
Toutes les réponses
-
Personne n'a d'idée
Systematiquement, le certificat que je créé sous exchange (new-exchangecertificate) et que j'active pour le SMTP, par exemple (enable-exchangecertificate thumbprint -services SMTP), me mets une erreur dans le log, toutes les 15 minutes environ ...
Merci pour vos conseils
-
Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.htmlJ'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociétéNew-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:\temp\request.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.comLe certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :Import-ExchangeCertificate -Path c:\temp\certnew.cer |
Enable-ExchangeCertificate -services SMTPEt là, erreur :
AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:\temp\certnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP
Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du clientLes autres certificats présents ont tous, en roles prévus "Authentification
du server"j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
noire -
Personne n'a de suggestions ?
-
suite des nouvelles :
J'ai suivi cette méthode (recreer un certificat a multinoms de domaines)
http://episteme.arstechnica.com/eve/forums/a/tpc/f/12009443/m/591006693831
La création se passe bien, idem lors de l'import
Ca se corse au moment de l'activation d'un serveur sur le certificat en question :[PS] C:\Documents and Settings\user>Enable-ExchangeCertificate 4C90
C5D2B292898331006CBFBD2AD0CC0703AA40 -services SMTP
AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en cours
de génération : Le certificat portant l'empreinte
4C90C5D2B292898331006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte 4C90C5D2B2928983
31006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide pour une utilisatio
n avec Exchange Server (motif : PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Au niveau de ligne : 1 Caractère : 27
+ Enable-ExchangeCertificate <<<< 4C90C5D2B292898331006CBFBD2AD0CC0703AA40 -se
rvices SMTPCertificat non valide pour une utilisation avec Exchange ?
Pourtant que je regarde les certificats installés sur la machine, ce certificat en question a pour roles :
"Systeme de fichiers EFS, Messagerie electronique securisée, authentification du client"Je note aussi, que ce certificat fraichement créé/importé, n'apparait pas parmi les autres certificats via la commande Get-ExchangeCertificat
Une idée ?
-
Bonjour,
Merci pour la réponse, mais le -thumbprint ne change en rien le message d'erreur
Cdlt,
-
D'accord,
Mais dans ce cas, quelle commande utiliser sous EMS pour creer une demande de certificat de serveur ? (ou ajouter le role "authentification du serveur" ?)
Ceux que je créé directement sous EMS, ont pour unique role "authentification du serveur", mais sont systematiquement affichés dans les events comme quoi il sont expirés (alors que je viens de les creer, voir messages précédents)
Ceux que je créé sous mon serveur d'autorité de certification (fichier de demande créé sous EMS, comme indiqué précédemment), ont les 3 roles cités : EFS, Auth. du client, messagerie electronique sécurisé. Mais pas "authentification du serveur" ...
Aurais-tu une suggestion ?
-
Merci pour l'info, je regarde de ce coté là.
chose étonnante, le modele "serveur web" apparait bien dans les modeles de certificats (sous MMC), mais n'apparait pas sur la page web pour soumettre la demande.
J'ai supprimé le modele, et je l'ai remis, il n'apparait toujours pas sur la page web.
J'ai ajouté un autre modele, et celui-ci apparait bien sur la page web
Normalement, sur la page web, je ne suis pas censé retrouver l'intégralité des modeles présents via la console MMC ?
Actuellement j'ai :
administrateur
agent de récupération EFS
autorité de certification secondaire
controleur de domaine
EFS Basique
Ordinatuer
Serveur Web
Session authentifiée
utilisateur
Et sur la page web, apparaissent seulement :
EFS basqique
Utilisateur
Session Authentifiée (que je viens d'ajouter)
Vraiment pas de chance
-
J'étais justement entrain de regarder au niveau des droits, mais je ne vois pas ou ils sont ...
Les seuls que j'ai vu, sont ceux lors de la création d'un modele de certificats, et c'est tout
-
A quel niveau fais-tu cette manipulation ?
