[résolu]problème de certificat sous exchange 2003

problème de certificat sous exchange 2003 [résolu] - Windows & Software

Marsh Posté le 12-08-2005 à 13:33:18    

voila mon problème
 
j'ai un cluster W2k3 exchange 2k3 SERVEREXCHANGE dans un domaine domain.nt qui héberge des boites mail en domain.com quel est le certificat a générer SERVEREXCHANGE.domain.com ou SERVEREXCHANGE.domain.nt
 
car lorsque j'installe le certificat en .com, dans la console de managment de Exchange je n'ai plus accès au dossier public  
http://img293.imageshack.us/img293/5579/erreu4ti.jpg
 
si j'installe le certificat en .nt , , je n'ai plus cette erreur mais lorsque  j'essai d'accéder au https://SERVEREXCHANGE.domain.com j'ai une erreur de certificat sur les clients (le nom du certificat ne correspond pas au serveur ...)
 
 
je ne voit pas comment m'en sortir
 
Help svp


Message édité par lebig le 19-08-2005 à 09:26:42
Reply

Marsh Posté le 12-08-2005 à 13:33:18   

Reply

Marsh Posté le 12-08-2005 à 13:34:33    

Le certificat, doit simplement correspondre à l'URL Public qu'utilisera tes utilisateurs pour joindre tes dossiers

Reply

Marsh Posté le 12-08-2005 à 13:48:37    

oui je suis d'accord avec toi donc en .com mais dans ce cas je n'ai plus accès au dossier public dans la console de managment et
si tu regardes la solution proposé par microsoft ici http://support.microsoft.com/?id=324345
 
ils disent qu'il faut un nom FQDN pour le certificat soit en .NT donc je ne comprends pas  
 
et c'est vrai que lorsque le certificat est en FQDN, j'ai bien l'accès à la gestion du dossier public mais plus un certificat valide
 
comment faire pour avoir à la fois un certificat valide sur le net ( en .com pour moi) et l'accès au dossier public en .nt dans mon cas
 
existe-t-il une solution différentes de celle qui consisterait à modifier mon domaine...


Message édité par lebig le 12-08-2005 à 13:50:02
Reply

Marsh Posté le 12-08-2005 à 13:52:19    

Question : Les clients on bien install le certificat pour avoir accés?

Reply

Marsh Posté le 12-08-2005 à 13:54:57    

ce n'est pas le problème ils obtiennent cette erreur
http://img364.imageshack.us/img364/2968/sanstitre9yp.jpg

Reply

Marsh Posté le 12-08-2005 à 14:15:29    

Effectivement y a bien un PB sur le nom de ton certificat:
J'avoue c'est moche!
T'est poste client son en qu'elle version (XP SP2)?
MM si tu le prend il te refuse la connexion?

Reply

Marsh Posté le 12-08-2005 à 14:20:54    

ce la fonctionne si je clic sur OUI mais l'erreur est normal car j'essai d'ouvrir une page sur un serveur en .nt avec une url en .com
 
XPSP2 mais cela ne change rien idem sous 2000

Reply

Marsh Posté le 12-08-2005 à 14:21:21    

Tu as de la chance j'ai eu le même problème il y a peu. Il faut installer le certificat que tu utilises sur la machine, pour celà ouvre IE , ensuite dans les options internet sous l'onglet contenu bouton certificats, tu peux aussi passer via le site SSL de OWA et utiliser le petit cadenas pour installer le certificat. Après dans ta console MMC ce sera de nouveau en ordre.

Reply

Marsh Posté le 12-08-2005 à 14:34:32    

requin : je pense que les certificats sont installés sur le serveur car si je lance une mmc avec les certificats serveur je les ai bien  
mais peux tu présiser quel certificat il faut que j'installe dans IE ( j'utilise des certificat de serveur et pas d'utilisateur)


Message édité par lebig le 12-08-2005 à 14:39:28
Reply

Marsh Posté le 16-08-2005 à 11:25:38    

Normalement tu te connect sur le serveur avec les postes client pour obtenir les certificats ca a était fait?
http://www.faqxp.com/f/511.asp
Au cas ou!


