Générer un CSR pour Microsoft Exchange 2010 - 2013 - 2016 - 2019
Depuis Exchange 2010, Microsoft a voulu que toutes les communications soient protégées par du SSL. Mission quasiment réussie, et le serveur est livré avec un certificat auto-signé.Pour obtenir un fonctionnement normal, il faut remplacer le certificat auto-signé par un certificat reconnu par les navigateurs et terminaux mobiles. La difficulté réside à faire l'inventaire des FQDN/SAN nécessaires au bon fonctionnement des services avec les certificats.
Il faut rechercher :
- le FQDN externe et/ou interne pour Outlook Web Access
- le FQDN externe et/ou interne pour Exchange ActiveSync
- les FQDN externe et/ou interne pour Autodiscover, Outlook Anywhere, Web Services
- les FQDN externe et/ou interne pour POP, IMAP
- le FQDN externe et/ou interne pour Unified Messaging Server
- le FQDN externe et/ou interne pour Hub Transport Server
- le FQDN externe et/ou interne pour Federation Sharing
Nous préconisons les certificats Multi-San pour ce type de service à sécuriser, voir notre tableau comparatif ici : Comparatif des certificats SSL serveur avec SANs . Sur Exchange 2010, l'utilisation d'un certificat Wildcard pose problème pour l'activation des services POP et IMAP.
Une fois l'inventaire des besoins effectué, suivez la procédure décrite ci-dessous ou utilisez le nouvel assistant Microsoft qui se trouve dans le Exchange Management Console, à la racine de Server Organization, choix New Exchange Certificate.
1- Préparez votre demande
- Assurez-vous d'être connectés sous Administrateur sur le serveur Exchange.
- N'utilisez aucune virgule dans les champs du CSR (les virgules sont comprises comme des séparateurs).
- N'utilisez que les caractères classiques (lettres de A à Z, chiffres, tirêt) dans les noms de sites. N'utilisez pas d'accents ni ! @ # $ % ^ * ( ) ~ ? > < & / \
2- Générez votre CSR
Depuis une mise à jour de Microsoft et la désactivation des chemins UNC, vous devez utiliser l'invité de commande Microsoft Exchange.
Invité de commande Microsoft Exchange
- Lancez la cmdlet New-ExchangeCertificate (dans le powershell)
- générez un CSR avec la commande suivante en adaptant aux coordonnées de votre organisation.
Mettez le nom principal (officiel) de votre serveur dans CN=
Tout d'abord lancez la ligne de commande suivante :$Data = New-ExchangeCertificate -GenerateRequest -SubjectName "C=FR, O=Mon entreprise SARL, L=Lyon, ST=Rhone, CN=mail.mon-entreprise.fr" -privatekeyexportable:$true
Vous pouvez également vous aider de notre outil pour générer la ligne de commande : Aide à la création de CSR
Cette commande stockera votre CSR dans une variable $Data - Ensuite, nous exportons le CSR dans un fichier à l'aide de la commande suivante :
Set-Content -path "C:\mail.mon-entreprise.fr.txt" -Value $Data
- Il n'est nullement nécessaire (nous le déconseillons) d'inclure les autres SAN du futur certificat, vous le ferez sur notre formulaire web
3- Suivez le processus de dépôt de demande
- Déposez votre demande sur notre site en utilisant le lien approprié. Voir Accéder à un formulaire de demande
- Copiez/coller le contenu du fichier CSR dans le formulaire.
Cas du renouvellement
Attention : si vous désirez renouveler votre certificat, nous vous conseillons de ne pas utiliser la fonction "Renew" ou "Renouvellement" de la console d'administration d'Exchange (EMC). En effet, cette fonction est problématique puisqu'elle génère des CSR au format binaire qui n'est pas compatible avec le format standard texte X509 utilisé par la plupart des fournisseurs. Voir Renouveler un certificat avec Exchange 2010
Liens utiles
- Notre gamme de certificats SSL Multisites / SANs
- Générer un CSR pour Microsoft Exchange 2007
- Services "autodiscover" de Microsoft Exchange
- Technet Microsoft/ Obtain a Server Certificate from a Certification Authority
- Technet Microsoft/ Exchange Server / Create a New Exchange Certificate
- Technet Microsoft/ Exchange Server / New-ExchangeCertificate
Dernière modification le 21/06/2022 08:37:00 --- [Chercher]