Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Exchange 2010 et la gestion des certificats

Publié par David PEKMEZ le décembre 3, 2009


La gestion des certificats en Exchange 2007 fonctionnait essentiellement via des cmdlet powershell

CF cet article qui présente pour exchange 2007 la création des certificats et la publication des services de messagerie via ISA Server 2006

Dans Exchange 2010 l’interface Graphique a été dotée d’assistants permettant de simplifier cette démarche de création de certificat et d’affectation de ce même certificat aux services Exchange.

Pour rappel, lors de l’installation d’Exchange 2007 et d’Exchange 2010, un certificat est automatiquement créé, c’est un certificat auto signé qui est utilisé par Exchange pour les services IIS / SMTP ou autres.

L’opération consiste à créer et installer un certificat provenant d’une autorité de certification valide et de l’affecter à Exchange.

Les autorités de certification valides peuvent être :

- Une autorité de certification publique en achetant un certificat sur internet

- Une autorité de certification privée en installant une PKI interne.

L’une présente l’avantage d’un déploiement simple et rapide mais pouvant être couteuse alors que l’autre (PKI Interne) présente un cout financier moindre mais nécessitant le déploiement d’un certificat sur tous les clients de messagerie (Postes clients / PDA ..)

Ceci peut être facilité par Active Directory via les GPO pour les postes clients par exemple mais présente tout de même une charge de déploiement non négligeable.

Dans cet article je vais vous présenter comment configurer votre PKI Microsoft afin de délivrer des certificats pour vos serveurs Exchange, procéder à la création des certificats et les affecter aux services de messagerie.

Puisque ceci est maintenant possible via l’interface graphique, je vous propose de le faire via la console Exchange 2010.

Dans mon exemple le serveur héberge les rôles CAS, HUB et Mailbox, vous ne pouvez pas affecter de certificats à vos serveurs Mailbox.

Configuration de la PKI Microsoft

 

La première étape consiste à permettre la création de certificats SAN pour Exchange.

Les certificats SAN (Subject Alternative Name) permettent d’affecter plusieurs noms à un certificat unique

Pour de plus amples informations sur les SAN et les PKI Windows je vous propose le site Microsoft http://support.microsoft.com/kb/931351/en-us

Aller sur votre serveur PKI et lancez ces commandes :

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

 

 
 

Création de la demande de certificat

 

Lancez la console Exchange, faite un clic droit sur votre serveur et sélectionnez « New Exchange Certificate »


L’assistant se lance


Entrez le nom du certificat et cliquez sur suivant,


Si vous cochez la case « Enable wildcard Certificate » votre certificat portera le nom *.domaine.com

L’utilisation de ce type de certificat permet de ne pas utiliser les certificats de type SAN avec plusieurs nom.

Attention toutefois, certaines problématiques peuvent apparaitre lors de l’utilisation de ce type de certificats

http://technet.microsoft.com/en-us/library/cc535023.aspx

Typiquement les périphériques mobiles Windows Mobile 5 supportent les certificats SAN mais pas les certificats de type Wildcard,

Les périphériques Windows Mobile 6 supportent les deux types de certificats.

Nous n’activerons pas la création de certificats de ce type pour cet article, nous utiliserons des certificats SAN


Veuillez ici remplir les informations demandées pour les différents services de messagerie

Exemple en déployant « Client Access Server (Outlook Web App) »


Ou encore « Client Access Server (Exchange ActiveSync) » pour configurer l’accès des périphériques mobiles


Ou encore Outlook Anywhere et les Web services


Configurez de la sorte tous les services de messagerie que vous voulez activer puis cliquez sur suivant,


Dans l’écran suivant, sélectionnez votre nom principal et cliquez sur l’option « Set as common name ».


Remplissez les champs et entrez le chemin pour la création du fichier de demande puis cliquez sur suivant


Cliquez ensuite sur « New » pour créer la demande.


La première étape est terminée.

