Échec de la validation de certificat quand un certificat a plusieurs chemins d’accès de certification approuvés vers des autorités de certification racines
Cet article fournit des solutions de contournement pour résoudre un problème selon lequel le certificat de sécurité présenté par un site web n’est pas émis quand il a plusieurs chemins d’accès de certification approuvés pour les autorités de certification racines.
Produits concernés : Windows 7 Service Pack 1, Windows Server 2012 R2
Numéro de l’article d’origine dans la base de connaissances : 2831004
Symptômes
Quand un utilisateur essaie d’accéder à un site web sécurisé, le message d’avertissement suivant s’affiche dans le navigateur web :
Il y a un problème au niveau du certificat de sécurité de ce site web.
Le certificat de sécurité présenté par ce site web ne provient pas d’une autorité de certification approuvée.
Après avoir cliqué sur Poursuivre avec ce site Web (non recommandé), l’utilisateur peut accéder au site web sécurisé.
Cause
Ce problème se produit, car le certificat du site web a plusieurs chemins d’accès de certification approuvés sur le serveur web.
Par exemple, supposons que l’ordinateur client utilisé approuve le certificat de l’autorité de certification racine (2) et que le serveur web approuve le certificat d’autorité de certification racine (1) et le certificat d’autorité de certification racine (2). En outre, le certificat a les deux chemins d’accès de certification suivants pour les autorités de certification racines approuvées sur le serveur web :
- Chemin d’accès de certification 1 : Certificat de site web - Certificat d’autorité de certification intermédiaire - Certificat d’autorité de certification racine (1)
- Chemin d’accès de certification 2 : Certificat de site web - Certificat d’autorité de certification intermédiaire - Certificat d’autorité de certification racine croisé - Certificat d’autorité de certification racine (2)
Si l’ordinateur trouve plusieurs chemins d’accès de certification approuvés pendant le processus de validation du certificat, Microsoft CryptoAPI sélectionne le meilleur chemin d’accès de certification en calculant le score de chaque chaîne. Un score est calculé en fonction de la qualité et de la quantité des informations qu’un chemin d’accès de certificat peut fournir. Si les scores des plusieurs chemins d’accès de certification sont identiques, la chaîne la plus courte est sélectionnée.
Si les chemins d’accès de certification 1 et 2 ont le même score de qualité, CryptoAPI sélectionne le chemin d’accès plus court (Chemin d’accès de certification 1) et l’envoie au client. Toutefois, l’ordinateur client ne peut vérifier le certificat qu’à l’aide du chemin d’accès de certification plus long qui est lié au certificat d’autorité de certification racine (2). Par conséquent, la validation du certificat échoue.
Solution de contournement
Pour contourner ce problème, supprimez ou désactivez le certificat du chemin d’accès de certification que vous ne souhaitez pas utiliser en procédant comme suit :
Connectez-vous au serveur web en tant qu’administrateur.
Ajoutez le composant logiciel enfichable Certificats à Microsoft Management Console en procédant comme suit :
- Cliquez sur Démarrer>Exécuter, tapez mmc, puis appuyez sur Entrée.
- Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
- Sélectionnez Certificats, cliquez sur Ajouter, sélectionnez Un compte d’ordinateur, puis cliquez sur Suivant.
- Sélectionnez L’ordinateur local (l’ordinateur sur lequel cette console s’exécute), puis cliquez sur Terminer.
- Cliquez sur OK.
Développez Certificats (ordinateur local) dans la console de gestion, puis recherchez le certificat sur le chemin d’accès du certificat que vous ne souhaitez pas utiliser.
Remarque
Si le certificat est un certificat d’autorité de certification racine, il est contenu dans Autorités de certification racines de confiance. Si le certificat est un certificat d’autorité de certification intermédiaire, il est contenu dans Autorités de certification intermédiaires.
Supprimez ou désactivez le certificat à l’aide de l’une des méthodes suivantes :
- Pour supprimer le certificat, cliquez dessus avec le bouton droit, puis cliquez sur Supprimer.
- Pour désactiver le certificat, cliquez dessus avec le bouton droit, cliquez sur Propriétés, sélectionnez Désactiver tous les rôles pour ce certificat, puis cliquez sur OK.
Redémarrez le serveur si le problème persiste.
En outre, si le paramètre de stratégie de groupe Désactiver la mise à jour automatique des certificats racines est désactivé ou n’est pas configuré sur le serveur, le certificat du chemin d’accès de certification que vous ne souhaitez pas utiliser risque d’être activé ou installé lors de la prochaine génération de la chaîne. Pour modifier le paramètre de stratégie de groupe, procédez comme suit :
Cliquez sur Démarrer>Exécuter, tapez gpedit.msc, puis appuyez sur Entrée.
Développez Configuration ordinateur>Modèles d’administration>Système>Gestion de la communication Internet, puis cliquez sur Paramètres de communication Internet.
Double-cliquez sur Désactiver la mise à jour automatique des certificats racines, sélectionnez Activé, puis cliquez sur OK.
Fermez lʼÉditeur de stratégie de groupe locale.
Statut
Ce comportement est inhérent au produit.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour