SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Desactiver la racine Thawte PCA (2036)

Les recommandations de cette page ne sont plus d'actualité. Cette racine est une racine de compatibility SHA1 utilisé par Thawte. La désactiver pour utiliser un équivalent cross-signé poserait des problèmes de chaine de certification.

Certains produits Microsoft (notamment les serveurs IIS) ont une autorité de certification racine nommée "Thawte Primary Root CA" expirant en 2036 qui interfère avec le certificat serveur Thawte ou développeur Thawte.

N.B. : Pour les certificats développeurs, la version intermédiaire est utilisée dans java 1.4 et parfois sur certaines version de java 6. TOUTES les versions plus récentes de Java (java 6, java 7...) contiennent la racine Thawte Primary Root CA qui expire le 2036-07-17, il ne faut donc pas désactiver cet racine, ni installer l'intermédiaire (qui ne sera pas utilisée).

Le symptôme se matérialise par un échec au test réalisé par CO-PiBot (Tester un certificat serveur en ligne) bien qu'une chaîne de certification ait bien été installée. Le souci ici c'est qu'au lieu d'utiliser le certificat intermédiaire "Thawte Primary Root CA (2020)", le serveur envoie le certificat racine "thawte Primary Root CA (2036)".
Pour régler le problème, il faut désactiver le certificat racine problématique et désactiver la mise à jour automatique des autorités de certification (voir Désactiver la mise à jour des autorités de certification sur Windows 2003 et 2008).

Désactiver thawte Primary Root CA (2036)

1- Lancez la MMC

  • Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
  • Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
  • Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
  • Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
  • Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
  • Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Localisez le certificat à désactiver

  • déployer la hiérarchie pour aller dans Trusted Root Certification Authorities puis Certificates
  • dans la liste, trouvez le certificat
    	Common Name - thawte Primary Root CA
    	Expiry Date - 17th July 2036
    	Thumbprint - 91 c6 d6 ee 3e 8a c8 63 84 e5 48 c2 99 29 5c 75 6c 81 7b 81
    	
  • Désactivez le certificat en faisant un clic-droit, puis propriétés
  • Dans la zone Certificate purposes, placez la coche sur Disable all purposes for this certificate
  • Cliquez sur OK. Vous pouvez désormais fermer la MMC.

3- Relancez le serveur

Sous IIS6, arrêter et démarrer le site web peut suffir (stop puis start), mais plus généralement, il faut redémarrer la machine. Faites d'abord un stop / start, testez votre certificat avec CO-piBot (Tester un certificat serveur en ligne ) , et si cela ne fonctionne pas, rebootez la machine.

Si malgré tout ceci, cela ne fonctionne pas, reprenez à l'étape 2 en supprimant cette fois ci la racine Thawte 2036 et rebootez. L'expérience montre que c'est souvent la seule solution.