A l’aide de ce fichier nous allons maintenant procéder à la création du certificat.

Création du certificat

 

Allez sur la page web de votre PKI et suivez les étapes ci-dessous

Vous pouvez vous connecter à votre PKI via l’URL http://NomServeur/certsrv


Cliquez sur « Request a certificate »

 
 


Cliquer sur « Advanced Certificate Request »

 
 


Cliquez sur « Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file »

Ensuite ouvrez le fichier créé lors de la génération de la demande de certificat,

Dans notre exemple « C:\Cert.req »


Sélectionnez les lignes de code, copiez-les, 


Collez le code dans la page web et sélectionnez un Template de type « Web Server »

 
 


Sélectionnez « Download Certificate » et enregistrez le certificat en local.

Une fois le certificat en local sur le serveur, il faut maintenant l’importer et l’activer pour les services Exchange.

Importation du certificat et activation pour les services

 

Ouvrez de nouveau la console Exchange, cliquez sur le certificat en sélectionnant tout d’abord votre serveur,


Sélectionnez « Complete Pending Request »


Sélectionnez le certificat venant d’être téléchargé


Cliquez sur Finish pour terminer l’import du certificat

Une fois importé, nous allons l’activer pour certains services de messagerie

Pour cela, sélectionnez de nouveau le certificat mais vous voyez maintenant l’option « Assign Services to Certificate … »



Sélectionnez votre serveur puis cliquez sur « Next »


Choisissez les services Exchange qui utiliseront ce certificat


Cliquez sur « Assign »


Une confirmation de remplacement de certificat vous sera demandé pour le service SMTP, cliquez sur « Yes »


Voici mon nouveau certificat prêt à l’emploi !



Voici les différents noms SAN du certificat, ici d’autres nom ont étés ajoutés pour un serveur Exchange 2007.

Si lorsque vous ouvrez votre certificat vous obtenez l’image ci-dessous, c’est que vous n’avez pas sur votre poste ou serveur le certificat racine de l’autorité de certification installé.


Pour cela vous devez retourner sur le site de votre PKI et télécharger le certificat racine


Une fois téléchargé, ouvrez une MMC et ajoutez le composant « Certificate » mais choisissez bien pour l’ordinateur local c’est important.


Naviguez dans « Trusted Root Certification Authorities » puis « Certificates » et choisissez la tâche d’import

L’assistant se lance et vous guide pas à pas



Sélectionnez le certificat téléchargé précédemment,



Une fois l’import terminé voici le certificat importé


Voilà un des nouveaux assistants découvert, sachez toutefois qu’il est toujours possible de faire tout çà via powershell 

Qui peut être plus pratique si vous êtes consultant et que vous voulez gagner du temps ;)

About these ads

4 Réponses à “Exchange 2010 et la gestion des certificats”

  1. [...] http://unifiedit.wordpress.com/2009/12/03/exchange-2010-et-la-gestion-des-certificats/ [...]

  2. [...] vers Exchange Server 2010 Part 2Exchange 2010 et les Array CAS (Client Access Servers) – Part 1Exchange 2010 et la gestion des certificatsInstallation Exchange 2010 _ Part 1Migration Inter Org Exchange 200x vers 2007Sauvegarde [...]

  3. Sadok Anani a dit

    Bonjour , merci pour cet article . J’ai un problème avec le PKI que j’utilise, apres avoir cliqué sur "Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file" , la page ou je dois coller le fichier .req apparaît , mais un message d’erreur s’affiche : « Aucun modèle n’a été trouvé. Vous n’avez l’autorisation de demander un certificat auprès d’aucune Autorité de certification, ou une erreur est survenue pendant l’accès à Active Directory. »

    donc je ne peux pas crée le certificat . avez vous une idée de quoi s’agit’il ?

  4. [...] http://unifiedit.wordpress.com/2009/12/03/exchange-2010-et-la-gestion-des-certificats/ [...]

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 223 followers

%d bloggers like this: