Non-correspondance du certificat Principal

[Cette rubrique est destinée à résoudre un problème spécifique signalé par l'outil Exchange Server Analyzer Tool. Ne l'appliquez qu'à des systèmes sur lesquels l'outil Exchange Server Analyzer Tool a été exécuté et qui ont rencontré ce problème spécifique. L'outil Exchange Server Analyzer Tool, disponible sous forme de téléchargement gratuit, collecte à distance des données de configuration de chaque serveur de la topologie et les analyse automatiquement. Il génère un rapport qui détaille les problèmes de configuration importants, les problèmes potentiels et les paramètres du produit qui ne sont pas définis par défaut. En suivant ces recommandations, vous pouvez accroître les performances, l'évolutivité, la fiabilité et la disponibilité. Pour plus d'informations sur l'outil ou pour télécharger les versions les plus récentes, consultez la rubrique sur les analyseurs Microsoft Exchange à l'adresse https://go.microsoft.com/fwlink/?linkid=34707.]  

Dernière rubrique modifiée : 2011-01-26

L'outil Microsoft Exchange Best Practices Analyzer Tool analyse la liste des domaines acceptés dans Microsoft Exchange Server 2007 pour récupérer les URL des domaines SMTP acceptés. À partir de chaque domaine SMTP accepté, l'outil Analyzer tente de collecter le certificat SSL associé au domaine particulier. L'outil examine chaque certificat collecté pour déterminer la valeur de l'attribut Principal sur ce certificat particulier. Cette valeur représente le nom commun (CN) du certificat et apparaît en regard de Délivré à dans l'objet Certificat.

Si le nom commun du certificat ne correspond pas à l'URL utilisée par l'outil Analyzer pour accéder à la ressource, l'outil émet un message d'avertissement de non-correspondance du principal de certificat. Cela signifie que des utilisateurs risquent de ne pas pouvoir se connecter à leur boîte aux lettres à l'aide de Microsoft Office Outlook® Web Access pour Microsoft Exchange Server 2003, Outlook Anywhere pour Exchange Server 2007, Exchange Server ActiveSync ou RPC sur HTTP.

Dans ce cas, l'utilisateur peut être invité à plusieurs reprises à fournir des informations d'identification lorsqu'il tente de se connecter à Exchange ou les utilisateurs peuvent recevoir le message d'erreur suivant lorsqu'ils tentent de se connecter à la ressource Exchange :

Une erreur de non-correspondance du principal de certificat peut survenir si l'une des conditions suivantes est vraie :

• Le certificat a un nom commun incorrect.
• Le client accède aux données sur un serveur à l'aide d'une URL incorrecte si le serveur a plusieurs noms DNS.
• Des entrées Domaine accepté obsolètes ou incorrectes existent sur le serveur de transport Exchange.

Exchange requiert un certificat pour exécuter un protocole SSL tel que HTTPS. Vous pouvez utiliser un certificat prenant en charge les noms secondaires de sujets dans Exchange 2007. Ceci permet au certificat de prendre en charge les ressources ayant des noms différents, telles qu'Outlook Anywhere et l'application Web Autodiscover.

Remarque :
Pour plus d'informations sur l'utilisation des certificats avec caractères génériques (*) dans Exchange 2007, consultez la page Utilisation de certificats dans un serveur Exchange 2007.

Toutefois, lorsque vous utilisez un certificat SAN, vous recevez l'erreur de non-correspondance du principal de certificat si une différence de correspondance survient entre le nom du principal (« Délivre à ») et le nom de domaine complet utilisé par les clients pour accéder à la ressource.

Résolution de la non-correspondance des noms de certificat

1. Déterminez le nom de domaine complet utilisé par le client pour accéder à la ressource. Par exemple, pour vérifier le nom de domaine complet utilisé par Outlook, procédez comme suit :

   1. Démarrez Microsoft Outlook.
   2. Dans le menu Outils, cliquez sur Paramètres du compte.
   3. Cliquez sur l'onglet Messagerie, sur le compte Exchange, puis sur Modifier.
   4. Cliquez sur Paramètres supplémentaires, puis sur l'onglet Connexion.
   5. Cliquez sur Paramètres proxy Exchange.
   6. Notez le nom de domaine complet figurant dans la zone Se connecter uniquement aux serveurs proxy dont le certificat comporte ce nom principal. Par exemple, mail.contoso.com.

2. Utilisez l'environnement de ligne de commande Exchange Management Shell pour déterminer la valeur de l'attribut CertPrincipalName comme suit :

3. Get-OutlookProvider

4. Cette commande renvoie les résultats pour le nom EXPR. Par exemple, la commande renvoie le résultat suivant : msstd:server1.contoso.com.

5. Utilisez l'environnement de ligne de commande Exchange Management Shell pour modifier l'attribut CertPrincipalName afin qu'il corresponde au nom de domaine complet utilisé par Outlook pour accéder à la ressource. Pour ce faire, utilisez la commande suivante :

   Set-OutlookProvider EXPR -CertPrincipalName:"msstd:<FQDN the certificate is issued to>"
   

Remarque :
Lorsque vous obtenez un certificat pour Exchange, il est recommandé d'utiliser le nom DNS à accès externe comme nom principal de certificat. Par exemple, utilisez mail.contoso.com comme nom principal d'un certificat SAN.

Cette erreur peut également survenir si l'outil Analyzer détecte des entrées Domaine accepté s'appliquant à des domaines SMTP internes n'existant plus dans Exchange.

Pour résoudre ce problème, vous devez supprimer les stratégies de destinataire s'appliquant aux domaines SMTP n'existant plus ou n'étant plus utilisés.

Pour afficher les domaines acceptés dans Exchange

1. Démarrez la console de gestion Exchange.

2. Développez Configuration de l'organisation, puis cliquez sur le serveur de transport. Par exemple, Transport Hub. Pour un serveur de transport Edge, cliquez sur Transport Edge.

3. Dans le volet Détails, cliquez sur l'onglet Domaines acceptés. Examinez les entrées qui apparaissent dans la liste Domaine accepté pour déterminer si l'une d'elles doit être supprimée.