none
Exchange 2010: Problème de certificat. RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour à tous.

    Je viens vers vous car j'ai un soucis avec un serveur Exchange 2010 depuis le renouvellement du certificat SSL.

    Précédement le certificat SSL comprenait les DNS suivants:

    -domain.com

    -autodiscover.domain.com

    -webmail.domain.com

    -localserv.domain.local

    -webmail.domain.local

    Lors du renouvellement il était impossible de mettre des FQDN (www.domain.local) dans le certificat. J'ai donc renouveller avec les DNS suivants:

    -domain.com

    -autodiscover.domain.com

    -webmail.domain.com

    Depuis il m'est impossible d'ajouter un compte exchange sur un client outlook. Les comptes existants fonctionnement bien mais lorsque je tente d'en ajouter un nouveau j'obtiens un message me disant que le serveur exchange n'est pas en ligne. En faisant le teste de connectivitée depuis le site de microsoft je n'obtiens aucune erreur mais lorsque j'utilise le logiciel Microsoft Connecticity Analyzer celui-ci me donne l'erreur suivante:

    Tentative de résolution du nom d'hôte autodiscover.domain.com dans DNS.
Le nom d'hôte a été résolu correctement.
Détails supplémentaires
Test du port TCP 443 sur l'hôte autodiscover.domain.com pour s'assurer qu'il écoute/est ouvert.
Le port a été ouvert correctement.
Détails supplémentaires
Test du certificat SSL pour confirmer sa validité.
Échec du certificat SSL à une ou plusieurs vérification(s) de validation de certificat.
Détails supplémentaires
Millisecondes écoulées: 16
Résultats de test
L’analyseur de connectivité de Microsoft tente d’obtenir le certificat SSL depuis le serveur distant autodiscover.domain.com sur le port 443... Merci de patienter.
L’analyseur de connectivité de Microsoft a obtenu avec succès le certificat SSL distant.
Détails supplémentaires
Détails supplémentaires: Sujet du certificat distant : CN=domain.com, OU=Domain Control Validated, Émetteur : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godaddy.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US.
Millisecondes écoulées: 4
Validation du nom du certificat.
La validation du nom de certificat a échoué.
En savoir plus sur ce problème et sa résolution
Détails supplémentaires
Détails supplémentaires: Le nom d'hôte autodiscover.domain.com ne correspond à aucun nom trouvé sur le certificat du serveur CN=domain.com, OU=Domain Control Validated.
Millisecondes écoulées: 0

    Pourtant autodoscover.domain.com est bien dans mon certificat.

    Avez-vous une idée?

    Merci d'avance 

    mardi 14 janvier 2014 09:33
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Il semblerait que j'ai résolu le soucis. 

    J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.

    Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.

    Merci à Bruce JDC de m'avoir apporté son aide.


    • Modifié McDonnel jeudi 16 janvier 2014 21:00
    • Marqué comme réponse McDonnel jeudi 16 janvier 2014 21:00
    jeudi 16 janvier 2014 21:00
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.

    Vous devez vérifier : 

    Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri
    Get-OutlookAnywhere | fl ExternalHostname

    Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.

    La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.

    Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.

    Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr




    mardi 14 janvier 2014 09:43
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Normalement la configuration est correct:

    [PS] C:\Windows\system32>Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri


Name                           : PIXSERV04
AutoDiscoverServiceInternalUri : https://autodiscover.domain.com/Autodiscover/Autodiscover.xml
    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl ExternalHostname


ExternalHostname : webmail.domain.com


    [PS] C:\Windows\system32>get-webservicesvirtualdirectory | ft identity,internalurl

Identity                                                    InternalUrl
--------                                                    -----------
PIXSERV04\EWS (Default Web Site)                            https://autodiscover.domain.com/ews/exchange.asmx
    [PS] C:\Windows\system32>get-oabvirtualdirectory | ft identity,internalurl

Identity                                                    InternalUrl
--------                                                    -----------
PIXSERV04\OAB (Default Web Site)                            https://autodiscover.domain.com/oab
    [PS] C:\Windows\system32>get-owavirtualdirectory | ft identity,internalurl

Identity                                                    InternalUrl
--------                                                    -----------
PIXSERV04\owa (Default Web Site)                            https://webmail.domain.com/owa
    [PS] C:\Windows\system32>get-ecpvirtualdirectory | ft identity,internalurl

Identity                                                    InternalUrl
--------                                                    -----------
PIXSERV04\ecp (Default Web Site)                            https://webmail.domain.com/ECP
    [PS] C:\Windows\system32>get-ActiveSyncVirtualDirectory | ft identity,internalurl

Identity                                                    InternalUrl
--------                                                    -----------
PIXSERV04\Microsoft-Server-ActiveSync (Default Web Site)    https://webmail.domain.com/

    Je pense les avoirs toutes passées et aucunes ne renvoie un nom local.



    mardi 14 janvier 2014 10:01
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.

    Vous devez vérifier : 

    Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri
    Get-OutlookAnywhere | fl ExternalHostname

    Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.

