Desactiver la racine VeriSign Class 3 Public Primary Certification Authority - G5 (2036)
Les recommandations de cette page ne sont plus d'actualité. Cette racine est une racine de compatibilité SHA1 utilisée par Symantec. La désactiver pour utiliser un équivalent cross-signé poserait des problèmes de chaîne de certification.
Certains produits Microsoft (notamment les serveurs IIS) ont une autorité de certification Racine nommée "VeriSign Class 3 Public Primary Certification Authority - G5" expirant en 2036 qui interfère avec le certificat serveur VeriSign ou développeur VeriSign.
Le symptôme se matérialise par un échec au test réalisé par CO-piBot (Tester un certificat serveur en ligne ) bien qu'une chaine de certification ait bien été installée. Le souci ici c'est qu'au lieu d'utiliser le certificat intermédiaire "VeriSign Class 3 Public Primary Certification Authority - G5 (2021)", le serveur envoie le certificat racine "VeriSign Class 3 Public Primary Certification Authority - G5 (2036)".
Pour régler ce souci, il faut aller désactiver le certificat racine problématique, et désactiver la mise à jour automatique des autorités de certification (voir Désactiver la mise à jour des autorités de certification sur Windows 2003 et 2008 ).
Désactiver VeriSign Class 3 Public Primary Certification Authority - G5 (2036)
1- Lancez la MMC
- Cliquez sur Démarrer ou Start puis sélectionnez Executer ou Run et tapez mmc
- Cliquez sur le menu Fichier ou File et sélectionnez Ajouter/Supprimer un composant logiciel enfichable... ou Add/Remove Snap in
- Choisissez Ajouter ou Add, sélectionnez Certificats ou Certificates dans la liste des Composants logiciels enfichables disponibles ou Standalone Snap-in puis cliquez sur Ajouter ou Add
- Choisissez Le compte de l'ordinateur ou Computer Account et cliquez sur Suivant ou Next
- Choisissez L'ordinateur local ou Local Computer et cliquez sur Terminer ou Finish
- Fermez la fenêtre et cliquez sur OK dans la fenêtre supérieure
2- Localisez le certificat à désactiver
- déployer la hiérarchie pour aller dans Trusted Root Certification Authorities puis Certificates
- dans la liste, trouvez le certificat
Common Name - VeriSign Class 3 Public Primary Certification Authority - G5 Expiry Date - 16 July 2036 Serial Number - 18 da d1 9e 26 7d e8 bb 4a 21 58 cd cc 6b 3b 4a
- Désactivez le certificat en faisant un clic-droit, puis propriétés
- Dans la zone Certificate purposes, placez la coche sur Disable all purposes for this certificate
- Cliquez sur OK. Vous pouvez désormais fermer la MMC.
3- Relancez le serveur
Sous IIS6, arrêter et démarrer le site web peut suffir (stop puis start), mais plus généralement, il faut redémarrer la machine. Faites d'abord un stop / start, testez votre certificat avec CO-piBot (Tester un certificat serveur en ligne ) , et si cela ne fonctionne pas, rebootez la machine.Si malgré tout ceci, cela ne fonctionne pas, reprenez à l'étape 2 en supprimant cette fois ci la racine VeriSign G5 2036 et rebootez. L'expérience montre que c'est souvent la seule solution.