Installer un certificat pour Microsoft Exchange 2010
1- Préparation
Pour installer le certificat dans Exchange 2010:- Si vous avez utilisé l'assistant pour créer la demande de certificat, utilisez l'assistant pour importer (dans le Exchange Management Console, à la racine de Server Organization, choix Import Exchange Certificate.)
- Si vous avez utilisé le shell Exchange, il faut lancer la cmdlet Import-ExchangeCertificate (et surtout pas utiliser la MMC !)
2- Importation via le shell
Import-ExchangeCertificate -Path c:\p7-0123456789-12345.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"Voir aussi:
- http://technet.microsoft.com/en-us/library/dd351183(EXCHG.140).aspx
- http://technet.microsoft.com/en-us/library/bb310769(EXCHG.140).aspx
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\p7-xxxxxxxxx-yyyy.p7b -Encoding byte -ReadCount 0))
Activer manuellement dans exchange un certificat déjà installé
En cas d'erreur d'importation, ou lors d'une importation manuelle du certificat seul par la MMC par exemple, vous aurez alors besoin d'activer et d'associer les services exchange avec votre nouveau certificat :- 1) Retrouver le numéro "Thumbprint" de votre certificat en executant la commande :
Get-ExchangeCertificate -DomainName "mondomainprincipal.fr"Copier / coller le numero "Thumbprint"
Si vous visualisez plusieurs fois le même nom de certificat, ajoutez à la fin de la commande " | fl ", et retrouvez le dernier certificat en comparant la date d'expiration ( NotAfter : 12/04/2015) ou son numéro de série que vous pouvez visualiser sur la page Statut de votre certificat dans votre espace client TBS.
Get-ExchangeCertificate -DomainName "mondomainprincipal.fr" | fl
Enable-ExchangeCertificate applet de commande Enable-ExchangeCertificate à la position 1 du pipeline de la commande Fournissez des valeurs pour les paramètres suivants : Services: SMTP,IIS,IMAP,POP Thumbprint: CE20B70F780CDFD72878F5496931F1A8AF1798A2 Confirmer Remplacer le certificat SMTP par défaut existant ? Certificat actuel : '43B7977C504C7A84422CB815065E1DE34D52CBD3' (expiration 12/04/2015 12:42:43) Le remplacer par le certificat : 'CE20B70F780CDFD72878F5496931F1A8AF1798A2' (expiration 21/05/2012 01:59:59) [O] Oui [T] Oui pour tout [N] Non [U] Non pour tout [?] Aide (la valeur par défaut est " O ") : t
Fabriquer un PFX à partir d'Exchange 2010
Nous avons trouvé cette documentation qui montre comment générer un PFX à partir d'un certificat présent dans Exchange 2010: http://exchangeserverpro.com/export-an-exchange-server-2010-certificate-to-exchange-2003Vous pouvez aussi utiliser notre procédure d'export de certificat par la MMC, décrite ici : "Sauvegarder votre certificat".
Problème courant : échec revocation check failed
Ce problème vient du fait que Exchange veut vérifier la CRL à l'importation des certificats, et que si son module, qui utilise WinHTTP, n'a pas accès à internet, l'opération échoue.Solution: il faut configurer le proxy de WinHTTP
Voir aussi:
- http://support.microsoft.com/default.aspx?scid=kb;en-us;979694
- http://exchangemaster.wordpress.com/2010/10/25/troubleshooting-crl-issues-in-a-exchange-2010-lab/
Problème courant : The Certificate is Invalid for Exchange Server Usage
Ceci provient en général de l'installation d'un certificat sans la chaine de certification (.cer) via l'interface GUI. Nous recommandons d'utiliser le powershell et d'installer notre fichier .p7b.Lorsque vous rencontrez ce souci, le mieux est de demander une refabrication et de suivre scrupuleusement nos instructions avec le powershell.
Mais vous pouvez aussi tenter l'installation manuelle de la chaine manquante.
Dernière modification le 16/05/2012 09:00:17 --- [Chercher]