Message édité par Sm@No le 16-08-2005 à 11:28:09
Reply

Marsh Posté le 16-08-2005 à 11:25:38   

Reply

Marsh Posté le 16-08-2005 à 11:44:09    

je n'ai pas de certificats sur les clients mais uniquement sur le serveur

Reply

Marsh Posté le 16-08-2005 à 11:45:37    

quand je lance une mmc sur certificat de l'ordinateur j'ai bien les deux certificats que j'ai installé à savoir SERVEREXCHANGE.domain.com et SERVEREXCHANGE.domain.nt

Reply

Marsh Posté le 16-08-2005 à 11:49:26    

Vous pouvez également effectuer une demande de certificat en passant par une page Web. Cette méthode est requise pour effectuer une demande de certificat auprès d’une Autorité de certification autonome, tandis que la méthode avec console mmc est requise pour une Autorité de certificat d’entreprise.
 
 
 
La page Web  pour effectuer une demande se situe à l’adresse http://nom_serveur/certsrv        
 
Où nom_serveur est le nom du serveur hébergeant l’autorité de certification.
 
Et ca surtout ca!!!

Reply

Marsh Posté le 16-08-2005 à 11:59:13    

je pense que tu n'as pas bien compris mon problème
 
 
je vais essayer de mieux m'exprimer:
 
j'ai un serveur exchange avec un nom FQDN:SERVEREXCHANGE.domain.nt
 
j'ai une entrée dans mon dns externe en SERVEREXCHANGE.domain.com
 
j'ai créé un certificat en SERVEREXCHANGE.domain.com, sur mon serveur de certicicat, installé ce certificat serveur sur mon serveur exchange
quand je passe par internet pour me connecté sur https://SERVEREXCHANGE.domain.com/exchange , la connection se passe normalement et tout fonctionne au niveau des clients
 
MAIS
 
lorsque je lance la console d'administration exchange, et que j'essai d'ouvir le dossier public j'obtiens cette erreur:
http://img293.imageshack.us/img293/5579/erreu4ti.jpg
pour résoudre ce problème (CF http://support.microsoft.com/?id=324345 ) j'ai créer un certificat avec le nom FQDN (SERVEREXCHANGE.domain.nt), je l'ai installé, et j'ai bien résolu mon problème d'accès au dossier public dans l'interface d'admin d'exchange
 
MAIS  
 
avec ce nouveau certificat, mes clients exchange qui essai de se connecter sur https://SERVEREXCHANGE.domain.com/exchange, ils obtiennent cette erreur
http://img364.imageshack.us/img364/2968/sanstitre9yp.jpg
 
je ne sais pas trop comment avoir accès au dossier public avec le certificat en .com


Message édité par lebig le 16-08-2005 à 12:02:21
Reply

Marsh Posté le 16-08-2005 à 12:56:03    

Dans le guide de résolution, on t'explique que tu peux laisser ton certificat au nom de SERVEREXCHANGE.domain.com, mais qu'il faut en contre partie, désactiver Requerir SSL sur la racine virtuelle Exchadmin
 

Supprimez SSL la racine virtuelle Exadmin dans IIS : 1. Cliquez sur Démarrer, pointez sur Programmes, cliquez sur Outils d'administration et puis cliquez sur Gestionnaire de les services Internet.  
2. Cliquez sur votre serveur et puis développez le site Web qui contient la racine Exadmin virtuelle ("Site Web par défaut" est le site Web par défaut).  
3. Cliquez avec le bouton droit sur Exadmin et puis cliquez sur Properties.  
4. Cliquez sur l'onglet Sécurité de le répertoire.  
5. Sous Communications sécurisées, cliquez sur Modifier.  
6. Désactivez la case à cocher Require secure channel (SSL). Si Requérir un cryptage sur 128 bits est ombré, cliquez pour sélectionner Require secure channel (SSL), pour désactiver Requérir un cryptage sur 128 bits et pour désactiver à nouveau ensuite la case à cocher Require secure channel (SSL).
 
