SQL server 2008 - SSL - le nom CN du certificat ne correspond pas à la valeur passée. [Résolu]

Adaemon · 29/11/2012, 19h45

Bonjour,

Cela fait plusieurs jours que je bloque sur une erreur de connexion en SSL à SQL Server 2008 (depuis Sql server management studio mais aussi depuis mon application). J'obtiens l'erreur suivante : le nom CN du certificat ne correspond pas à la valeur passée.

- j'ai configuré correctement le FQDN

- le certificat est bien de type Server Authentication (1.3.6.1.5.5.7.3.1).

- je me connecte avec le FQDN justement (pas l'ip)

- le certificat est toujours valide (c'est un certificat de chez startssl (donc d'une autorité de certification))

- via le sql configuration manager, j'ai sélectionné le bon certificat, j'ai même modifié le friendly name au cas où.

- suite au renommage de l'hostname et des suffixes dns, j'ai appliqué une requete dans sql server (je ne sais pas si c'est vraiment utile) mais la voici : sp_dropserver "old_hostname";
GO
sp_addserver "new_hostname", local;
GO

- le certificat fonctionne parfaitement avec iis,un serveur ftp, un serveur xmpp (donc bien dans les bons magasins j'imagine)

- le certificat n'est pas un wildcard

- l'instance sql server est en standalone (pas de cluster)

J'ai éventuellement une autre piste à explorer :
j'ai utilisé un CSR généré depuis startssl. Peut-être qu'il faut générer un CSR spécial pour SQL Server (il faudrait que ce certificat reste fonctionnel sous iis, ftp et xmpp). Je me suis fait cette remarque par rapport à ce qui est spécifié dans les exigences sql server pour un certificat ssl : http://msdn.microsoft.com/en-us/library/ms189067.aspx

Une seule ligne que j'ai du mal à interpréter : The certificate must be created by using the KeySpec option of AT_KEYEXCHANGE. Usually, the certificate's key usage property (KEY_USAGE) will also include key encipherment (CERT_KEY_ENCIPHERMENT_KEY_USAGE).

N'étant pas un expert en SSL comment interpréteriez-vous cette ligne ? Ou sinon avez-vous d'autres pistes à me conseiller ?

Adaemon · 30/11/2012, 18h38

bon c'est tout bête. Sur le client dans le fichier host, il faut rajouter l'ip et le fqdn (hostname + suffix).

J'avoue ne pas trop savoir pourquoi vu que la connexion était établie sans ça et que l'erreur était lancée depuis le serveur. Peut-être que dans le driver sql de connexion, il remplace le nom de domaine fourni par l'ip s'il ne trouve pas de correspondance dans le fichier host ? est-ce un bug ?

29/11/2012, 19h45	#1
Adaemon Invité de passage Inscription : octobre 2004 Messages : 16 Détails du profil Informations forums : Inscription : octobre 2004 Messages : 16 Points : 3 Points : 3	SQL server 2008 - SSL - le nom CN du certificat ne correspond pas à la valeur passée. Bonjour, Cela fait plusieurs jours que je bloque sur une erreur de connexion en SSL à SQL Server 2008 (depuis Sql server management studio mais aussi depuis mon application). J'obtiens l'erreur suivante : le nom CN du certificat ne correspond pas à la valeur passée. - j'ai configuré correctement le FQDN - le certificat est bien de type Server Authentication (1.3.6.1.5.5.7.3.1). - je me connecte avec le FQDN justement (pas l'ip) - le certificat est toujours valide (c'est un certificat de chez startssl (donc d'une autorité de certification)) - via le sql configuration manager, j'ai sélectionné le bon certificat, j'ai même modifié le friendly name au cas où. - suite au renommage de l'hostname et des suffixes dns, j'ai appliqué une requete dans sql server (je ne sais pas si c'est vraiment utile) mais la voici : sp_dropserver "old_hostname"; GO sp_addserver "new_hostname", local; GO - le certificat fonctionne parfaitement avec iis,un serveur ftp, un serveur xmpp (donc bien dans les bons magasins j'imagine) - le certificat n'est pas un wildcard - l'instance sql server est en standalone (pas de cluster) J'ai éventuellement une autre piste à explorer : j'ai utilisé un CSR généré depuis startssl. Peut-être qu'il faut générer un CSR spécial pour SQL Server (il faudrait que ce certificat reste fonctionnel sous iis, ftp et xmpp). Je me suis fait cette remarque par rapport à ce qui est spécifié dans les exigences sql server pour un certificat ssl : http://msdn.microsoft.com/en-us/library/ms189067.aspx Une seule ligne que j'ai du mal à interpréter : The certificate must be created by using the KeySpec option of AT_KEYEXCHANGE. Usually, the certificate's key usage property (KEY_USAGE) will also include key encipherment (CERT_KEY_ENCIPHERMENT_KEY_USAGE). N'étant pas un expert en SSL comment interpréteriez-vous cette ligne ? Ou sinon avez-vous d'autres pistes à me conseiller ?
	00

30/11/2012, 18h38	#2
Adaemon Invité de passage Inscription : octobre 2004 Messages : 16 Détails du profil Informations forums : Inscription : octobre 2004 Messages : 16 Points : 3 Points : 3	bon c'est tout bête. Sur le client dans le fichier host, il faut rajouter l'ip et le fqdn (hostname + suffix). J'avoue ne pas trop savoir pourquoi vu que la connexion était établie sans ça et que l'erreur était lancée depuis le serveur. Peut-être que dans le driver sql de connexion, il remplace le nom de domaine fourni par l'ip s'il ne trouve pas de correspondance dans le fichier host ? est-ce un bug ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email