none
Exchange 2010: Problème de certificat. RRS feed

  • Question

  • Bonjour à tous.

    Je viens vers vous car j'ai un soucis avec un serveur Exchange 2010 depuis le renouvellement du certificat SSL.

    Précédement le certificat SSL comprenait les DNS suivants:

    -domain.com

    -autodiscover.domain.com

    -webmail.domain.com

    -localserv.domain.local

    -webmail.domain.local

    Lors du renouvellement il était impossible de mettre des FQDN (www.domain.local) dans le certificat. J'ai donc renouveller avec les DNS suivants:

    -domain.com

    -autodiscover.domain.com

    -webmail.domain.com

    Depuis il m'est impossible d'ajouter un compte exchange sur un client outlook. Les comptes existants fonctionnement bien mais lorsque je tente d'en ajouter un nouveau j'obtiens un message me disant que le serveur exchange n'est pas en ligne. En faisant le teste de connectivitée depuis le site de microsoft je n'obtiens aucune erreur mais lorsque j'utilise le logiciel Microsoft Connecticity Analyzer celui-ci me donne l'erreur suivante:

    Tentative de résolution du nom d'hôte autodiscover.domain.com dans DNS.
    Le nom d'hôte a été résolu correctement.
    Détails supplémentaires
    Test du port TCP 443 sur l'hôte autodiscover.domain.com pour s'assurer qu'il écoute/est ouvert.
    Le port a été ouvert correctement.
    Détails supplémentaires
    Test du certificat SSL pour confirmer sa validité.
    Échec du certificat SSL à une ou plusieurs vérification(s) de validation de certificat.
    Détails supplémentaires
    Millisecondes écoulées: 16
    Résultats de test
    L’analyseur de connectivité de Microsoft tente d’obtenir le certificat SSL depuis le serveur distant autodiscover.domain.com sur le port 443... Merci de patienter.
    L’analyseur de connectivité de Microsoft a obtenu avec succès le certificat SSL distant.
    Détails supplémentaires
    Détails supplémentaires: Sujet du certificat distant : CN=domain.com, OU=Domain Control Validated, Émetteur : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godaddy.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US.
    Millisecondes écoulées: 4
    Validation du nom du certificat.
    La validation du nom de certificat a échoué.
    En savoir plus sur ce problème et sa résolution
    Détails supplémentaires
    Détails supplémentaires: Le nom d'hôte autodiscover.domain.com ne correspond à aucun nom trouvé sur le certificat du serveur CN=domain.com, OU=Domain Control Validated.
    Millisecondes écoulées: 0

    Pourtant autodoscover.domain.com est bien dans mon certificat.

    Avez-vous une idée?

    Merci d'avance 

    mardi 14 janvier 2014 09:33

Réponses

  • Il semblerait que j'ai résolu le soucis. 

    J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.

    Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.

    Merci à Bruce JDC de m'avoir apporté son aide.


    • Modifié McDonnel jeudi 16 janvier 2014 21:00
    • Marqué comme réponse McDonnel jeudi 16 janvier 2014 21:00
    jeudi 16 janvier 2014 21:00

Toutes les réponses

  • Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.

    Vous devez vérifier : 

    Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri

    Get-OutlookAnywhere | fl ExternalHostname

    Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.

    La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.

    Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.

    Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr




    mardi 14 janvier 2014 09:43
    Modérateur
  • Normalement la configuration est correct:

    [PS] C:\Windows\system32>Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri
    
    
    Name                           : PIXSERV04
    AutoDiscoverServiceInternalUri : https://autodiscover.domain.com/Autodiscover/Autodiscover.xml
    [PS] C:\Windows\system32>Get-OutlookAnywhere | fl ExternalHostname
    
    
    ExternalHostname : webmail.domain.com


    [PS] C:\Windows\system32>get-webservicesvirtualdirectory | ft identity,internalurl
    
