locked
Problème pour la mise à jour des certificats racines sur les postes - environnement avec SCCM et WSUS RRS feed

  • Question

  • Bonjour à la communauté, 


    Nous avons des utilisateurs qui rencontrent de plus en plus des erreurs de certificat lorsqu'ils naviguent sur internet.

    Pour information, nous avons un serveur WSUS piloté via SCCM, et une GPO qui oriente la vérification des mises à jours vers le serveur WSUS en interne.

    Si j'ai bien compris comment fonctionne les certificats racines (de confiance ou de non confiance), les certificats devraient être mis à jour automatiquement. Lorsqu'un utilisateur visite un site signé,  et rencontre un nouveau certificat racine, il y a une vérification coté Microsoft Update de ce certificat racine. S'il la trouve, alors elle est téléchargée sur le poste client et il n'y a pas de message d'avertissement, c'est complètement transparent pour l'utilisateur. 

    Cependant, comme la GPO pointe non vers Windows update mais vers le serveur WSUS, la liste des certificats racines doivent s'y trouver.

    Mes questions :

    1- Si je regarde les rapports sur le serveur WSUS, des mises à jours sont bien téléchargées, mais comment vérifier que la liste des certificats racines (approuvés ou non approuvés) se trouve bien sur le serveur en interne?

    2- Comment peut on forcer la mise à jour des certificats racine sur un poste client?

    En attendant quelques réponses :) Merci d'avance!

    A bientôt 

    AW


    • Modifié cavaleos jeudi 26 novembre 2015 16:20
    jeudi 26 novembre 2015 16:12

Réponses

  • Salut,

    La réponse de Microsoft postée dans le thread   https://social.technet.microsoft.com/Forums/fr-FR/826fc795-face-4678-8456-7f914867fa74/problme-certificat-racine-root-certificate?forum=win7fr est définitive, ce n'est plus déployée par KB, donc plus possible via WSUS.

    Oui tu peux télécharger le rootsupd.exe et le mettre dans ton image de master par exemple, c'est ce que nous faisons. Mais sinon les postes récupèrent automatiquement les certificats racine AC via Windows Update lorsqu'ils tentent de valider un nouveau certificat qui contient une autorité non installée  : http://www.download.windowsupdate.com/ ,Cette URL est bloquée dans ton environnement? Si c'est le cas, et si c'est possible, le + simple reste de l'autoriser.

    • Proposé comme réponse Emile Supiot lundi 30 novembre 2015 15:37
    • Marqué comme réponse Emile Supiot jeudi 3 décembre 2015 08:45
    vendredi 27 novembre 2015 11:04
  • La liste des autorités racine de confiance (Root CA) est mise à jour à la volée lorsque que le poste en fait la demande (accès à un site SSL, mail en S/MIME etc..), la machine contacte Windows Update pour le télécharger si nécessaire. Donc oui il se met à jour 'tout seul' si tout fonctionne bien! Ce process s'appelle 'Automatic Root Certificates Update'.

    Tu devrais checker les journaux d'évènements et voir ce qu'il se passe lorsque le poste tente d'accéder à un site dont tu n'as pas le Root CA installé. Ici la liste des évènements lié cet update :https://technet.microsoft.com/en-us/library/cc733922(v=ws.10).aspx

    Vérifie aussi que tu n'as pas une GPO qui traîne qui désactive cette fonctionnalité ! :

    • Marqué comme réponse cavaleos mercredi 9 décembre 2015 09:27
    lundi 30 novembre 2015 15:04

Toutes les réponses

  • Salut,

    Ton problème me fait penser à un précédent thread traité ici : https://social.technet.microsoft.com/Forums/fr-FR/826fc795-face-4678-8456-7f914867fa74/problme-certificat-racine-root-certificate?forum=win7fr

    En espérant que ça t'aide,

    Julien

    jeudi 26 novembre 2015 16:41
  • Salut Julien,

    D'abord, merci pour ta réponse. Il semblerait qu'on soit dans le même cas alors, j'avais pas vu ce thread...

    Toujours pas de réponse supplémentaire de Microsoft donc depuis Août?

    j'ai voulu faire télécharger le KB931125 via SCCM pour W7 et W8.1 (parce qu'ils peuvent être impactés aussi j'imagine), mais lorsque je tente de les télécharger, j'ai le message 

    "All software updates in this selection are expired or metadata-only. The deployment cannot be created." puisqu'elle a expiré. 

