J'ai récemment travaillé sur un problème d'installation d'un certificat Web Serveur dans IIS qui produisait l'erreur "la signature du certificat n'a pas pu être vérifiée".
De prime abord le certificat racine semblait être correctement installé et l'interface CertMgr ne montrait pas de problème particulier.
Après une inspection plus minutieuse nous nous sommes aperçus que le client avait au final deux root CA sur le serveur Certsrv, un expirant en 2014 et l'autre en 2016. Le certificat du serveur IIS a été généré via le root CA de 2016 alors que seul le root CA de 2014 était installé sur le serveur IIS.
La solution est donc d'importer le root CA expirant en 2016 sur le serveur IIS.


En espérant que cet article vous soit utile.
Sylvain Lecerf & L'équipe du Support IIS Microsoft France