Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Renouveler un certificat SSL Exchange

Posted by Anthony Costeseque sur décembre 30, 2013


Bonjour à tous,

Pour des raisons de sécurité vos certificats SSL (web) expirent régulièrement, et proche du renouvèlement c’est souvent la panique, car c’est un sujet souvent mis de côté et qui finit par devenir obscur !

NOTE : Vous pouvez renouveler vos certificats à tous moment.

 

Voici une procédure pas à pas pour le renouvellement de vos certificats dans Exchange 2010 (marche aussi pour Exchange 2013).

Vérifier l’état de vos certificats

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services

 


 

Ici on constate que le certificat que nous utilisons pour les web services va expirer.

Nous allons le renouveler.

 

Get-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4 | New-ExchangeCertificate -GenerateRequest:$True -PrivateKeyExportable:$True

 


 

Maintenant une request est en cours pour son renouvellement, le CSR est visible ici :

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest

 


 

Attention les balises :

—–BEGIN NEW CERTIFICATE REQUEST—–

—–END NEW CERTIFICATE REQUEST—–

Sont importantes !

 

Nous allons générer le certificat sur la PKI qui les émet dans votre organisation :

http://NomDeVotreServeurPKI/certsrv

 


Ici le web enrolement

 


Advanced certificate request

 


Submit a certificate request

 


Ne pas oublier les balises de début et de fin

Certificat de type Web Server (template par defaut)

 


 


Nous utiliserons le format DER

 


La différence est au niveau de l’encodage

 

Nous allons importer le nouveau certificat sur le serveur Exchange

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\Users\costeseque\Documents\certnewDER.cer » -Encoding Byte -ReadCount 0))

 


Mon nouveau certificat porte le Thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A

 

Nous allons maintenant activer les services dessus.

Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP

 


 

Nous pouvons maintenant supprimer l’ancien certificat

Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4

 


 

Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest

Pour vérifier que tout est OK

 

S’il ne s’agit pas du certificat local de votre serveur (utilisé pour les connecteurs SMTP de réception en général) il vous faudra exporter ce nouveau certificat pour l’importer sur tous vos serveurs fronteaux (CAS/HUB).

 


 


 


 

$Datas = Export-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -BinaryEncoded:$true -Password:(Get-Credential).password

Set-Content -path « C:\Users\costeseque\Documents\ExchangeCert2015.pfx » -Value $Datas.FileData -Encoding Byte

 


 

Nous allons maintenant l’importer sur les serveurs cibles

 

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\temp\ExchangeCert2015.pfx » -Encoding Byte -ReadCount 0)) -Password:(Get-Credential).Password

 


Le certificat porte la thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A (la même que sur le serveur source)

 

Nous pouvons maintenant activer les services dessus :

Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP

 

Puis supprimer l’ancien certificat :

Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4

 

Cette opération sera à réaliser sur chaque serveur cible.

 

Bonne lecture

Pour toutes questions n’hésitez pas.

Bonnes fêtes de fin d’année à tous.

Anthony Costeseque

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :