Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Générer un CSR pour Microsoft Exchange 2010 - 2013 - 2016 - 2019

Depuis Exchange 2010, Microsoft a voulu que toutes les communications soient protégées par du SSL. Mission quasiment réussie, et le serveur est livré avec un certificat auto-signé.

Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.

Il faut rechercher:
  • le FQDN externe et/ou interne pour Outlook Web Access
  • le FQDN externe et/ou interne pour Exchange ActiveSync
  • les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
  • les FQDN externe et/ou interne pour POP, IMAP
  • le FQDN externe et/ou interne pour Unified Messaging Server
  • le FQDN externe et/ou interne pour Hub Transport Server
  • le FQDN externe et/ou interne pour Federation Sharing
Attention : L'utilisation de certificats contenant un nom interne (xxx.local, yyy.priv, nom_de_machine) ou un domaine non enregistré ou non contrôlé par l'IANA est désapprouvée par le CA / Browsers Forum et n'est plus accepté par aucune autorité depuis le 1er Novembre 2015 (en savoir plus).

Nous préconisons les certificats Multi-San pour ce type de service à sécuriser, voir notre tableau comparatif ici : Comparatif des certificats SSL serveur avec SANs . Sur Exchange 2010, l'utilisation d'un certificat Wildcard pose problème pour l'activation des services POP et IMAP.

Une fois l'inventaire des besoins effectué, suivez la procédure décrite ci-dessous ou utilisez le nouvel assistant Microsoft qui se trouve dans le Exchange Management Console, à la racine de Server Organization, choix New Exchange Certificate.

1- Préparez votre demande

  • Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
  • N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
  • N'utilisez que les caractéres classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \

2- Générez votre CSR

Vous avez deux possibilités : soit passer par l'assistant du serveur Microsoft Exchange, soit par l'invité de commande Microsoft Exchange.

Assistant Microsoft Exchange

  • Ouvrez le centre d'administration Exchange

  • Allez dans Serveurs > Certificats

  • Sélectionnez le serveur concerné et cliquez sur Ajouter

  • L'assistant de nouveau certificat Exchange apparait. Assurez-vous que "Créer une demande de certificat..." est bien séléctionnée et cliquez sur Suivant

  • Donnez un nom descriptif à votre certificat dans "Nom convivial de ce certificat"

  • Si vous souhaitez un certificat wildcard (conseillé pour ce type de serveur), cochez la case proposant ce service. Dans le champ "Domaine racine", inscrivez votre wildcard suivi du domaine souhaité. Par exemple *.mondomaine.com ou *.ss.mondomaine.com

  • Si vous souhaitez uniquement un CN, faites directement Suivant

  • Choisissez le serveur où sera enregistré le fichier de demande de certificat (CSR)

  • Si vous n'avez pas choisi l'option Wildcard précédemment, choisissez le CN voulu et supprimé les autres choix possibles. Si vous voulez ajouter des SANs, cela se fera directement dans notre formulaire de commande

  • Renseignez les informations sur votre organisation

  • Enfin renseignez le chemin UNC pour enregistrer le fichier avec l'extension .req par défaut (vous pouvez modifier l'extension si vous le souhaitez)

  • Cliquez sur Finish. Votre CSR en attente sera affiché dans le menu des certificats.

  • En vous rendant à l'endroit d'enregistrement de votre CSR, ouvrez le avec n'importe quel editeur de texte et copiez coller l'intégralité du fichier dans notre formulaire de commande

Invité de commande Microsoft Exchange

  • Lancez la cmdlet New-ExchangeCertificate (dans le powershell)

  • générez un CSR avec la commande suivante en adaptant aux coordonnées de votre organisation. Mettez le nom principal (officiel) de votre serveur dans CN=
    Tout d'abord lancez la ligne de commande suivante :
    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" -privatekeyexportable:$true
    

    Vous pouvez également vous aider de notre outil pour générer la ligne de commande : Aide à la création de CSR

    Cette commande stockera votre CSR dans une variable $Data

  • Ensuite, nous exportons le CSR dans un fichier à l'aide de la commande suivante :
        Set-Content -path "C:\mail.mon-entreprise.fr.txt" -Value $Data
        
  • Il est nullement nécessaire (nous le déconseillons) d'inclure les autres SAN du futur certificat, vous le ferez sur notre formulaire web

3- Suivez le processus de dépôt de demande

Cas du renouvellement


Attention : si vous désirez renouveler votre certificat, nous vous conseillons de ne pas utiliser la fonction "Renew" ou "Renouvellement" de la console d'administration d'Exchange (EMC). En effet, cette fonction est problématique puisqu'elle génère des CSR au format binaire qui n'est pas compatible avec le format standard texte X509 utilisé par la plupart des fournisseurs. Voir Renouveler un certificat avec Exchange 2010

Liens utiles