WS2003 + IIS = Certificat non approuvé


-1

J'ai configuré un serveur Windows 2003 pour autoriser l'accès SSL à partir d'Internet, en particulier pour activer ce que l'on appelle Outlook Web Access, qui permet de parcourir les données Exchange Server à partir d'Internet.

En suivant les étapes de ce site , j'ai atteint l'objectif de créer un certificat auto-émis avec une autorité de certification W2K3 intégrée, SUIVANT L'AVIS d'utiliser le même nom comme nom pour l'URL utilisée pour accéder au serveur à partir d'Internet. sur "mydomain.com/exchange", car il s'agit de l'URL utilisée pour accéder aux données Exchange Server à partir d'Internet.

Les utilisateurs sont autorisés à se connecter, mais ils font face à une erreur de certificat fastidieuse et non fiable. J'ai beaucoup lu sur ce problème. Il semble que cela se produise lorsque: - le cname et l'URL ne sont pas identiques - le certificat a été émis par une autorité de certification non approuvée

Pour contourner ce problème, j'ai essayé de forcer les stations de travail accédant au site Web à accepter le certificat bien qu'elles ne soient pas émises par une autorité de certification bien connue, mais le problème est toujours là.

Que puis-je essayer?

EDIT :

Bien qu'un avertissement soit émis, la navigation est autorisée. Ce sont les avertissements que je reçois:

Google Chrome:

Le certificat de sécurité du site n'est pas approuvé. Vous avez tenté d'accéder à mydomain.com, mais le serveur a présenté un certificat émis par une entité non approuvée par le système d'exploitation de votre ordinateur. Cela peut signifier que le serveur a généré ses propres informations d'identification de sécurité, que Google Chrome ne peut pas utiliser pour obtenir des informations d'identité, ou qu'un attaquant peut tenter d'intercepter vos communications. (Continuer malgré tout)

Internet Explorer 9:

* Il y a un problème avec le certificat de sécurité de ce site Web. Le certificat de sécurité présenté par ce site Web n'a pas été émis par une autorité de certification de confiance.

Des problèmes de certificat de sécurité peuvent indiquer une tentative de vous tromper ou d'intercepter les données que vous envoyez au serveur. * (Poursuivre avec ce site Web (non recommandé). )

Opera 11:

La chaîne de certificats du serveur est incomplète et les signataires sont enregistrés. Acceptez? Erreurs de certificat: le certificat de "mydomain.com/exchange/" est signé par l'autorité de certification inconnue "WIN2003DC". Il n'est pas possible de vérifier qu'il s'agit d'un certificat valide "


S'il vous plaît nous montrer un exemple de l'erreur de certificat.

@Randolph, voir mon message modifier
Riccardo

Il semble que le certificat auto-généré n’est pas accepté car il n’est pas reconnu comme une autorité valide. Cela n’a aucun sens. Pourquoi Microsoft at-il autorisé l’utilitaire Autorité de certification de Windows 2003 Server à émettre des certificats auto-signés si l’autorité n’était pas approuvée?
Riccardo

J'ai abandonné la résolution du problème côté serveur et j'ai essayé d'installer le certificat sur l'ordinateur client en le plaçant dans le magasin d'autorités de confiance, mais le problème persiste. Pourquoi si compliqué?
Riccardo

Eh bien, vous avez répondu à votre propre question, vraiment. C'est auto-généré et Google peut le voir. Il est inutile d’avoir SSL si on ne peut pas le faire confiance et d’accepter un certificat s’il a été généré sur le serveur auquel vous vous connectez. Pensez-y.

Réponses:


1

Si le serveur et les postes de travail sont tous membres du même domaine Windows, vous pouvez créer une autorité de certification Windows pour le domaine et lui demander de délivrer un certificat au serveur Web. Le certificat racine de l'autorité de certification sera automatiquement publié dans Active Directory et tous les ordinateurs faisant partie du domaine feront confiance à ce certificat racine et à tous les certificats qu'il délivre. Cela permet à votre organisation d'émettre ses propres certificats approuvés par ses propres ordinateurs sans avoir à payer d'autorité de certification tierce. Ces certificats ne sont évidemment approuvés que par votre organisation.

Si vous ne possédez pas de domaine ou si les ordinateurs clients ne font pas partie de votre domaine, vous avez besoin d'un certificat émis par une autorité de certification tierce approuvée mutuellement. Vous devrez les payer pour le certificat.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.