Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Desactiver la racine VeriSign Class 3 Public Primary Certification Authority - G5 (2036)

Les recommandations de cette page ne sont plus d'actualité. Cette racine est une racine de compatibilité SHA1 utilisée par Symantec. La désactiver pour utiliser un équivalent cross-signé poserait des problèmes de chaîne de certification.

Certains produits Microsoft (notamment les serveurs IIS) ont une autorité de certification Racine nommée "VeriSign Class 3 Public Primary Certification Authority - G5" expirant en 2036 qui interfère avec le certificat serveur VeriSign ou développeur VeriSign.

Le symptôme se matérialise par un échec au test réalisé par CO-piBot (Tester un certificat serveur en ligne ) bien qu'une chaine de certification ait bien été installée. Le souci ici c'est qu'au lieu d'utiliser le certificat intermédiaire "VeriSign Class 3 Public Primary Certification Authority - G5 (2021)", le serveur envoie le certificat racine "VeriSign Class 3 Public Primary Certification Authority - G5 (2036)".
Pour régler ce souci, il faut aller désactiver le certificat racine problématique, et désactiver la mise à jour automatique des autorités de certification (voir Désactiver la mise à jour des autorités de certification sur Windows 2003 et 2008 ).

Désactiver VeriSign Class 3 Public Primary Certification Authority - G5 (2036)

1- Lancez la MMC

  • Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
  • Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
  • Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
  • Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
  • Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
  • Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure

2- Localisez le certificat à désactiver

  • déployer la hiérarchie pour aller dans Trusted Root Certification Authorities puis Certificates
  • dans la liste, trouvez le certificat
    	Common Name - VeriSign Class 3 Public Primary Certification Authority - G5
    	Expiry Date -  16 July 2036
            Serial Number - 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
    	
  • Désactivez le certificat en faisant un clic-droit, puis propriétés
  • Dans la zone Certificate purposes, placez la coche sur Disable all purposes for this certificate
  • Cliquez sur OK. Vous pouvez désormais fermer la MMC.

3- Relancez le serveur

Sous IIS6, arrêter et démarrer le site web peut suffir (stop puis start), mais plus généralement, il faut redémarrer la machine. Faites d'abord un stop / start, testez votre certificat avec CO-piBot (Tester un certificat serveur en ligne ) , et si cela ne fonctionne pas, rebootez la machine.

Si malgré tout ceci, cela ne fonctionne pas, reprenez à l'étape 2 en supprimant cette fois ci la racine VeriSign G5 2036 et rebootez. L'expérience montre que c'est souvent la seule solution.