Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Générer un CSR pour Microsoft Exchange 2010 - 2013 - 2016

Dans Exchange 2010, Microsoft a voulu que toutes les communications soient protégées par du SSL. Mission quasiment réussie, et le serveur est livré avec un certificat auto-signé.

Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.

Il faut rechercher:
  • le FQDN externe et/ou interne pour Outlook Web Access
  • le FQDN externe et/ou interne pour Exchange ActiveSync
  • les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
  • les FQDN externe et/ou interne pour POP, IMAP
  • le FQDN externe et/ou interne pour Unified Messaging Server
  • le FQDN externe et/ou interne pour Hub Transport Server
  • le FQDN externe et/ou interne pour Federation Sharing
Attention : L'utilisation de certificats contenant un nom interne (xxx.local, yyy.priv, nom_de_machine) ou un domaine non enregistré ou non contrôlé par l'IANA est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité au 1er Nov 2015 (en savoir plus).

Une fois l'inventaire des besoins effectué, suivez la procédure décrite ci-dessous ou utilisez le nouvel assistant Microsoft qui se trouve dans le Exchange Management Console, à la racine de Server Organization, choix New Exchange Certificate.

1- Préparez votre demande

  • Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
  • N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
  • N'utilisez que les caractéres classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \

2- Générez votre CSR

  • lancez la cmdlet New-ExchangeCertificate (dans le powershell)
  • générez un CSR avec la commande suivant en adaptant aux coordonnées de votre organisation. Mettez le nom principal (officiel) de votre serveur dans CN=
    Tout d'abord lancez la ligne de commande suivante :
    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName 
      "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" 
      -privatekeyexportable:$true
    
    Cette commande stockera votre CSR dans une variable $Data
  • Ensuite, nous exportons le CSR dans un fichier à l'aide de la commande suivante :
    Set-Content -path "C:\mail.mon-entreprise.fr.txt" -Value $Data
    
  • Il est nullement nécessaire (nous le déconseillons) d'inclure les autre SAN du futur certificat, vous le ferez sur notre formulaire web

3- Suivez le processus de dépôt de demande

Cas du renouvellement


Si vous désirez renouveller votre certificat avec Exchange 2010, nous vous conseillons de ne pas utiliser la fonction "Renew" ou "Renouvellement" de la console d'administration d'exchange 2010 (EMC). En effet, cette fonction est problèmatique puisqu'elle génére des CSR au format binaire qui n'est pas compatible avec le format standard texte X509 utilisé par la plupart des fournisseurs. Voir Renouveler un certificat avec Exchange 2010

Voir aussi:

Informations complémentaires

N.B.: L'utilisation de certificats contenant une adresse IP réservée ou un nom interne (xxx.local, nom_de_machine) est désapprouvée par le CA / Browsers Forum et ne sera plus accepté par aucune autorité (en savoir plus).