Renouvellement des certificats exchange 2007

(0 - user rating)

Écrit par TyRex | 17 Mai 2011

Installation du certificat sous exchange 2007

Pour cela lancez le Gestionnaire des services Internet.

image001

Dérouler l’arborescence « SRVEXCHANG/Sites Web » et cliquer-droit sur «site web par défaut» et cliquer sur « propriétés ».

image004

 

Cliquer sur l’onglet Sécurité de répertoire

image006

 

Pour savoir quel est le nouveau certificat, il suffit de regarder la date de modification ou bien de comparer le Thumbprint du certificat avec son empreinte numérique.

Il suffit pour cela de double-cliquer sur un certificat.

Cliquer sur « détails » et dérouler le champ de recherche jusqu’à « empreinte numérique ».

La valeur indiquée de cette empreinte correspond au thumbprint indiqué dans la commande Shell Excel. Il faut donc trouver le certificat avec le nouveau thumbprint. Vous pouvez-ici renommer le certificat pour qu’il soit reconnaissable (exemple de la date et du nom du certificat)

image007     image009

Pour installer le certificat il suffit dorénavant de cliquer sur « Installer le certificat »

puis cliquez sur Suivant

 

 

Sélectionner « placer tous les certificats dans le magasin suivant » puis « parcourir »

image013

 

 

Sélectionner « Autorités de certification de confiance » et valider

image015

 

Redémarrez le serveur (pour que les services IIS redémarrent correctement), votre certificat est opérationnel.


Génération de Certificats auto-signés par Exchange en mode Shell

Pour générer un certificat auto-signé à des fins d'utilisation pour le service SMTP, POP, IMAP, IIS pour le serveur dont le nom d'hôte est LIMA et le domaine est docan.local, exécutez la commande suivante :

Copier le code

New-ExchangeCertificate -DomainName "LIMA.docan.local", "LIMA" -Services "SMTP, POP, IMAP, IIS"

Copie de certificats auto-signés

Pour renouveler un certificat auto-signé existant, vous pouvez le copier à l'aide de la commande suivante :

Get-ExchangeCertificate, puis entrée, vous listera les différents certificats présents dans l’A.C. ainsi que toutes les empreintes (thumbprint) qui leurs sont affectés.

Copier le code

Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate

L'espace réservé thumbprint correspond à l'empreinte du certificat à renouveler. Vous pouvez également spécifier les services pour le nouveau certificat dans la commande, comme suit :

Copier le code

Get-ExchangeCertificate <thumbprint> | New-ExchangeCertificate -Services SMTP,POP,IMAP

Vous pouvez ensuite activer ce certificat en exécutant la commande suivante :

Copier le code

Enable-ExchangeCertificate <thumbprint>

Création de demandes de certificat et installation de certificats approuvés

L'installation d'un certificat tiers public est plus complexe. Vous devez générer une demande de certificat, importer le certificat émis et tous les certificats d'autorité de certification requis, puis activer le certificat émis pour les utilisations correspondantes.

Cette section fournit un exemple d'activation du service POP3 à des fins d'utilisation de certificats. Dans cet exemple, les clients se connectent au service POP3 en se connectant au nom de domaine complet docan.local.

Demande de certificat

Comme le certificat obtenu provient d'une autorité de certification publique tierce, vous devez commencer par générer une demande de certificat en exécutant la commande suivante :

Copier le code

New-ExchangeCertificate -DomainName LIMA.docan.local -SubjectName "c=us,o=contoso corp, cn=docan.local" -PrivateKeyExportable:$True -GenerateRequest:$True -Path "C:\CertRequest.req"

Si la demande de certificat est correctement générée, un fichier de demande de certificat (.cer ou .der) est créé à la racine du lecteur système et l'environnement de ligne de commande Exchange Management Shell affiche une empreinte pour la demande.

Remarque : Les certificats renvoyés par les fournisseurs prennent en charge différentes extensions pour le fichier de demande de certificat, telles que .der ou .cer. Ces extensions représentent la méthode de codage utilisée pour le fichier de certificat. Par défaut, la demande New-ExchangeCertificate crée un fichier codé en Base64 (.cer). Le paramètre booléen BinaryEncoded permet de créer un fichier .der

 

Dans la commande précédente, le paramètre PrivateKeyExportable est défini sur $True de sorte que ce certificat peut être exporté avec la clé privée à des fins d'utilisation sur plusieurs serveurs Exchange auxquels il est possible d'accéder à l'aide du même nom de domaine complet. Par exemple, il est possible de procéder à un équilibrage de la charge de plusieurs serveurs d'accès au client de sorte qu'ils puissent prendre en charge les connexions POP3.

 

Remarque : Le paramètre PrivateKeyExportable est facultatif. Vous ne devez le spécifier que lorsque vous générez des demandes de certificat pour les autorités de certification approuvées. En définissant le paramètre PrivateKeyExportable sur $True, vous pouvez déplacer et archiver le certificat et les clés associées. Cette procédure n'est pas nécessaire pour les certificats auto-signés.