    Identity                                                    InternalUrl
    --------                                                    -----------
    PIXSERV04\EWS (Default Web Site)                            https://autodiscover.domain.com/ews/exchange.asmx
    [PS] C:\Windows\system32>get-oabvirtualdirectory | ft identity,internalurl
    
    Identity                                                    InternalUrl
    --------                                                    -----------
    PIXSERV04\OAB (Default Web Site)                            https://autodiscover.domain.com/oab
    [PS] C:\Windows\system32>get-owavirtualdirectory | ft identity,internalurl
    
    Identity                                                    InternalUrl
    --------                                                    -----------
    PIXSERV04\owa (Default Web Site)                            https://webmail.domain.com/owa
    [PS] C:\Windows\system32>get-ecpvirtualdirectory | ft identity,internalurl
    
    Identity                                                    InternalUrl
    --------                                                    -----------
    PIXSERV04\ecp (Default Web Site)                            https://webmail.domain.com/ECP
    [PS] C:\Windows\system32>get-ActiveSyncVirtualDirectory | ft identity,internalurl
    
    Identity                                                    InternalUrl
    --------                                                    -----------
    PIXSERV04\Microsoft-Server-ActiveSync (Default Web Site)    https://webmail.domain.com/

    Je pense les avoirs toutes passées et aucunes ne renvoie un nom local.



    mardi 14 janvier 2014 10:01
  • Vous devez vérifier que vos ressources internes sont adressés par l'un des noms portés par le certificat.

    Vous devez vérifier : 

    Get-ClientAccessServer | fl Name,AutodiscoverServiceInternalUri

    Get-OutlookAnywhere | fl ExternalHostname

    Puis vérifier toutes les cmdlet du type Get-*VirtualDirectory que la propriété InternalURL (lordqu'elle existe) pointe sur un nom porté par le certificat.

    La seule chose qui n'a pas besoin d'être portée par le certificat est le nom du CAS Array.

    Vous devez aussi vous assurer que autodiscover.domain.com pointe bien sur le serveur Exchange même lorsque vous êtes en interne de votre réseau.

    Enfin reste à vérifier qu'il n'y a pas d'erreur sur le certificat, et que l'autorité racine est bien trusté.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr




    autodiscover.domain.com pointe bien sur mon serveur exchange/IIS même en interne et le certificat qui est analysé par l'outil est le bon, le CN et l'ID correspondent bien, le seul problème c'est qu'il ne trouve pas dans le certificat autodiscover.domain.com alors que celui-ci y est bien.
    • Modifié McDonnel mardi 14 janvier 2014 10:11
    mardi 14 janvier 2014 10:10
  • Lorsque vous ouvrez l'url HTTPS://autodiscover.domain.com/autodiscover/autodiscover.xml vous n'avez aucune erreur de certificat indiqué par le navigateur?


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 14 janvier 2014 10:41
    Modérateur
  • Je n'ai aucune erreur.

    Merci pour votre aide en tout cas ;)

    mardi 14 janvier 2014 10:45
  • Pouvez-vous ouvrir la même URL directement sur le serveur Exchange en question?

    Si cela fonctionne, il y a probablement quelque chose dans le format du certificat qui n'est pas apprécié par Exchange, reste à trouver quoi.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    mardi 14 janvier 2014 10:49
    Modérateur
  • Pareil, je n'ai aucun problème sur le serveur.
    mardi 14 janvier 2014 10:54
  • Personne n'aurait une piste?
    jeudi 16 janvier 2014 08:00
  • Tu as vu la Faq godaddy?

    http://support.godaddy.com/help/article/5863/installing-an-ssl-certificate-in-microsoft-exchange-server-2010


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    jeudi 16 janvier 2014 08:16
    Modérateur
  • Oui je l'avais suivi pour l'installation du certificat. Je n'avais pas rencontré de problèmes au moment de l'import que ce soit dans le catalogue de certificat du serveur ou sur la console exchange.