 
7. Cliquez fois deux sur OK.  
8. Redémarrez Gestionnaire système Exchange.  

Reply

Marsh Posté le 16-08-2005 à 13:15:30    

dans mon cas j'ai installé le certificat ssl à la racine de Exchane Vistual Server et activé le ssl uniquement sur le "dossier" Exchange et public donc je n'ai pas de ssl sur exadmin

Reply

Marsh Posté le 16-08-2005 à 13:58:06    

Tu as vérifié s'il n'était pas activé ?

Reply

Marsh Posté le 16-08-2005 à 14:11:59    

oui biensur

Reply

Marsh Posté le 18-08-2005 à 09:16:18    

up

Reply

Marsh Posté le 18-08-2005 à 11:07:43    

Désoler mais moi je vois pas!
J'ai eu une fois un PB de ce type mais suite a une MAJ c'est parti donc j'ai pas trop chercher a comprendre!
Par contre un truc sur c'est que le certificat n'est pas installer sur T cllient sinon tu n'aurait pas le message ou il y a peu etre une date de Fin de certificat!
Désoler mais super dur a dépanner sans le voir!
MM si tu a le certif que sur le serveur et bien il faut qu'il soit sur les clients sinon tu aura toujours le Message!
Essay de donné des info supp malgrés que ce soit deja bien détailler!

Reply

Marsh Posté le 18-08-2005 à 11:31:26    

est-il possible sur un meme serveur IIS d'affecté deux certificats ?
 
dans mon exemple le SERVEREXCHANGE.domain.com et le SERVEREXCHANGE.domain.nt

Reply

Marsh Posté le 18-08-2005 à 11:32:52    

lebig a écrit :

est-il possible sur un meme serveur IIS d'affecté deux certificats ?
 
dans mon exemple le SERVEREXCHANGE.domain.com et le SERVEREXCHANGE.domain.nt


 
non

Reply

Marsh Posté le 18-08-2005 à 11:42:18    

mer** comment je peux résoudre mon problème ...
 
 
Help !!!

Reply

Marsh Posté le 18-08-2005 à 11:54:47    

Salut,
 
Est-ce que tu as bien suivi la procédure de la KB
Il faut à la fois désactiver SSL et requerir 128bits.
 
Supprimez SSL la racine virtuelle Exadmin dans IIS :  
 
6. Désactivez la case à cocher Require secure channel (SSL). Si Requérir un cryptage sur 128 bits est ombré, cliquez pour sélectionner Require secure channel (SSL), pour désactiver Requérir un cryptage sur 128 bits et pour désactiver à nouveau ensuite la case à cocher Require secure channel (SSL).
 
Si ca ne résoud pas ton prob... sorry

Reply

Marsh Posté le 18-08-2005 à 12:03:02    

je pense avoir bien suivit la KB
 
http://img260.imageshack.us/img260/3108/untitled8rw1.th.jpg


Message édité par lebig le 18-08-2005 à 12:03:34
Reply

Marsh Posté le 18-08-2005 à 12:26:00    

Ok pour moi en effet.
 
Ben aucune idée. Je vais fouiller la KB pour voir si j'ai plus d'info
 
Courage.

Reply

Marsh Posté le 18-08-2005 à 12:58:05    

merci

Reply

Marsh Posté le 19-08-2005 à 08:56:43    

problème résolu par une déinstallation du certificat, suppression dyu https sur l'ensemble du site, ajout du certificat sur la racine du site et cochage des cases ssl require sur Exchange et Public
 
 
merci à tout ,Jef34, Sm@No et Requin
 
bon courrage à tous

Reply

Marsh Posté le 19-08-2005 à 08:59:06    

Ok nickel c'est plus normal comme ca!

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed