none
Le certifcat de confiance directe a expiré RRS feed

  • Discussion générale

  •  

    Bonjour à tous,

    Depuis quelques jours j'ai cette erreur qui revient en boucle dans les evenements :

    Type de l'événement : Avertissement
    Source de l'événement : MSExchangeTransport
    Catégorie de l'événement : SmtpReceive
    ID de l'événement : 1037
    Date : 4/2/2008
    Heure : 9:32:26 AM
    Utilisateur : N/A
    Ordinateur : SERVER2K7
    Description :
    Le certificat de confiance direct entrant avec l'empreinte xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx a expiré. Réexécutez New-ExchangeCertificate pour générer un nouveau certificat de confiance direct.

    Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.

    Alors, je me suis empressé d'effectuer la commande indiquée via EMS : New-ExchangeCertificate

    Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux travers de mes recherches, il faut l'activer apres la creation
    Ce qui donne :

    New-ExchangeCertificate
    http://go.microsoft.com/fwlink/events.asp.

    Alors, je me suis empressé d'effectuer la commande indiquée via EMS : New-ExchangeCertificate

    Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux travers de mes recherches, il faut l'activer apres la creation
    Ce qui donne :

    New-ExchangeCertificate
    (résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

    Enable-ExchangeCertificate 06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
    Enable-ExchangeCertificate 06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

    Apres, cela, je pense ne rien avoir oublier 
    Mais le log indique toujours que la clé en question a expiré ...

    Si je cherche à supprimer la clé expirée (Remove-ExchangeCertificate), car me dit que je peux pas supprimer le certificat par défaut.

    Via MMC, j'ai viré d'anciens certificats qui etaient expirés, qui ne servaient pas, dont le fameux qui me provoque des erreurs.

     

    Maintenant, toujours la meme erreur dans les logs, mais avec le dernier certificat que je viens de creer... deja expiré ? je viens de le creer, c'est possible ?

    Je dois mal m'y prendre, mais si vous avez des suggestions, je suis preneur !

    Ah oui, je le précise mais je pense que ca n'a rien à voir : J'ai activé ces derniers jours le protocole IMAP (sécurisé, voir ce post : http://www.forum-microsoft.org/post545725.html ) sur notre serveur exchange 2007

     


    Merci pour vos lumieres

    Cdlt,

    mercredi 2 avril 2008 13:29

Toutes les réponses

  • Personne n'a d'idée Sad

    Systematiquement, le certificat que je créé sous exchange (new-exchangecertificate) et que j'active pour le SMTP, par exemple (enable-exchangecertificate thumbprint -services SMTP), me mets une erreur dans le log, toutes les 15 minutes environ ...

    Merci pour vos conseils

     

    vendredi 4 avril 2008 07:27
  •  

    Je me suis basé sur cette page
    http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.html

    J'ai donc créé le certificat avec mes elements
    domaine interne : societe.interne.com
    CN= nomsociété

    New-ExchangeCertificate -GenerateRequest -FriendlyName
    "SecureCertificate" -Path c:\temp\request.p7c -SubjectNa
    me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
    societe.interne.com

    Le certificat ainsi créé, je l'importe via l'autorité de certification
    (installé sur notre AD)
    copier/coller, etc...
    Je récupere le fichier généré, et je l'importe :

    Import-ExchangeCertificate -Path c:\temp\certnew.cer |
    Enable-ExchangeCertificate -services SMTP

    Et là, erreur :

    AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
    cours de génération : Le certificat portant l'empreinte
    0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
    pour une utilisation avec Exchange Server (motif :
    PkixKpServerAuthNotFoundInEnhancedKeyUsage).
    Enable-ExchangeCertificate : Le certificat portant l'empreinte
    0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
    pour une utilisation avec Exchange Server (motif :
    PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
    Caractère : 82
    + Import-ExchangeCertificate -Path c:\temp\certnew.cer |
    Enable-ExchangeCertificate  <<<< -services SMTP


    Et quand je fais un get-exchangecertificate, le certificat en question
    n'apparait pas ...
    Il apparait bien dans les certificats windows, et est valide.
    Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
    (Encrypting File System), Messagerie éléctronique sécurisée,
    Authentification du client

    Les autres certificats présents ont tous, en roles prévus "Authentification
    du server"

    j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
    noire Sad

    vendredi 4 avril 2008 08:53
  • Personne n'a de suggestions ? Sad

     

    mardi 8 avril 2008 08:10
  •  

    suite des nouvelles :

    J'ai suivi cette méthode (recreer un certificat a multinoms de domaines)

    http://episteme.arstechnica.com/eve/forums/a/tpc/f/12009443/m/591006693831

    La création se passe bien, idem lors de l'import
    Ca se corse au moment de l'activation d'un serveur sur le certificat en question :

    [PS] C:\Documents and Settings\user>Enable-ExchangeCertificate 4C90
    C5D2B292898331006CBFBD2AD0CC0703AA40 -services SMTP
    AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en cours
    de génération : Le certificat portant l'empreinte
    4C90C5D2B292898331006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide
    pour une utilisation avec Exchange Server (motif :
    PkixKpServerAuthNotFoundInEnhancedKeyUsage).
    Enable-ExchangeCertificate : Le certificat portant l'empreinte 4C90C5D2B2928983
    31006CBFBD2AD0CC0703AA40 a été trouvé mais n'est pas valide pour une utilisatio
    n avec Exchange Server (motif : PkixKpServerAuthNotFoundInEnhancedKeyUsage).
    Au niveau de ligne : 1 Caractère : 27
    + Enable-ExchangeCertificate  <<<< 4C90C5D2B292898331006CBFBD2AD0CC0703AA40 -se
    rvices SMTP

