Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Archive for the ‘Certificat-2007’ Category

Exchange 2007/2010 : Certificat étoile une alternative intéressante ?

Posted by Teruin laurent le septembre 28, 2010


L’avènement de Microsoft exchange 2010 est les opérations de migration relance le débats sur l’utilisation des certificats de type étoile. En effet, pour migrer les services d’accès client vous devrez modifier les certificats clients existants pour ajouter un nom de type Legacy.fqdnpublic-des-services-cas. La mise en place de certificats de type *.fdqn est intéressant a ce point de vue car elle permet de garder le même certificat et éviter de couper le lien SSL de production.

D’autre part elle permet de faire porter aux services Cas plein de noms différents comme les noms des serveurs active directory, les autodiscover, webmail etc.. De ce point de vue-là, les certificats de type «  étoile » ont le vent en poupe. Un autre avantage est le prix car dans le cas de certificat SAN, la facturation de certaines sociétés se fera sur le prix du certificat et le nombre d’entrées alternatives. Ce qui risque de faire monter l’addition….
Un autre avantage reste la facilitée de gestion et le fait qu’il n’est pas nécessaire de les changer à chaque ajout de nom supplémentaire. Alors il faut bien quelques inconvénients non ?

Coté inconvénients nous allons trouver leurs incapacité à gérer plusieurs noms de domaine et pour cause. Les certificats étoiles que vous devrez acquérir seront de la sorte *.unifiedit.com. Si votre nom de domaine interne est identique à celui de l’externe pas de souci tout cela fonctionnera. On parle dans ce cas-là, de « SplitDNS ». Ce qui en soit est une configuration conseillée officiellement par Microsoft (voir techdays 2010). Il est vrai que cela est plus simple à tout point de vue. Dans le cas contraire, le certificat étoile (Wildcard) ne pourra rien pour vous. Si vos ressources externes sont joignables par *.unifiedit.com et que en interne, elles le sont par *.unifiedit.local point de salut. Les certificats San sont obligatoires.

Sachez que l’utilisation des certificats Wildcard va demander une modification du paramétrage Outlook pour que le fonctionnement du RPCoverHtpp (Outlook Anywhere reste possible). L’article suivant explique comment paramétrer les services Exchange lors de l’utilisation des certificats étoiles :

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Un autre inconvénient réside dans la non supportabilité vis-à-vis de Windows Mobile 5 (Cf article technet : http://technet.microsoft.com/en-us/library/cc182301.aspx).


Quand à Windows Mobile 6 cette version le supporte à la condition que le certificat étoile ne soit pas délivré par une PKI Microsoft.


Sachez enfin que l’utilisation des Certificats Wildcard ne fait pas partie des « Best Practice » Microsoft.

Important : A noter également que les certificats SAN via Outlook en accès POP et Imap inférieur à la version 2010 ne sont pas supportés sauf si vos Outlook 2007 possèdent le service pack2 ou supérieur.

Coté OCS ou plutôt Lync je vais aller me renseigner je reviens vers vous rapidement

Cordialement
Laurent Teruin

Posted in Cas-2010, Certificat-2007, Certificat-2010, Windows Mobile | Leave a Comment »

Windows Mobile Certificates

Posted by David PEKMEZ le août 17, 2008


 

Introduction

 Lorsque que vous voulez accéder à vos services de messagerie vous avez deux solutions au niveau des certificats :

  • Acheter un certificat
    • Excellent en terme de déploiement puisque cette solution implique peu de configuration au niveau des clients distants mais une solution payante puisqu’il vous faut acquérir le certificat

       

  • Installer une Infrastructure de certificats interne
    • Gratuit en dehors des licences Microsoft mais nécessite de paramétrer vos clients (postes et mobiles pour pouvoir accéder à la messagerie)

Cet article présente la seconde solution avec création d’un certificat et configuration d’un périphérique mobile.

 

Configuration

Nous allons Créer dans un premier temps les fichiers de configuration grâce à l’outil SSL Chain saver, et nous configurerons les périphériques dans un second temps.

Windows Mobile SSLChainSaver

Vous pouvez télécharger cet outil via le site http://www.microsoft.com/downloads/details.aspx?FamilyID=6123eb55-6590-4643-8e7f-11c177104de2&DisplayLang=en

Lancez le setup

  • Cliquez sur « Next »

  • Cliquez sur « Next »

  • Cliquez sur « Next »

  • Cliquez sur « Install»

  • Cliquez sur « Finish »

 

Création des fichiers de configuration

 

Nous allons maintenant créer les fichiers de configuration pour les périphériques mobiles 5 et 6

Rendez-vous en mode de commande dans le répertoire

C:\Program Files\Microsoft SSL ChainSaver puis lancez la commande

SSLChainSaver.exe mail.company.com

L’outil va créer automatiquement un répertoire avec le certificat Root de l’autorité de certification ainsi que le certificat du serveur dans un répertoire « mail.company.com »

Vous trouverez les deux fichiers de configuration à la racine portant les noms :

  • mail.company.com.wm5.xml pour Windows Mobile 5
  • mail.company.com.wm6.xml pour Windows Mobile 6

 

Une fois ces fichiers créés, nous allons maintenant créer les fichiers .CAB permettant l’installation sur les périphériques mobile à l’aide de l’utilitaire makecab.

Nous devons renommer le fichier XML que nous allons utiliser pour créer le .CAB en _setup.xml comme ci-dessous


Pour créer le fichier CAB, nous allons exécuter la commande suivante dans notre exemple :

Makecab _setup.xml cert.cab

Ce fichier doit ensuite être mis à disposition des périphériques, via une carte de stockage ou autre

Il suffit de cliquer dessus pour l’installer,

 

        

Il suffit de cliquer dessus pour l’installer,


Détail ci-dessus du certificat Root.

Connexion au serveur

 

        

        

 

 

        

 

Quelques liens utiles

 

Blog de l’équipe Windows Mobile

http://blogs.msdn.com/windowsmobile/archive/2008/05/18/sslchainsaver-v2-released.aspx

Windows Mobile SSLChainSaver

http://www.microsoft.com/downloads/details.aspx?FamilyID=6123eb55-6590-4643-8e7f-11c177104de2&DisplayLang=en

Comment faire pour installer des certificats racines sur un appareil Windows Mobile

http://support.microsoft.com/kb/915840

Posted in Certificat-2007, Mobilité-2007, Sécurité-2007 | Tagué: , , | Leave a Comment »

Comment configurer une Autorité de certification pour accepter un attribut SAN d’une demande de certificat

Posted by David PEKMEZ le août 17, 2008


Par défaut une autorité de certification configurée sur un ordinateur Windows Server 2003 ou 2008 n’émet pas de certificats qui contiennent l’extension SAN. Si les entrées SAN sont incluses dans la demande de certificat, ces entrées sont omises

À partir du certificat émis. Pour vous modifier ce comportement, exécuter les commandes suivantes à une invite de commandes

Sur le serveur qui exécute le service Autorité de certification. Appuyez sur ENTRÉE après chaque ligne.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

Dans la demande de certificat, dans ATTRIBUTE entrez les différents noms de certificat sous cette forme

san:dns=dns.name[&dns=dns.name]

Exemple:

san:dns=intra.net&dns=mail.intra.net

ou par la cmdlets Exchange New-ExchangeCertificate avec le paramètre -DomainName

Posted in Certificat-2007, Certificat-2010, Publication-2007, Publication-2010, Sécurité-2007, Sécurité-2010 | Tagué: , , | Leave a Comment »

 
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 224 autres abonnés