Dépannage des erreurs de validation de certificat

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

Cette rubrique explique comment résoudre les erreurs de validation de certificat ou renvoie à une documentation vous aidant à les résoudre.

Pour plus d’informations sur la manière dont le service de transport Microsoft Exchange sélectionne les certificats pour le protocole TLS (Transport Layer Security), consultez les rubriques suivantes :

Erreurs de validation de certificat ou messages d’état

Le certificat est valide mais il est auto-signé.

Cette erreur est un message d’état d’informations. Par défaut, le certificat installé avec Exchange Server 2010 est auto-signé. Il est généralement recommandé d’utiliser des certificats d’autorités de certification tierces approuvées.

Pour plus d’informations, consultez la rubrique Utilisation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.

Le sujet du certificat ne correspond pas à la valeur passée.

Ce message d’état indique que le nom de domaine dans les champs Nom du sujet ou Autre nom de l’objet du certificat ne correspond pas au nom de domaine complet (FQDN) de l’expéditeur ou du destinataire. Pour corriger cette erreur, vous devez créer un certificat correspondant au FQDN du connecteur d’envoi ou de réception qui a tenté de valider ce certificat.

Pour plus d’informations, consultez la rubrique Présentation des certificats TLS.

La signature du certificat ne peut pas être vérifiée.

Ce message d’état indique que le service de transport de Microsoft Exchange n’a pas réussi à valider la chaîne de certificats ou que la clé publique utilisée pour valider la signature du certificat est incorrecte.

Une chaîne de certificats a été exécutée mais s’est terminée dans un certificat racine qui n’est pas approuvé par le fournisseur d’approbation.

Ce message d’état indique que le certificat qui a été utilisé pour cette opération n’est pas approuvé par le magasin de certificats de l’ordinateur. Pour approuver ce certificat, l’autorité de certification racine pour le certificat en question doit figurer dans le magasin de certificats de cet ordinateur.

Pour plus d’informations sur l’ajout manuel de certificats au magasin de certificats local, voir le fichier d’aide du composant logiciel enfichable Gestionnaire de certificats de la console MMC (Microsoft Management Console).

Le certificat n’est pas valide pour l’utilisation demandée.

Ce message d’état indique que vous devez activer le certificat pour une utilisation dans l’application en cours. Par exemple, si vous tentez d’utiliser ce certificat pour la sécurité du domaine, le certificat doit être activé pour le protocole SMTP.

Pour plus d’informations sur l’activation des certificats, consultez la rubrique Enable-ExchangeCertificate.

Ce message d’état peut également indiquer que le champ Utilisation avancée de la clé du certificat que vous utilisez ne contient pas les données correctes. Tous les certificats utilisés pour le protocole TLS (Transport Layer Security) doivent contenir un identificateur d’objet Authentification du serveur (également appelé OID). Si vous tentez d’utiliser un certificat pour le protocole TLS qui ne contient pas d’OID d’authentification du serveur dans le champ Utilisation avancée de la clé, vous devez créer un certificat.

Pour plus d’informations, consultez la rubrique Présentation des certificats TLS.

Pendant la vérification de l’horodatage ou de l’horloge du système en cours dans le fichier signé, il s’avère que la période de validité d’un certificat a expiré.

Ce message d’état indique que l’heure système est incorrecte, que le certificat a expiré ou que l’heure du système ayant signé le fichier est incorrecte. Vérifiez que les conditions suivantes sont vérifiées :

  • L’horloge de l’ordinateur local est exacte.

  • Le certificat n’a pas expiré.

  • L’horloge du système d’envoi est exacte.

Si le certificat a expiré, vous devez en générer un nouveau.

Pour plus d’informations, consultez la rubrique Présentation des certificats TLS.

Les périodes de validité de la chaîne de certification ne s’imbriquent pas correctement.

Ce message d’état indique que la chaîne de certificats est corrompue ou non fiable. Générez un nouveau certificat à l’aide de la cmdlet New-ExchangeCertificate ou contactez votre autorité de certification pour valider la chaîne de certificat utilisée pour ce certificat.

Un certificat utilisable uniquement comme entité de fin est utilisé comme autorité de certification ou vice versa.

Ce message d’état indique que le certificat n’est pas valide parce qu’il a été émis par un certificat d’entité de fin et non par une autorité de certification. Un certificat d’entité de fin est un certificat créé pour l’usage cryptographique d’une application spécifique. Générez un nouveau certificat à l’aide de la cmdlet New-ExchangeCertificate ou contactez votre autorité de certification pour valider le certificat.

Le certificat ou la signature a été révoqué.

Contactez votre autorité de certification pour résoudre ce problème.

Un certificat a été explicitement révoqué par son émetteur.

Contactez votre autorité de certification pour résoudre ce problème.

La fonction de révocation n’a pas pu vérifier la révocation car le serveur de révocation était déconnecté.

Ce message d’état indique qu’il n’a pas été possible d’atteindre le serveur de révocation pour le certificat. Dans certains cas, il s’agit d’une erreur temporaire parce que le serveur de révocation ne fonctionne pas correctement. Sinon, assurez-vous que cet ordinateur peut accéder au serveur de révocation. S’il y a un pare-feu ou un serveur proxy entre cet ordinateur et le serveur de révocation, assurez-vous que votre ordinateur est configuré pour traverser l’obstacle.

Pour plus d’informations, consultez la rubrique Utilisation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.

Le processus de révocation n’a pas pu continuer. Impossible de vérifier les certificats.

Ce message d’état indique que le processus de révocation a été interrompu par un échec général du réseau. S’il y a un pare-feu ou un serveur proxy entre cet ordinateur et le serveur de révocation, assurez-vous que votre ordinateur est configuré pour traverser l’obstacle.

Pour plus d’informations, consultez la rubrique Utilisation d'une infrastructure à clé publique sur le serveur de transport Edge pour la sécurité d'un domaine.

 © 2010 Microsoft Corporation. Tous droits réservés.