Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Générer un CSR pour Microsoft Exchange 2010 - 2013 - 2016

Dans Exchange 2010, Microsoft a voulu que toutes les communications soient protégées par du SSL. Mission quasiment réussie, et le serveur est livré avec un certificat auto-signé.

Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.

Il faut rechercher:
  • le FQDN externe et/ou interne pour Outlook Web Access
  • le FQDN externe et/ou interne pour Exchange ActiveSync
  • les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
  • les FQDN externe et/ou interne pour POP, IMAP
  • le FQDN externe et/ou interne pour Unified Messaging Server
  • le FQDN externe et/ou interne pour Hub Transport Server
  • le FQDN externe et/ou interne pour Federation Sharing
Attention : L'utilisation de certificats contenant un nom interne (xxx.local, yyy.priv, nom_de_machine) ou un domaine non enregistré ou non contrôlé par l'IANA est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité au 1er Nov 2015 (en savoir plus).

Une fois l'inventaire des besoins effectué, suivez la procédure décrite ci-dessous ou utilisez le nouvel assistant Microsoft qui se trouve dans le Exchange Management Console, à la racine de Server Organization, choix New Exchange Certificate.

1- Préparez votre demande

  • Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
  • N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
  • N'utilisez que les caractéres classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \

2- Générez votre CSR

  • lancez la cmdlet New-ExchangeCertificate (dans le powershell)
  • générez un CSR avec la commande suivant en adaptant aux coordonnées de votre organisation. Mettez le nom principal (officiel) de votre serveur dans CN=
    N.B. : l'instruction qui suit est à exécuter sur une seule ligne de commande.
  • New-ExchangeCertificate -GenerateRequest -SubjectName 
      "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" 
      -privatekeyexportable:$true -Path C:\mail.mon-entreprise.fr.txt
    
  • Il est nullement nécessaire (nous le déconseillons) d'inclure les autre SAN du futur certificat, vous le ferez sur notre formulaire web

<< Impossible de trouver un paramètre positionnel acceptant l'argument -Path >>

Sur certaines versions d'Exchange ce message d'erreur est affiché. Dans ce cas vous pouvez générer cette commande sans l'argument -Path ou l'exécuter en 2 commandes comme suit:
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName 
  "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" 
  -privatekeyexportable:$true


Set-Content -path "C:\mail.mon-entreprise.fr.txt" -Value $Data

3- Suivez le processus de dépôt de demande

Cas du renouvellement


Si vous désirez renouveller votre certificat avec Exchange 2010, nous vous conseillons de ne pas utiliser la fonction "Renew" ou "Renouvellement" de la console d'administration d'exchange 2010 (EMC). En effet, cette fonction est problèmatique puisqu'elle génére des CSR au format binaire qui n'est pas compatible avec le format standard texte X509 utilisé par la plupart des fournisseurs. Voir Renouveler un certificat avec Exchange 2010

Voir aussi:

Informations complémentaires

N.B.: L'utilisation de certificats contenant une adresse IP réservée ou un nom interne (xxx.local, nom_de_machine) est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité (en savoir plus).