Discussion :

[leogalland]

Bonjour,

j'ai installé un serveur windows 2008 r2 avec AD. (Contrôleur de domaine)
Les rôles sont DNS, IIS, Service de certificat AD et services de domaine AD.
Je possède un domaine en .fr (chez 1and1)

Je souhaite mettre en place un certificat SSL pour IIS7.
J'ai donc créé une requête de demande de certificat >> fichier req avec comme nom commun *.domaine.fr
J'ai "Terminé la demande de certificat" et je l'ai lié au port 443 de mon site par défaut.

Lorsque je me connecte à mon serveur web en SSL avec IE (ou FF) depuis un compte membre du domaine ou un compte extérieur au domaine mais toujours en local sur le réseau de l'entreprise, j'obtiens le message suivant : "Le certificat de sécurité de ce site Web présente un problème."

Je clique sur le lien "Poursuivre avec ce site Web (non recommandé). "
La barre d'adresse d'IE devient mauve et affiche un bouton "Erreur de certificat" + certificat non valide.

Même en enregistrant le certificat, j'obtiens toujours cette alerte.

Une différence de comportement tout de même :
Sur IE membre du domaine : Le navigateur me dit que ce certificat est conçu pour les rôle suivants >> Garantit l'identité d'un ordinateur distant.
Sur IE en dehors du domaine : le navigateur me dit qu'il n'arrive pas à vérifier ce certificat auprès d'une autorité de certification de confiance.

QUESTIONS :
- Ce comportement est il normal ?
- Comment faire pour ne plus avoir ces alertes.

J'espère avoir été assez clair dans ma description.
Je peux apporter des infos complémentaires si besoin.

Merci pour votre aide

Léo

[Michaël]

Bonjour,
Le certificat a été signé par ton autorité de certification interne. Personne ne va y faire confiance (tant qu'elle n'est pas déclarée comme étant de confiance) donc les certificats que cette autorité aura signé n'auront aucune confiance de la part des clients externes à ton réseau.

J'imagine que tu as déployé ton certificat racine par gpo : ce qui fait que tes clients interne font confiance à ton autorité.
Pour les clients externes, il faut leur donner le certificat racine de ton autorité pour qu'ils l'ajoutent dans leur magasin d'autorités de confiance. Ils peuvent également ouvrir la chaine de certification pour voir le certificat racine et le déclarer comme étant de confiance.

Si tu cherches à éviter cela pour tous les clients, il faut passer par un organisme tel que Verisign (de confiance sur 100% des postes) qui va signer un certificat que tu leur aura soumis (c'est payant).

[leogalland]

Merci pour cette explication,

j'ai effectivement exporter 2 certificats : un pour la racine et un de domaine.

En les importants sur les postes clients, le pb est résolu.

Je n'ai pas de 'clients' (au sens commercial) donc je peux distribuer mes certificats à mes collaborateurs.

Encore merci pour votre aide.