    Mon certificat est bien actif sur les services SMTP, IMAP, POP et IIS et l'autodiscover est bien présent dans le CertificateDomains

    [PS] C:\Windows\system32>Get-ExchangeCertificate "A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59" | fl *
    
    
    PSComputerName       : pixserv04.domain.lan
    RunspaceId           : 7f4bd43d-9cf3-4f68-b4b9-7bbe0885c6f8
    AccessRules          : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAcces
                           sRule, System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains   : {domain.com, www.domain.com, autodiscover.domain.com, webmail.domain.com}
    CertificateRequest   :
    IisServices          : {}
    IsSelfSigned         : False
    KeyIdentifier        : A2C2A96DF943E613B0CAE57E43040A9C692994B3
    RootCAType           : ThirdParty
    Services             : IMAP, POP, SMTP, IIS
    Status               : Valid
    SubjectKeyIdentifier : A2C2A96DF943E613B0CAE57E43040A9C692994B3
    PrivateKeyExportable : True
    PublicKeySize        : 2048
    ServicesStringForm   : IP..S.
    Archived             : False
    Extensions           : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptograph
                           y.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Crypt
                           ography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security
                           .Cryptography.Oid}
    FriendlyName         : Microsoft Exchange
    IssuerName           : System.Security.Cryptography.X509Certificates.X500DistinguishedName
    NotAfter             : 09/12/2016 00:30:44
    NotBefore            : 09/12/2013 14:02:03
    HasPrivateKey        : True
    PrivateKey           : System.Security.Cryptography.RSACryptoServiceProvider
    PublicKey            : System.Security.Cryptography.X509Certificates.PublicKey
    RawData              : {48, 130, 5, 113, 48, 130, 4, 89, 160, 3, 2, 1, 2, 2, 7, 4...}
    SerialNumber         : 04907E8DC08B72
    SubjectName          : System.Security.Cryptography.X509Certificates.X500DistinguishedName
    SignatureAlgorithm   : System.Security.Cryptography.Oid
    Thumbprint           : A7487B26D8EF9F42DAE0A17A1917C47F03DF8B59
    Version              : 3
    Handle               : 543097632
    Issuer               : SERIALNUMBER=XXXXXXX, CN=Go Daddy Secure Certification Authority, OU=http://certificates.godadd
                           y.com/repository, O="GoDaddy.com, Inc.", L=Scottsdale, S=Arizona, C=US
    Subject              : CN=domain.com, OU=Domain Control Validated


    • Modifié McDonnel jeudi 16 janvier 2014 08:32
    jeudi 16 janvier 2014 08:31
  • Votre certificat dispose des extensions suivantes ?

    - Key Usage : Digital Signature, Key Encipherment, Key agreement

    - Enhanced  Key Usage : Server Authenticication et Client Authentication 


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    jeudi 16 janvier 2014 09:05
    Modérateur
  • Je les aient mais pas le "Key agreement"

    Utilisation de la clé: Signature numérique, Chiffrement de la clé (a0)
    Utilisation avancée de la clé: Authentification du serveur, Authentification du client

    jeudi 16 janvier 2014 09:15
  • Je pense que vous avez trouvé le nœud du problème, vous pouvez cependant vérifier avec l'ancien certificat?

    Mise à jour : en fait je ne l'ai pas non plus sur les self signed d'Exchange, cela n'a peut etre rien à voir du coup.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr



    jeudi 16 janvier 2014 09:36
    Modérateur
  • Il semblerait que j'ai résolu le soucis. 

    J'ai installé le SP3 et depuis j'arrive à connecter un compte depuis Outlook sans problème.

    Cependant l'outil Microsoft Connectivity Analyzer (installé en local sur un poste) me sort toujours la même erreur donc je soupçonne l'utilitaire d'avoir un problème.

    Merci à Bruce JDC de m'avoir apporté son aide.


    • Modifié McDonnel jeudi 16 janvier 2014 21:00
    • Marqué comme réponse McDonnel jeudi 16 janvier 2014 21:00
    jeudi 16 janvier 2014 21:00