    Certificat non valide pour une utilisation avec Exchange ?
    Pourtant que je regarde les certificats installés sur la machine, ce certificat en question a pour roles :
    "Systeme de fichiers EFS, Messagerie electronique securisée, authentification du client"

    Je note aussi, que ce certificat fraichement créé/importé, n'apparait pas parmi les autres certificats via la commande Get-ExchangeCertificat

    Une idée ?  Sad

    mercredi 9 avril 2008 12:47
  •  

    tu as oublié dans ta commande le -thumbprint

    Enable-ExchangeCertificate -thumbprint 4C90C5D2B292898331006CBFBD2AD0CC0703AA40 -services SMTP

    un conseil met le même certificat sur tout tes services smpt pop imap et WEB

    jeudi 10 avril 2008 13:40
  •  

    Bonjour,

    Merci pour la réponse, mais le -thumbprint ne change en rien le message d'erreur Sad

     

    Cdlt,

    jeudi 10 avril 2008 16:32

  • Il y a un truc que je n'ai pas fait gaffe : le type de certificat. Il te faut un certificat d'authentification de serveur.
    jeudi 10 avril 2008 18:33
  •  

    D'accord,

    Mais dans ce cas, quelle commande utiliser sous EMS pour creer une demande de certificat de serveur ? (ou ajouter le role "authentification du serveur" ?)

     

    Ceux que je créé directement sous EMS, ont pour unique role "authentification du serveur", mais sont systematiquement affichés dans les events comme quoi il sont expirés (alors que je viens de les creer, voir messages précédents)

    Ceux que je créé sous mon serveur d'autorité de certification (fichier de demande créé sous EMS, comme indiqué précédemment), ont les 3 roles cités : EFS, Auth. du client, messagerie electronique sécurisé. Mais pas "authentification du serveur" ...

     

     

    Aurais-tu une suggestion ? Sad

    vendredi 11 avril 2008 07:51
  •  

    C'est pas sur Exchange que tu défini le type de certificat.

     

    Alors voici la procédure que je te propose de suivre.

     

    Tu supprime tous les certificats que tu as sur ton serveur Exchange. Tu crée une demande sous EMS que tu exports dans un TXT.

     

    Ensuite tu ouvres ton internet explorer pour aller sur l'interface web de ton serveur de certif ( http://ip/cretsrv/ si je me souviens bien) la tu navigue pour touver l'endroit tu peux coller le contenu de ton fichier TXT et surtout juste en dessou tu n'oublie pas de choisir le modèle de certificat, dans ce cas authentification de serveur.

     

    je suis désolé d'être un peu vague pour la création de certificat sur le site web mais je n'ai pas l'interface à dispo pour regarder.

     

    vendredi 11 avril 2008 08:06
  •  

    D'accord,

    Je pense dans ce cas, que c'est ici que ca coince :

    Sur la page ou je colle le contenu du TXT, je n'ai que "EFS Basique", et "Utilisateur" dans les modeles de certificats ...

    http://ip/certsrv/certrqxt.asp

     

    Saurais-tu comment ajouter un modele de certificat ?

     

    Enfin, dans tous les cas, le certificat qui m'est délivré, et délivré à "IUSR_NOMSERVEURDC1".

    Je suppose que cela a son importance ? car sinon je risque d'etre confronté à un nom de domaine qui ne correspond pas au nom de domaine contacté ? (le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom du site)

    A moins qu'il se base sur le nom convivial du certificat, ce qui m'étonnerait ... ?

     

    Merci

    vendredi 11 avril 2008 08:14
  •  

    Il faut rajouter le modèle sur le serveur de certificat via la MMC. Si tu veux  plus d'info là dessu regarde le webcast http://www.microsoft.com/france/vision/WebcastTechnet.aspx?EID=085330f9-9f95-4d9d-9231-c5b815edbac9

     

     

    vendredi 11 avril 2008 08:23
  •  

    Merci pour l'info, je regarde de ce coté là.

     

    chose étonnante, le modele "serveur web" apparait bien dans les modeles de certificats (sous MMC), mais n'apparait pas sur la page web pour soumettre la demande.

    J'ai supprimé le modele, et je l'ai remis, il n'apparait toujours pas sur la page web.

    J'ai ajouté un autre modele, et celui-ci apparait bien sur la page web

     

    Normalement, sur la page web, je ne suis pas censé retrouver l'intégralité des modeles présents via la console MMC ?

     

    Actuellement j'ai :

     

    administrateur
    agent de récupération EFS
    autorité de certification secondaire
    controleur de domaine
    EFS Basique
    Ordinatuer
    Serveur Web
    Session authentifiée
    utilisateur


     

    Et sur la page web, apparaissent seulement :

     

    EFS basqique

    Utilisateur

    Session Authentifiée (que je viens d'ajouter)

     

    Vraiment pas de chance Sad

    vendredi 11 avril 2008 08:55
  • c'est normal. Il y a des droits sur les modèle de certificat

    vendredi 11 avril 2008 10:40
  • Alors c'est OK maintenant ????

     

     

    Si oui n'oublie pas de valider la réponse.

    vendredi 11 avril 2008 14:22
  • J'étais justement entrain de regarder au niveau des droits, mais je ne vois pas ou ils sont ...

    Les seuls que j'ai vu, sont ceux lors de la création d'un modele de certificats, et c'est tout Sad

    vendredi 11 avril 2008 14:25
  • quand tu fais un clique droit propriété dans l'onglet sécurité tu peux donner des droits au certificat.

    lundi 14 avril 2008 12:10
  •  

    A quel niveau fais-tu cette manipulation ?
    lundi 14 avril 2008 12:20