Exchange your Mind

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Exchange 2007/2010 : Certificat étoile une alternative intéressante ?

Publié par Teruin laurent le septembre 28, 2010


L’avènement de Microsoft exchange 2010 est les opérations de migration relance le débats sur l’utilisation des certificats de type étoile. En effet, pour migrer les services d’accès client vous devrez modifier les certificats clients existants pour ajouter un nom de type Legacy.fqdnpublic-des-services-cas. La mise en place de certificats de type *.fdqn est intéressant a ce point de vue car elle permet de garder le même certificat et éviter de couper le lien SSL de production.

D’autre part elle permet de faire porter aux services Cas plein de noms différents comme les noms des serveurs active directory, les autodiscover, webmail etc.. De ce point de vue-là, les certificats de type «  étoile » ont le vent en poupe. Un autre avantage est le prix car dans le cas de certificat SAN, la facturation de certaines sociétés se fera sur le prix du certificat et le nombre d’entrées alternatives. Ce qui risque de faire monter l’addition….
Un autre avantage reste la facilitée de gestion et le fait qu’il n’est pas nécessaire de les changer à chaque ajout de nom supplémentaire. Alors il faut bien quelques inconvénients non ?

Coté inconvénients nous allons trouver leurs incapacité à gérer plusieurs noms de domaine et pour cause. Les certificats étoiles que vous devrez acquérir seront de la sorte *.unifiedit.com. Si votre nom de domaine interne est identique à celui de l’externe pas de souci tout cela fonctionnera. On parle dans ce cas-là, de « SplitDNS ». Ce qui en soit est une configuration conseillée officiellement par Microsoft (voir techdays 2010). Il est vrai que cela est plus simple à tout point de vue. Dans le cas contraire, le certificat étoile (Wildcard) ne pourra rien pour vous. Si vos ressources externes sont joignables par *.unifiedit.com et que en interne, elles le sont par *.unifiedit.local point de salut. Les certificats San sont obligatoires.

Sachez que l’utilisation des certificats Wildcard va demander une modification du paramétrage Outlook pour que le fonctionnement du RPCoverHtpp (Outlook Anywhere reste possible). L’article suivant explique comment paramétrer les services Exchange lors de l’utilisation des certificats étoiles :

http://technet.microsoft.com/en-us/library/cc535023(EXCHG.80).aspx

Un autre inconvénient réside dans la non supportabilité vis-à-vis de Windows Mobile 5 (Cf article technet : http://technet.microsoft.com/en-us/library/cc182301.aspx).


Quand à Windows Mobile 6 cette version le supporte à la condition que le certificat étoile ne soit pas délivré par une PKI Microsoft.


Sachez enfin que l’utilisation des Certificats Wildcard ne fait pas partie des « Best Practice » Microsoft.

Important : A noter également que les certificats SAN via Outlook en accès POP et Imap inférieur à la version 2010 ne sont pas supportés sauf si vos Outlook 2007 possèdent le service pack2 ou supérieur.

Coté OCS ou plutôt Lync je vais aller me renseigner je reviens vers vous rapidement

Cordialement
Laurent Teruin

About these ads

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
Suivre

Recevez les nouvelles publications par mail.

Joignez-vous à 223 followers

%d bloggers like this: