Procédure de résolution des erreurs de validation de certificat
S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Dernière rubrique modifiée : 2007-04-13
Les erreurs suivantes peuvent être renvoyées dans la console Opérateur si vous utilisez Microsoft Operations Manager 2005 ou dans la console Opérateur si vous utilisez System Center Operations Manager 2007 en cas d'échec de la validation d'un certificat. Les erreurs peuvent également être renvoyées comme événements de journal d'application. Cette rubrique explique comment résoudre ces erreurs ou renvoie à une documentation permettant de résoudre les erreurs de validation de certificat.
Pour plus d'informations sur la manière dont le service de transport Microsoft Exchange sélectionne les certificats pour le protocole TLS (Transport Layer Security), consultez la rubrique Sélection d'un certificat TLS SMTP.
Erreurs de validation de certificat ou messages d'état
Le certificat est valide mais auto-signé. Cette erreur est un message d'état informatif. Par défaut, le certificat installé avec Microsoft Exchange Server 2007 est auto-signé. Il est généralement recommandé d'utiliser des certificats d'autorités de certification tierces approuvées.
Pour plus d'informations, consultez la rubrique Procédure d'activation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.
L'objet du certificat ne correspond pas à la valeur transmise. Ce message d'état indique que le nom de domaine dans les champs Nom du sujet ou Autre nom de l'objet du certificat ne correspondent pas au nom de domaine complet (FQDN) de l'expéditeur ou du destinataire. Pour corriger cette erreur, vous devez créer un certificat correspondant au FQDN du connecteur d'envoi ou de réception qui a tenté de valider ce certificat.
Pour plus d'informations, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.
La signature du certificat ne peut pas être vérifiée. Ce message d'état indique que le service de transport de Microsoft Exchange n'a pas pu valider la chaîne de certificat ou que la clé publique utilisée pour valider la signature de certificat n'est pas correcte.
Pour plus d'informations, consultez la page relative au livre blanc sur la sécurité du domaine dans Exchange 2007.
Une chaîne de certificat traitée se termine par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation. Ce message d'état indique que le certificat utilisé pour cette opération n'est pas approuvé par le magasin de certificats de l'ordinateur. Pour approuver ce certificat, l'autorité de certification racine pour le certificat en question doit figurer dans le magasin de certificats de cet ordinateur.
Pour plus d'informations sur l’ajout manuel de certificats au magasin de certificats local, consultez le fichier d'aide du composant logiciel enfichable Gestionnaire de certificats de la console MMC (Microsoft Management Console).
Le certificat n'est pas valide pour l'usage requis. Ce message d'état indique que vous devez activer le certificat à utiliser dans l'application active. Par exemple, si vous tentez d'utiliser ce certificat pour la sécurité du domaine, le certificat doit être activé pour le protocole SMTP (Simple Mail Transfer Protocol).
Pour plus d'informations sur l'activation des certificats, consultez la rubrique Enable-ExchangeCertificate.
Ce message d'état peut également indiquer que le champ Utilisation avancée de la clé du certificat que vous utilisez ne contient pas les données correctes. Tous les certificats utilisés pour le protocole TLS (Transport Layer Security) doivent contenir un identificateur d'objet (également appelé OID) d'authentification du serveur. Si vous tentez d'utiliser un certificat pour le protocole TLS qui ne contient pas d'OID d'authentification du serveur dans le champ Utilisation avancée de la clé, vous devez créer un certificat.
Pour plus d'informations, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.
Un certificat requis n'est pas dans sa période de validité selon la vérification par rapport à l'horloge système en cours ou l'horodateur dans le fichier signé. Ce message d'état indique que l'heure système est incorrecte, que le certificat a expiré ou que l'heure du système ayant signé le fichier est incorrecte. Vérifiez que les conditions suivantes sont vérifiées :
L'horloge de l'ordinateur local est exacte.
Le certificat n'a pas expiré.
L'horloge du système d'envoi est exacte.
Si le certificat a expiré, vous devez en générer un nouveau.
Pour plus d'informations, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.
Les périodes de validité de la chaîne de certification ne se suivent pas correctement. Ce message d'état indique que la chaîne de certificat est endommagée ou non fiable. Générez un nouveau certificat à l'aide de la cmdlet New-ExchangeCertificate ou contactez votre autorité de certification pour valider la chaîne de certificat utilisée pour ce certificat.
Un certificat utilisable uniquement comme entité de fin est utilisé comme autorité de certification ou vice versa. Ce message d'état indique que le certificat n'est pas valide parce qu'il a été émis par un certificat d'entité de fin et non par une autorité de certification. Un certificat d'entité de fin est un certificat créé pour l'usage cryptographique d'une application spécifique. Générez un nouveau certificat à l'aide de la cmdlet New-ExchangeCertificate ou contactez votre autorité de certification pour valider le certificat.
Le certificat ou la signature a été révoqué. Contactez votre autorité de certification pour résoudre ce problème.
Un certificat a été explicitement révoqué par son auteur. Contactez votre autorité de certification pour résoudre ce problème.
La fonction de révocation n'a pas pu vérifier la révocation car le serveur de révocation était déconnecté. Ce message d'état indique qu'il n'a pas été possible d'atteindre le serveur de révocation pour le certificat. Dans certains cas, il s'agit d'une erreur temporaire parce que le serveur de révocation ne fonctionne pas correctement. Sinon, assurez-vous que cet ordinateur peut accéder au serveur de révocation. S'il y a un pare-feu ou un serveur proxy entre cet ordinateur et le serveur de révocation, assurez-vous que votre ordinateur est configuré pour traverser l'obstacle.
Pour plus d'informations, consultez la rubrique Procédure d'activation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.
Le processus de révocation n'a pas pu continuer. Les certificats n'ont pas pu être vérifiés. Ce message d'état indique que le processus de révocation a été interrompu par un échec général du réseau. S'il y a un pare-feu ou un serveur proxy entre cet ordinateur et le serveur de révocation, assurez-vous que votre ordinateur est configuré pour traverser l'obstacle.
Pour plus d'informations, consultez la rubrique Procédure d'activation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.