Windows Mobile Certificates

 

Introduction

 Lorsque que vous voulez accéder à vos services de messagerie vous avez deux solutions au niveau des certificats :

• Acheter un certificat
  
  • Excellent en terme de déploiement puisque cette solution implique peu de configuration au niveau des clients distants mais une solution payante puisqu’il vous faut acquérir le certificat
    

     

• Installer une Infrastructure de certificats interne
  
  • Gratuit en dehors des licences Microsoft mais nécessite de paramétrer vos clients (postes et mobiles pour pouvoir accéder à la messagerie)
    

Cet article présente la seconde solution avec création d’un certificat et configuration d’un périphérique mobile.

 

Configuration

Nous allons Créer dans un premier temps les fichiers de configuration grâce à l’outil SSL Chain saver, et nous configurerons les périphériques dans un second temps.

Windows Mobile SSLChainSaver

Vous pouvez télécharger cet outil via le site http://www.microsoft.com/downloads/details.aspx?FamilyID=6123eb55-6590-4643-8e7f-11c177104de2&DisplayLang=en

Lancez le setup

• Cliquez sur « Next »

• Cliquez sur « Next »

• Cliquez sur « Next »

• Cliquez sur « Install»

• Cliquez sur « Finish »

 

Création des fichiers de configuration

 

Nous allons maintenant créer les fichiers de configuration pour les périphériques mobiles 5 et 6

Rendez-vous en mode de commande dans le répertoire

C:\Program Files\Microsoft SSL ChainSaver puis lancez la commande

SSLChainSaver.exe mail.company.com

L’outil va créer automatiquement un répertoire avec le certificat Root de l’autorité de certification ainsi que le certificat du serveur dans un répertoire « mail.company.com »

Vous trouverez les deux fichiers de configuration à la racine portant les noms :

• mail.company.com.wm5.xml pour Windows Mobile 5
• mail.company.com.wm6.xml pour Windows Mobile 6

 

Une fois ces fichiers créés, nous allons maintenant créer les fichiers .CAB permettant l’installation sur les périphériques mobile à l’aide de l’utilitaire makecab.

Nous devons renommer le fichier XML que nous allons utiliser pour créer le .CAB en _setup.xml comme ci-dessous

Pour créer le fichier CAB, nous allons exécuter la commande suivante dans notre exemple :

Makecab _setup.xml cert.cab

Ce fichier doit ensuite être mis à disposition des périphériques, via une carte de stockage ou autre

Il suffit de cliquer dessus pour l’installer,

 

        

Il suffit de cliquer dessus pour l’installer,

Détail ci-dessus du certificat Root.

Connexion au serveur

 

        

        

 

 

        

 

Quelques liens utiles

 

Blog de l’équipe Windows Mobile

http://blogs.msdn.com/windowsmobile/archive/2008/05/18/sslchainsaver-v2-released.aspx

Windows Mobile SSLChainSaver

http://www.microsoft.com/downloads/details.aspx?FamilyID=6123eb55-6590-4643-8e7f-11c177104de2&DisplayLang=en

Comment faire pour installer des certificats racines sur un appareil Windows Mobile

http://support.microsoft.com/kb/915840

Comment configurer une Autorité de certification pour accepter un attribut SAN d’une demande de certificat

Par défaut une autorité de certification configurée sur un ordinateur Windows Server 2003 ou 2008 n’émet pas de certificats qui contiennent l’extension SAN. Si les entrées SAN sont incluses dans la demande de certificat, ces entrées sont omises

À partir du certificat émis. Pour vous modifier ce comportement, exécuter les commandes suivantes à une invite de commandes

Sur le serveur qui exécute le service Autorité de certification. Appuyez sur ENTRÉE après chaque ligne.

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

Dans la demande de certificat, dans ATTRIBUTE entrez les différents noms de certificat sous cette forme

san:dns=dns.name[&dns=dns.name]

Exemple:

san:dns=intra.net&dns=mail.intra.net

ou par la cmdlets Exchange New-ExchangeCertificate avec le paramètre -DomainName