Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 2 sur 2
  1. #1
    Invité de passage
    Inscrit en
    octobre 2004
    Messages
    16
    Détails du profil
    Informations forums :
    Inscription : octobre 2004
    Messages : 16
    Points : 4
    Points
    4

    Par défaut SQL server 2008 - SSL - le nom CN du certificat ne correspond pas à la valeur passée.

    Bonjour,

    Cela fait plusieurs jours que je bloque sur une erreur de connexion en SSL à SQL Server 2008 (depuis Sql server management studio mais aussi depuis mon application). J'obtiens l'erreur suivante : le nom CN du certificat ne correspond pas à la valeur passée.

    - j'ai configuré correctement le FQDN

    - le certificat est bien de type Server Authentication (1.3.6.1.5.5.7.3.1).

    - je me connecte avec le FQDN justement (pas l'ip)

    - le certificat est toujours valide (c'est un certificat de chez startssl (donc d'une autorité de certification))

    - via le sql configuration manager, j'ai sélectionné le bon certificat, j'ai même modifié le friendly name au cas où.

    - suite au renommage de l'hostname et des suffixes dns, j'ai appliqué une requete dans sql server (je ne sais pas si c'est vraiment utile) mais la voici : sp_dropserver "old_hostname";
    GO
    sp_addserver "new_hostname", local;
    GO

    - le certificat fonctionne parfaitement avec iis,un serveur ftp, un serveur xmpp (donc bien dans les bons magasins j'imagine)

    - le certificat n'est pas un wildcard

    - l'instance sql server est en standalone (pas de cluster)

    J'ai éventuellement une autre piste à explorer :
    j'ai utilisé un CSR généré depuis startssl. Peut-être qu'il faut générer un CSR spécial pour SQL Server (il faudrait que ce certificat reste fonctionnel sous iis, ftp et xmpp). Je me suis fait cette remarque par rapport à ce qui est spécifié dans les exigences sql server pour un certificat ssl : http://msdn.microsoft.com/en-us/library/ms189067.aspx

    Une seule ligne que j'ai du mal à interpréter : The certificate must be created by using the KeySpec option of AT_KEYEXCHANGE. Usually, the certificate's key usage property (KEY_USAGE) will also include key encipherment (CERT_KEY_ENCIPHERMENT_KEY_USAGE).


    N'étant pas un expert en SSL comment interpréteriez-vous cette ligne ? Ou sinon avez-vous d'autres pistes à me conseiller ?

  2. #2
    Invité de passage
    Inscrit en
    octobre 2004
    Messages
    16
    Détails du profil
    Informations forums :
    Inscription : octobre 2004
    Messages : 16
    Points : 4
    Points
    4

    Par défaut

    bon c'est tout bête. Sur le client dans le fichier host, il faut rajouter l'ip et le fqdn (hostname + suffix).

    J'avoue ne pas trop savoir pourquoi vu que la connexion était établie sans ça et que l'erreur était lancée depuis le serveur. Peut-être que dans le driver sql de connexion, il remplace le nom de domaine fourni par l'ip s'il ne trouve pas de correspondance dans le fichier host ? est-ce un bug ?

+ Répondre à la discussion
Cette discussion est résolue.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •