Dans cet article nous allons voir comment renouveler un certificat Exchange 2010 facilement. Ce certificat pourra être utilisé pour les rôles IIS, IMAP, SMTP et POP de Microsoft Exchange.
Dans mon exemple, je dispose d'un domaine Active Directory, d'un serveur Microsoft Exchange 2010 ainsi que d'une autorité de certification pour signer les certificats (installé sur mon contrôleur de domaine AD).
AVERTISSEMENT
Si vous travaillez sur un serveur SBS
L'utilisation de la maintenance du réseau (réparer le réseau) disponible dans la console SBS est fortement déconseillé. Son utilisation va renouveler le certificat Exchange ainsi que l'autorité de certification. Il faudra redéployer l'autorité de certification sur tous vos postes clients.
Prérequis
Vous devez disposer d'un domaine Active Directory fonctionnel
Vous devez disposer d'un serveur Microsoft Exchange 2010 fonctionnel
Vous devez disposer des rôles suivants :
Services de certificats Active Directory
Vous devez disposer des Services de rôle suivant :
Autorité de certification
Inscription de l'autorité de certification via le Web
Vous devez disposer d'une autorité de certification configurée et fonctionnelle
Création de la requête du nouveau certificat Exchange
1) Se connecter sur le serveur Exchange et ouvrir la console de gestion Exchange
Exchange Management Console - Configuration du serveur
2) Cliquer sur Nouveau certificat Exchange...
Il est possible de faire un clique droit sur le certificat et sélectionner Renouveler le certificat
Cela aura pour action de créer la requête du certificat, Si vous faites ce choix vous pouvez aller à l'étape Création du certificat avec l'autorité de certification
3) Indiquer un nom convivial pour le certificat (ce nom n'a pas d'importance)
Cliquer sur Suivant
4) Cliquer sur Suivant
5) Sélectionner Serveur d'accès client (Outlook Web App)
Cocher une ou des propositions
Cette étape n'a pas d'importance, nous allons remplir à la main les différents nom utilisés pour le certificat à l'étape suivante.
Cliquer sur Suivant
6) Ajouter tous les noms auquel le certificat va répondre
Cliquer sur Suivant
7) Renseigner les champs comme bon vous semble. Ils n'ont pas d'importance pour le fonctionnement du certificat ou du serveur Exchange
Indiquer le nom et l'emplacement du fichier de requête qui va être généré
Cliquer sur Suivant
8) Cliquer sur Nouveau
9) Cliquer sur Terminer
10) Votre requête est prête
Création du certificat avec l'autorité de certification
1) Connecté vous sur l'interface Web de l'autorité de certification
http://IP_SERVEUR/certsrv ou
https://IP_SERVEUR/certsrv
/!\ Attention /!\ Désactiver le mode protégé de IE ou utiliser un autre navigateur comme Firefox
Renseigner un utilisateur membre du groupe Admin du domaine
2) Cliquer sur Demander un certificat
3) Cliquer sur demande de certificat avancée
4) Ouvrir avec le bloc note le fichier .req généré à l'étape précédente et copier l’intégralité du fichier dans le premier champ
Sélectionner le modèle de certificat : Serveur WEB
Cliquer sur Envoyer
5) Cliquer sur Télécharger le certificat
Finalisation
1) Se connecter sur le serveur Exchange et ouvrir la console de gestion Exchange
Exchange Management Console - Configuration du serveur
2) Clique droit sur la demande en attente - Executer la commande en attente...
3) Cliquer sur Parcourir et indiquer le certificat généré à l'étape précédente
Cliquer sur Terminer
4) Cliquer sur Terminer
5) Notre nouveau certificat peut maintenant être utilisé par Exchange
Affectation des services au nouveau certificat
1) Clique droit sur le nouveau certificat - Affecter des services au certificat...