    La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.

    Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.

    Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr




    autodiscover.domain.com pointe bien sur mon serveur exchange/IIS même en interne et le certificat qui est analysé par l'outil est le bon, le CN et l'ID correspondent bien, le seul problème c'est qu'il ne trouve pas dans le certificat autodiscover.domain.com alors que celui-ci y est bien.
    • Modifié McDonnel mardi 14 janvier 2014 10:11
    mardi 14 janvier 2014 10:10
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Lorsque vous ouvrez l'url HTTPS://autodiscover.domain.com/autodiscover/autodiscover.xml vous n'avez aucune erreur de certificat indiqué par le navigateur?

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 14 janvier 2014 10:41
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Je n'ai aucune erreur.

    Merci pour votre aide en tout cas ;)

    mardi 14 janvier 2014 10:45
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Pouvez-vous ouvrir la même URL directement sur le serveur Exchange en question?

    Si cela fonctionne, il y a probablement quelque chose dans le format du certificat qui n'est pas apprécié par Exchange, reste à trouver quoi.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    mardi 14 janvier 2014 10:49
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    Pareil, je n'ai aucun problème sur le serveur.
    mardi 14 janvier 2014 10:54
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    Personne n'aurait une piste?
    jeudi 16 janvier 2014 08:00
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Tu as vu la Faq godaddy?

    http://support.godaddy.com/help/article/5863/installing-an-ssl-certificate-in-microsoft-exchange-server-2010

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    jeudi 16 janvier 2014 08:16
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Oui je l'avais suivi pour l'installation du certificat. Je n'avais pas rencontré de problèmes au moment de l'import que ce soit dans le catalogue de certificat du serveur ou sur la console exchange.

    Mon certificat est bien actif sur les services SMTP, IMAP, POP et IIS et l'autodiscover est bien présent dans le CertificateDomains

    [PS] C:\Windows\system32>Get-ExchangeCertificate "A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59" | fl *


PSComputerName       : pixserv04.domain.lan
RunspaceId           : 7f4bd43d-9cf3-4f68-b4b9-7bbe0885c6f8
AccessRules          : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcces
                       sRule, System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains   : {domain.com, www.domain.com, autodiscover.domain.com, webmail.domain.com}
CertificateRequest   :
IisServices          : {}
IsSelfSigned         : False
KeyIdentifier        : A2C2A96DF943E613B0CAE57E43040A9C692994B3
RootCAType           : ThirdParty
Services             : IMAP, POP, SMTP, IIS
Status               : Valid
SubjectKeyIdentifier : A2C2A96DF943E613B0CAE57E43040A9C692994B3
PrivateKeyExportable : True
PublicKeySize        : 2048
ServicesStringForm   : IP..S.
Archived             : False
Extensions           : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptograph
                       y.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Crypt
                       ography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security
                       .Cryptography.Oid}
FriendlyName         : Microsoft Exchange
IssuerName           : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter             : 09/12/2016 00:30:44
NotBefore            : 09/12/2013 14:02:03
HasPrivateKey        : True
PrivateKey           : System.Security.Cryptography.RSACryptoServiceProvider
PublicKey            : System.Security.Cryptography.X509Certificates.PublicKey
RawData              : {48, 130, 5, 113, 48, 130, 4, 89, 160, 3, 2, 1, 2, 2, 7, 4...}
SerialNumber         : 04907E8DC08B72
SubjectName          : System.Security.Cryptography.X509Certificates.X500DistinguishedName
SignatureAlgorithm   : System.Security.Cryptography.Oid
Thumbprint           : A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59
Version              : 3
Handle               : 543097632
Issuer               : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godadd
                       y.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US
Subject              : CN=domain.com, OU=Domain Control Validated


    • Modifié McDonnel jeudi 16 janvier 2014 08:32
    jeudi 16 janvier 2014 08:31
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Votre certificat dispose des extensions suivantes ?

    - Key Usage : Digital Signature, Key Encipherment, Key agreement

    - Enhanced  Key Usage : Server Authenticication et Client Authentication 

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    jeudi 16 janvier 2014 09:05
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Je les aient mais pas le "Key agreement"

    Utilisation de la clé: Signature numérique, Chiffrement de la clé (a0)
    Utilisation avancée de la clé: Authentification du serveur, Authentification du client

    jeudi 16 janvier 2014 09:15
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Je pense que vous avez trouvé le nœud du problème, vous pouvez cependant vérifier avec l'ancien certificat?

    Mise à jour : en fait je ne l'ai pas non plus sur les self signed d'Exchange, cela n'a peut etre rien à voir du coup.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr



    jeudi 16 janvier 2014 09:36
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Il semblerait que j'ai résolu le soucis. 

    J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.

    Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.

    Merci à Bruce JDC de m'avoir apporté son aide.


    • Modifié McDonnel jeudi 16 janvier 2014 21:00
    • Marqué comme réponse McDonnel jeudi 16 janvier 2014 21:00
    jeudi 16 janvier 2014 21:00
    |