Générer un CSR pour Microsoft Exchange 2010 - 2013 - 2016 - 2019

Depuis Exchange 2010, Microsoft a voulu que toutes les communications soient protégées par du SSL. Mission quasiment réussie, et le serveur est livré avec un certificat auto-signé.

Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.

Il faut rechercher :

le FQDN externe et/ou interne pour Outlook Web Access
le FQDN externe et/ou interne pour Exchange ActiveSync
les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
les FQDN externe et/ou interne pour POP, IMAP
le FQDN externe et/ou interne pour Unified Messaging Server
le FQDN externe et/ou interne pour Hub Transport Server
le FQDN externe et/ou interne pour Federation Sharing

Attention : L'utilisation de certificats contenant un nom interne (xxx.local, yyy.priv, nom_de_machine) ou un domaine non enregistré ou non contrôlé par l'IANA est désapprouvée par le CA / Browsers Forum et n'est plus accepté par aucune autorité depuis le 1er novembre 2015 (en savoir plus).

Nous préconisons les certificats Multi-San pour ce type de service à sécuriser, voir notre tableau comparatif ici : Comparatif des certificats SSL serveur avec SANs . Sur Exchange 2010, l'utilisation d'un certificat Wildcard pose problème pour l'activation des services POP et IMAP.

Une fois l'inventaire des besoins effectué, suivez la procédure décrite ci-dessous ou utilisez le nouvel assistant Microsoft qui se trouve dans le Exchange Management Console, à la racine de Server Organization, choix New Exchange Certificate.

1- Préparez votre demande

Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
N'utilisez que les caractères classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \

2- Générez votre CSR

Depuis une mise à jour de Microsoft et la désactivation des chemins UNC, vous devez utiliser l'invité de commande Microsoft Exchange.

Invité de commande Microsoft Exchange

Lancez la cmdlet New-ExchangeCertificate (dans le powershell)

générez un CSR avec la commande suivante en adaptant aux coordonnées de votre organisation. Mettez le nom principal (officiel) de votre serveur dans CN=
Tout d'abord lancez la ligne de commande suivante :
```
$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" -privatekeyexportable:$true
```
Vous pouvez également vous aider de notre outil pour générer la ligne de commande : Aide à la création de CSR
Cette commande stockera votre CSR dans une variable $Data

Ensuite, nous exportons le CSR dans un fichier à l'aide de la commande suivante :
```
    Set-Content -path "C:\mail.mon-entreprise.fr.txt" -Value $Data
    
```
Il n'est nullement nécessaire (nous le déconseillons) d'inclure les autres SAN du futur certificat, vous le ferez sur notre formulaire web

3- Suivez le processus de dépôt de demande

Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande

Copiez/coller le contenu du fichier CSR dans le formulaire.

Cas du renouvellement

Attention : si vous désirez renouveler votre certificat, nous vous conseillons de ne pas utiliser la fonction "Renew" ou "Renouvellement" de la console d'administration d'Exchange (EMC). En effet, cette fonction est problématique puisqu'elle génère des CSR au format binaire qui n'est pas compatible avec le format standard texte X509 utilisé par la plupart des fournisseurs. Voir Renouveler un certificat avec Exchange 2010

Liens utiles

Anonyme [ préférences | connexion ]

Dernière modification le 21/06/2022 08:37:00 --- [Chercher]