Problème Certificat Racine (Root Certificate)

Toutes les réponses

• 

  

  1

  Connectez-vous pour voter

  Salut,

  L'installation initiale des certificats racines approuvés par Microsoft se fait par installation d'une KB. Et le problème c'est que cette KB a expirée au mois d'Avril 2015 (KB931125) donc ton image les a pas récupéré car WSUS ne la déploie plus, on a eu le même souci.

  Je ne sais pas si Microsoft va publier une nouvelle KB.

  Sinon, si tu connectes ton poste à Internet il devrait récupérer les certificats racine automatiquement à partir de l'URL http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab , il faut donc s'assurer que cette URL ne soit pas bloquée chez toi.

  On est en attente d'une réponse de Microsoft (a savoir si une nouvelle KB sera publiée, ou si désormais tout passe par ce téléchargement de .cab)...!

  Julien

  
  

  • Proposé comme réponse Julien DECORMON mercredi 3 juin 2015 10:29
  • Modifié Julien DECORMON mercredi 3 juin 2015 10:30
  • Marqué comme réponse Benjamin Ch jeudi 11 juin 2015 11:28

  mercredi 3 juin 2015 10:28
• 

  

  1

  Connectez-vous pour voter

  Salut,

  Merci pour ta réponse. Cela correspond avec mon soucis !

  Bon j'arrive bien à télécharger le .cab en cliquant sur l'URL par contre quand j'installe mon image vierge j'ai l'erreur 4107.

  Je ne sais pas tous les combien de temps, il vérifié la disponibilité du .cab ?

  Merci.

  Benjamin Ch.

  jeudi 4 juin 2015 07:35
• 

  

  1

  Connectez-vous pour voter

  Je n'ai pas eu cette erreur 4107. Peut-être que ce post peut t'aider : https://support.microsoft.com/en-us/kb/2328240/fr 

  Normalement, lorsque tu tentes d'accéder à un site https par exemple qui te présente un certificat, Windows va vérifier en arrière plan si l'éditeur est approuvé par Microsoft, télécharge le certificat racine le cas échéant et l'installe. Donc il n'a pas besoin de vérifier la dispo d'un .cab

  Du moins c'est ce que je comprends, je ne suis pas un expert sur ce sujet :)

  Article intéressant qui explique un peu le processus (avec une traduction pourrie..) : http://smallbusiness.support.microsoft.com/fr-fr/kb/931125

  ___________

  Windows Vista et Windows 7

  Certificats racine dans Windows Vista et les versions ultérieures sont distribués via le mécanisme de mise à jour automatique de la racine. En d'autres termes, ils sont distribués par le biais du certificat racine. Lorsqu'un utilisateur accède à un site Web (en utilisant SSL HTTPS), lit un message de courrier électronique sécurisé (S/MIME), et les téléchargements un ActiveX contrôle qui est signé (signature du code), puis rencontre un nouveau certificat racine, le logiciel de vérification de chaîne de certificat Windows vérifie le certificat racine Microsoft Update. Si le logiciel détecte que le certificat racine, le logiciel télécharge l'actuel liste de certificats confiance (CTL). La liste de certificats contient la liste de tous les certificats racine de confiance dans le programme et vérifie que le certificat racine est répertorié. Ensuite, il télécharge le certificat racine spécifiée sur le système et installe le certificat dans le magasin Autorités de Certification de racine de confiance Windows. Si le certificat racine n'est pas trouvé, la chaîne de certificats n'est pas achevée et le système renvoie une erreur.
  
  Pour l'utilisateur, une mise à jour réussie de racine est transparente. L'utilisateur ne voit pas les éventuels avertissements ou boîtes de dialogue de sécurité. Le téléchargement s'effectue automatiquement. En outre, pour Windows Vista et versions ultérieures, SKU du client prend en charge chaque semaine pre-fetching à partir de Microsoft Update pour vérifier les propriétés du certificat racine mis à jour (par exemple, une validation étendue (EV), signature de code, propriétés ou du serveur d'authentification [c'est-à-dire, les propriétés de certificat sont ajoutées à un certificat racine]).
  
  Pour des informations techniques détaillées sur comment les certificats dans Windows Vista et les versions ultérieures de racine de mises à jour Windows, accédez au site Web suivant :

  http://technet.Microsoft.com/en-us/library/cc749331 (ws.10).aspx

  _____________________

  ++

  jeudi 4 juin 2015 15:35
• 

  

  2

  Connectez-vous pour voter

  Bonjour,

  j'avais déjà été sur le site microsoft pour l'erreur 4107 (je l'avais mis en lien dans mon précédent post).
  
  Je l'ai intégré dans ma tâche de déploiement comme première chose à effectuer.
  