La commande précédente spécifie également le paramètre Subjectname comme nom X.500. La plupart des autorités de certification tierces exigent la spécification d'un nom X.500 valide pour le paramètre Subjectname du certificat. La plupart des autorités de certification requièrent que l'organisation répertoriée dans le champ organizationName (o=) possède au moins le nom de domaine qui apparaît dans le champ commonName (cn=) du serveur Web.

Une fois la demande effectuée, vous pouvez envoyer le fichier de demande à un fournisseur de certificats afin d'obtenir un certificat.

Remarque : La cmdlet Get-ExchangeCertificate renvoie les certificats, y compris ceux dont les demandes sont en attente. Pour différencier les deux types de certificats, les demandes contiennent un attribut CertificateRequest qui affiche la sortie stockée dans le fichier de demande de certificat. Cette sortie peut être utile si vous supprimez accidentellement le fichier de demande de certificat ou générez la demande sans le paramètre. Les données CertificateRequest sont codées en base64 et peuvent être copiées vers un fichier et envoyées à votre autorité de certification à des fins de demande de certificat.

 

Importation d'un certificat

Une fois le certificat renvoyé par une autorité de certification, vous devez l'importer vers le serveur Exchange. Pour importer un certificat dont la demande a été générée à l'aide de la cmdlet New-ExchangeCertificate, exécutez la commande suivante :

Copier le code

Import-ExchangeCertificate -Path "C:\CertificateFile.cer"

Si l'importation du certificat a réussi, la commande renvoie l'empreinte du certificat que vous pouvez utiliser pour activer des services spécifiques.

Important : Vous devez installer le certificat sur l'ordinateur à partir duquel la demande a été générée. En outre, pour importer des certificats Exchange, n'utilisez pas le Gestionnaire de certificats de la console MMC.

 

Activation d'un certificat

Activer un certificat vous permet de spécifier quels services peuvent l'utiliser. La commande suivante active le certificat émis pour le service POP3 :

Copier le code

Enable-ExchangeCertificate <thumprint> -Services:"POP"

Vous pouvez importer et activer un certificat simultanément en exécutant la commande suivante :

Copier le code

Import-ExchangeCertificate -Path "C:\CertificateFile.cer" | Enable-ExchangeCertificate -Services:"POP"

Validation de l'installation d'un certificat

Pour confirmer l'exécution des étapes requises et l'installation et le fonctionnement du certificat, exécutez la commande suivante :

Copier le code

Get- ExchangeCertificate <thumbprint> | fl *
Remarque : Si votre ordinateur exécute Exchange Server 2007 SP 1 ou versions ultérieures, omettez l'astérisque (*) sur l'argument de commande.


La sortie de la commande renvoie des données identiques à ce qui suit :

Copier le code

AccessRules: {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule,System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {popserver.fourthcoffee.com, fourthcoffee.com}
HasPrivateKey: True
IsSelfSigned: False
Issuer: CN=3rdPartyCAExample.com
NotAfter: 8/7/2008 10:04:02 AM
NotBefore: 8/7/2007 10:04:02 AM
PublicKeySize: 2048
RootCAType: ThirdParty
SerialNumber: 83FAE8B2398F2A9E44485CBA85D548DF
Services: POP
Status: Valid
Subject: C=us,o=contoso corp, CN=docan.local
Thumbprint: 257C327A164ED8A6FCDAFCA7789D29B60369DCA7

 

Inspectez la sortie de la commande pour valider les informations suivantes :

  • Les noms de domaine dont la présence est requise sont répertoriés dans le champ CertificateDomains.
  • La propriété HasPrivateKey est définie sur True.
  • La propriété RootCAType est définie correctement. Pour plus d'informations sur la propriété RootCAType.
  • Les services requis sont activés pour le certificat.
  • L'état est défini sur Valid.

Services de certificats

Il est possible d'activer des services, tels que POP, IMAP, les services IIS et SMTP sur un certificat. Les services ne correspondent pas à des champs du certificat en tant que tel. Il s'agit de propriétés de métadonnées des certificats. Vous pouvez donc les modifier sans invalider le certificat.

Lorsque des services sont activés, d'autres composants subissent des modifications de configuration, tels que la métabase IIS, le système de fichiers ou les paramètres IMAP4 et POP3. Cette section présente les modifications de configuration qui se produisent lorsque vous activez un service donné en exécutant la cmdlet Enable-ExchangeCertificate.

POP et IMAP

Lorsque POP et IMAP sont ajoutés en tant que services supplémentaires à un certificat, l'attribut x509CertificateName de l'objet POPSettings ou IMAPSettings est mis à jour afin d'inclure le domaine dans l'objet du certificat.

Par exemple, pour vérifier que l'objet POPSettings a été mis à jour, exécutez la commande suivante :

Copier le code

Get-POPSettings | fl *

 

Remarque : Si votre ordinateur exécute Exchange Server 2007 SP 1 ou versions ultérieures, omettez l'astérisque (*) sur l'argument de commande.

 

Document réalisé à l'aide du site technet de Microsoft en y accompagnant des compléments d'information ainsi que des copies d'écrants.

< Précédent   Suivant >

Ajouter un Commentaire


Code de sécurité
Rafraîchir

Articles en relation