    Donc si j'ai bien compris je dois télécharger rootsupd.exe depuis ici :

    https://www.microsoft.com/fr-fr/download/details.aspx?id=26609

    Et le déployer via SCCM comme un logiciel normal? Ca résout le problème, les postes iront rechercher les certificats racines depuis WSUS ou Windows Updates normalement ou il faut faire autre chose selon toi?

    Merci beaucoup ! 

    vendredi 27 novembre 2015 10:04
  • Salut,

    La réponse de Microsoft postée dans le thread   https://social.technet.microsoft.com/Forums/fr-FR/826fc795-face-4678-8456-7f914867fa74/problme-certificat-racine-root-certificate?forum=win7fr est définitive, ce n'est plus déployée par KB, donc plus possible via WSUS.

    Oui tu peux télécharger le rootsupd.exe et le mettre dans ton image de master par exemple, c'est ce que nous faisons. Mais sinon les postes récupèrent automatiquement les certificats racine AC via Windows Update lorsqu'ils tentent de valider un nouveau certificat qui contient une autorité non installée  : http://www.download.windowsupdate.com/ ,Cette URL est bloquée dans ton environnement? Si c'est le cas, et si c'est possible, le + simple reste de l'autoriser.

    • Proposé comme réponse Emile Supiot lundi 30 novembre 2015 15:37
    • Marqué comme réponse Emile Supiot jeudi 3 décembre 2015 08:45
    vendredi 27 novembre 2015 11:04
  • Hello,

    Pour la suite, l'adresse   http://www.download.windowsupdate.com/ n'est pas bloquée chez nous par le firewall, et les certificats sont bien téléchargés pour l'accès à certains sites. Mais ce qui me pose problème c'est un certificat n'est pas téléchargé actuellement. Il s'agit de l'accès au site : 

    https://pastel.diplomatie.gouv.fr/fildariane/dyn/public/login.html qui est un site du ministère des affaires étrangères.

    Nous avons une ligne externe qui bypasse le firewall et permet d'atteindre directement internet via une livebox pour faire des tests, et depuis cette ligne, l'accès au site ne pose pas de problème.

    C'est pour cette raison que je me demande ce qui peut encore bloquer... 

    Une idée? Sinon merci pour ton aide 

    lundi 30 novembre 2015 09:03
  • Bizarre en effet. Le certificat de ce site est validé par les autorités Gandi et USERtrust :

    USERtrust est délivré par UTN - DataCorp SGC, Est-ce que cette autorité est dans ton magasin 'Autorités de certification racine de confiance' ?

    lundi 30 novembre 2015 12:27
  • Au départ, non il n'était pas dans le magasin d'Autorités de certification de confiance.

    Dans l'état actuel des choses, comme une note interne a demandé aux collaborateurs voyageant à l'étranger de s'inscrire sur ce site, nous avons eu beaucoup de plaintes alors nous avons déployé ce certificat par GPO, et résolu le souci, pour l'accès à ce site, mais alors on se demande si ce souci ne va pas revenir avec un autre site...

    D'où ma question initiale, comment savoir si lorsqu'un ordinateur sort de déploiement, savoir si son magasin de certificat est à jour? Se met-il à jour tout seul via Windows Update, ou WSUS d'un coup ou si le magasin se remplit au fur et à mesure de navigation sur des sites, et qu'il interroge Windows Update à ce moment là?

    En tout cas, le site www.download.windowsupdate.com n'est pas bloqué par le proxy j'ai vérifié.

    lundi 30 novembre 2015 14:14
  • La liste des autorités racine de confiance (Root CA) est mise à jour à la volée lorsque que le poste en fait la demande (accès à un site SSL, mail en S/MIME etc..), la machine contacte Windows Update pour le télécharger si nécessaire. Donc oui il se met à jour 'tout seul' si tout fonctionne bien! Ce process s'appelle 'Automatic Root Certificates Update'.

    Tu devrais checker les journaux d'évènements et voir ce qu'il se passe lorsque le poste tente d'accéder à un site dont tu n'as pas le Root CA installé. Ici la liste des évènements lié cet update :https://technet.microsoft.com/en-us/library/cc733922(v=ws.10).aspx

    Vérifie aussi que tu n'as pas une GPO qui traîne qui désactive cette fonctionnalité ! :

    • Marqué comme réponse cavaleos mercredi 9 décembre 2015 09:27
    lundi 30 novembre 2015 15:04
  • Bon et bien c'est résolu, en tout cas merci beaucoup de ton aide !
    mercredi 9 décembre 2015 09:27
  • super, merci pour ton retour.
    mercredi 9 décembre 2015 20:14