  Je vais attendre la fin du déploiement pour voir si cela me permet d'obtenir les certificats.
  
  Benjamin Ch.

  vendredi 5 juin 2015 07:59
• 

  

  1

  Connectez-vous pour voter

  ah en effet excuse-moi j'avais pas fait attention au lien que tu avais mis !

  vendredi 5 juin 2015 09:47
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Il n'y a pas de problème à avoir moins de certificats. Ce n'est du tout pas un problème et les mises à jour Windows Update gèrent les certificats necessaires.

  Assure toi d'avoir toujours ton image à jour et c'est tout. Ne compte pas les certificats comme étant une référence.

  ---

  - Yannick Plavonil

  
  

  • Modifié Yannick PlavonilMicrosoft community contributor vendredi 5 juin 2015 15:25

  vendredi 5 juin 2015 15:22
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  J'ai refais une installation avant de partir en week-end.

  Je viens de vérifier et en passant la FixIt (https://support.microsoft.com/en-us/kb/2328240/fr ), lors de mon installation, je n'ai plus l'erreur 4107. Je vais vérifier que les différents sites de l'entreprise ne rencontrent pas de problèmes de certificats.
  
  Par contre, l'image est à jour du jour du déploiement. Pas de mises à jour par la suite dans la vie du poste, est-ce problématique pour les certificats ?
  

  lundi 8 juin 2015 08:03
• 

  

  1

  Connectez-vous pour voter

  Salut,

  Non ce n'est pas problématique tant que ton poste peux accéder à Windows Update.

  lundi 8 juin 2015 08:19
• 

  

  1

  Connectez-vous pour voter

  Les postes n'accèdent pas à Windows Update malheureusement.

  C'est une politique firme due à notre implantation en France.

  Je viens de me rendre compte que le poste cherche à récupérer les certificats sur cette adresse http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/XXXXX.crt

  
  

  • Modifié Benjamin Ch lundi 8 juin 2015 12:11 Modification du lien

  lundi 8 juin 2015 08:21
• 

  

  1

  Connectez-vous pour voter

  Et bien tu es dans le même cas que moi :)

  nous attendons une réponse de notre TAM Microsoft pour savoir si les futures maj seront déployées par KB (donc dispo sur ton serveur WSUS comme avant) ou bien s'il faut désormais ne compter que sur l'URL que tu as mentionné. Si c'est le cas il n'y aura pas d'autre choix que d'autoriser l'accès à cette URL !

  Dès que j'ai un retour, je le posterai ici.

  lundi 8 juin 2015 14:46
• 

  

  1

  Connectez-vous pour voter

  Je laisse donc le sujet en "non résolu" en attendant ton retour :).
  
  Merci.
  

  lundi 8 juin 2015 15:41
• 

  

  1

  Connectez-vous pour voter

  Bonjour Julien,

  je reviens vers toi pour savoir tu as eu une réponse de ton TAM Microsoft ?

  Merci d'avance.

  mercredi 5 août 2015 08:49
• 

  

  1

  Connectez-vous pour voter

  Salut Benjamin,

  Oui j'avais eu une réponse mais pas vraiment définitive (mais je pense que je n'aurai pas mieux :) ), désolé j'ai complètement oublié de revenir sur le forum, voici la réponse de Microsoft :

  ___________________________________

  J’ai effectué de nombreuses recherches en plusieurs phases notamment auprès des dossiers qui traitent de la même problématique que celle que vous rencontrez.

  Voici, en synthèse, ce qui en ressort :

  En Novembre 2013, une version de la KB931125 est publiée et disponible au déploiement via SCCM/WSUS.

  En Mars 2014, une nouvelle version est publiée, ce qui rend celle de Novembre 2013 obsolète et donc dorénavant indisponible.

  Malheureusement, la version de Mars 2014 a eu quelques problèmes et l’équipe produit l’a invalidée (expirée) aux environs du 18 mars.

  Il en résulte :

  -        Une version de Novembre 2013 obsolète et donc indisponible au déploiement dans SCCM/WSUS

  -        Une version de Mars 2014 problématique, devenue depuis invalidée/expirée, et donc également indisponible au déploiement via SCCM/WSUS

  Il va donc vous falloir déployer la version de Novembre 2013, comme un package applicatif classique via votre outil de télédistribution, et non comme un correctif ou une mise à jour de sécurité via SCCM/WSUS.

  ____________________________________________

  • Marqué comme réponse Benjamin Ch jeudi 6 août 2015 07:17

  mercredi 5 août 2015 16:54
• 

  

  1

  Connectez-vous pour voter

  Merci Julien pour ce retour.
  
  
  

  jeudi 6 août 2015 12:13