Bonjour la communauté.

Je vous explique mon problème. J'ai crée des certificats, le root auto signé, une autorité intermédiaire signé par le root. Les subjects et issuers sont bon. Les certif sont valable et verifiable aucun souci a ce niveau la.

Cependant, quelque chose me turlupine au plus haut point et après moult recherche sur le net, j'ai tjs pas de solution.

Je cherche a activer IPSec avec comme methode d'authentification mes certif.
Du coup, j'export mon certificat intermediaire en PKCS 12 avec sa "chain" complète pour devoir ne faire qu'un seul import sur les machines windows.
J'import, jusqu'ici pas de souci. Dans le magasin autorité de confiance, j'ai bien mon certif root et l'intermediaire signé par le root, et ma chaine est valable. Mes certificats sont donc bien pris en compte par windows.

Venons en au gros probleme. Qd je vais dans le config IPSec et que je choisis ma methode d'authentification et que je sélectionne mon CA intermediaire, il me le prends mais dans la ligne je vois le "commonname" du root et non le sien.
Alors que qd je l'edit (dans windows), pas de souci dans "Objet" c'est bien lui même et son émetteur le root.
J'ai l'impression que la règle IPsec de windows me prends tjs le certificat root au lieu de son intermédiaire.

j'ai essayé d'importer les certificats separement, donc pas de pkcs12 avec la chaine complete etc.. mais rien n'y fait, quelque soit le certificat que je selectionne pour la methode d'authenfication j'ai l'impression qui me prends tjs le CA le plus haut donc le root. Mon intermédiaire il s'en fiche lol

Donc c'est assez genant parce que du coup des machines qui ont un certificat signé par un intermediaire different et qui donc ne devrait plus communiqué vu que dans la regle IPSec ils sont censé avoir dans la methode d'authentification des certificats differents. Mais la, elles continuent a communiquer du fait que chaque règle me prends le root au lieu de son intermédiaire.

Je sais pas si j'ai été très clair... mais si besoin d'info supplémentaire, je suis evidemment dispo :p

En vous remerciant et surtout en espérant que l'un de vous à une petite idée