Installer un certificat pour Exchange 2007
1- Préparation
Pour installer le certificat dans Exchange 2007, il faut lancer dans le powershell d'Exchange la cmdlet Import-ExchangeCertificate et surtout pas utiliser la MMC !Il faut importer le fichier .p7b pour installer le certificat et toute la chaîne, et pas uniquement le certificat final. Ce fichier vous est proposé en tant que "fichier global d'installation" dans l'email de livraison et est disponible sur votre page statut, rubrique "voir le certificat", Format PKCS7.
2- Importation
Import-ExchangeCertificate -Path c:\p7-0123456789-12345.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"En cas d'échec de la commande vous signifiant que l'argument "-Path" n'est pas reconnu, tentez la commande suivante :
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\p7-xxxxxxxxx-yyyy.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"Voir aussi:
- http://technet.microsoft.com/en-us/library/bb124424.aspx
- http://technet.microsoft.com/en-us/library/aa997231.aspx
- Installer les certificats intermédiaires ou racine manuellement
Pour utiliser Exchange 2007 avec ISA 2006, voir ici:
http://www.shudnow.net/2007/07/15/publishing-exchange-2007-autodisover-in-isa-2006/
Activer manuellement dans exchange un certificat déjà installé
En cas d'erreur d'importationImport-ExchangeCertificate : Impossible d'importer : il y a déjà un certificat avec une empreinte de 12FD5C3DC91B159DDE7F8T14713789B7906E0C63ou lors d'une importation manuelle du certificat par la MMC, par exemple, vous aurez alors besoin d'activer et d'associer les services exchange avec votre nouveau certificat :
- 1) Retrouver le numéro "Thumbprint" de votre certificat en executant la commande :
Get-ExchangeCertificate -DomainName "mondomainprincipal.fr"Copier / coller le numero "Thumbprint"
Si vous visualisez plusieurs fois le même nom de certificat, ajoutez à la fin de la commande " | fl ", et retrouvez le dernier certificat en comparant la date d'expiration ( NotAfter : 12/04/2015) ou son numéro de série que vous pouvez visualiser sur la page Statut de votre certificat dans votre espace client TBS.
Get-ExchangeCertificate -DomainName "mondomainprincipal.fr" | fl
Enable-ExchangeCertificate applet de commande Enable-ExchangeCertificate à la position 1 du pipeline de la commande Fournissez des valeurs pour les paramètres suivants : Services: SMTP,IIS,IMAP,POP Thumbprint: CE20B70F780CDFD72878F5496931F1A8AF1798A2 Confirmer Remplacer le certificat SMTP par défaut existant ? Certificat actuel : '43B7977C504C7A84422CB815065E1DE34D52CBD3' (expiration 12/04/2015 12:42:43) Le remplacer par le certificat : 'CE20B70F780CDFD72878F5496931F1A8AF1798A2' (expiration 21/05/2012 01:59:59) [O] Oui [T] Oui pour tout [N] Non [U] Non pour tout [?] Aide (la valeur par défaut est " O ") : t
3 - Importer un PFX directement
Voici la syntaxe à utiliser pour importer un PFX, notamment si vous avez utilisé Keybot lors du dépôt de votre commande :
Import-ExchangeCertificate -path c:\votreCertificat.pfx -Password:(Get-Credential).password | Enable-ExchangeCertificate -Services "IIS,SMTP,POP,IMAP"
À noter :l'interface demande un username et password :
- username = toto
- password = le mot de passe du PFX
Il vous faudra par la suite effectuer la procédure d'activation manuelle décrite précédemment.
En cas d'échec de la commande au niveau du paramètre -Path, vous pouvez essayer la commande suivante :
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certificates\ExportedCert.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password | Enable-ExchangeCertificate -Services "IIS,SMTP,POP,IMAP"
À noter :l'interface demande aussi un username et password :
- username = toto
- password = le mot de passe du PFX
Import impossible à cause d'un certificat déjà existant
Si vous recevez un message d'erreur vous indiquant qu'il est impossible d'importer le pfx parce qu'un certificat avec la même empreinte existe déjà. Il est possible que vous ayez tenté d'installer un p7b alors que votre serveur ne possédait pas la clé privée associée au certificat. Pour résoudre ce problème, suivez notre documentation sur comment supprimer un certificat sous Windows Server.4 - Exporter un PFX depuis Exchange
Pour fabriquer un pfx vous pouvez soit rechercher le certificat via le nom de domaine, soit via le Thumbprint. Pour cela, saisissez une des deux commandes suivantes :$file = Get-ExchangeCertificate -DomainName votre.domaine.com | Export-ExchangeCertificate -BinaryEncoded:$true -Password (Get-Credential).password OU $file = Export-ExchangeCertificate -Thumbprint VOTRE_THUMBPRINT -BinaryEncoded:$true -Password (Get-Credential).passwordUn fois le certificat chargé à l'aide de cette commande, vous pouvez l'écrire dans un fichier à l'aide de la commande suivante :
Set-Content -Path “c:\votre-certificat.pfx” -Value $file.FileData -Encoding ByteVous pouvez aussi utiliser notre procédure d'export de certificat par la MMC, décrite ici : "Sauvegarder votre certificat".