2) Cliquer sur Suivant
3) Sélectionner les services désiré
Cliquer sur Suivant
4) Cliquer sur Affecter
5) Si un des services est affecté à un autre certificat, vous obtiendrez cet avertissement
Cliquer sur Oui pour tout
6) Cliquer sur Terminer
7) Les services sont bien affecté à notre nouveau certificat
8) Nous pouvons supprimer l'ancien certificat qui est maintenant inutile
Clique droit sur l'ancien certificat - Supprimer
Excellent article qui m'a permis de renouveler mon certificat... mais seulement pour une durée de 6 mois !!
Sauriez-vous me dire pourquoi ?
J'ai vérifié les registres et je suis bien sur 2 ans.
Merci beaucoup !
Orazio
Merci beaucoup pour cette explication très complète qui m'a permis de renouveler mon certificat.
Ceci dit, j'ai deux questions à ce sujet:
1. Les navigateurs estiment que le certificat n'est pas sécure. J’imagine que pour éviter cela il faut acheter un certificat SSL d'une organisation reconnue ?
2. La durée de mon nouveau certificat est très limitée, du 07/09/2017 au 26/02/2018. Pourquoi et comment faire pour un créer un certificat valable par exemple 3 ans ?
Merci et j'espère à très bientôt,
Orazio
Article très complet, parfait.
Pour avoir fait entièrement cette manipulation à maintes reprises, je rencontre malgré tout un problème sur les postes clients : un message d'erreur sur le certificat revient sans arrêt dans Outlook qui me dit que "Le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom de ce site".
Comme tu le dis au début de ton article, sur un SBS, ne pas utiliser l'outil de réparation du réseau (chose que j'ai fais plusieurs fois 🙁 Mon problème pourrait-il venir de là et dans ce cas, comment "redéployer l'autorité de certification sur tout mes postes clients" ?
Encore bravo pour ce tuto en tout les cas.
un message d'erreur sur le certificat revient sans arrêt dans Outlook qui me dit que "Le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom de ce site".
Vérifier le certificat présenté à Outlook par votre serveur en l'affichant et en validant que c'est bien le nouveau :). Exchange distingue si la connexion vient de l'intranet ou de l'extranet. Il est possible que vous ayez oublié d'ajouter le nom DNS local de votre serveur. Il est possible de modifier toute les urls internes par des urls externes :
http://www.adminpasbete.fr/exchange-2013-modification-url-internes-externe/
Comment "redéployer l'autorité de certification sur tout mes postes clients" ?
Il est possible de la déployer facilement et rapidement par GPO. L’autorité de certification est un simple certificat à placer dans le magasin : Autorités de certification racines de confiance
Pour exporter l'autorité de certification :
http://www.adminpasbete.fr/exporter-certificat-de-lautorite-de-certification/
Créer ou modifier une GPO en modifiant le paramètre suivant :
Paramètres GPO : Configuration Ordinateur - Stratégies - Paramètres Windows - Paramètre de sécurité - Stratégies de clé publique - Autorités de certification racines de confiance
Tenez moi au courant 🙂
Hello
Merci pour ton article
La modification des url s'applique aussi a 2010 ?
Je rencontre ce souci, les url semblent pourtant correctes.
J'ai fait :
Set-ClientAccessServer -Identity CD1.bidule.fr -AutodiscoverServiceInternalUri https://mails.bidule.fr/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity "CD1.bidule.fr\EWS (Default Web Site)" -InternalUrl https://mails.bidule.fr/ews/exchange.asmx
Set-OABVirtualDirectory -Identity "CD1.bidule.fr\oab (Default Web Site)" -InternalUrl https://mails.bidule.fr/oab
Et :
Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table Name, AutoDiscoverServiceInternalUri -Auto
Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurl
me donnent des infos correctes
J'ai aussi recyclé l'autodiscover du pool d'application de IIS
Je sèche 🙁
Si tu as une idée lumineuse, je suis preneuse !
Merci
nikel!