Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Installer un certificat pour Microsoft Exchange 2010 / 2013 /2016

1- Préparation

Pour installer le certificat dans Exchange 2010 / 2013 2016:
  • Si vous avez utilisé l'assistant pour créer la demande de certificat, utilisez l'assistant pour importer (dans le Exchange Management Console, à la racine de Server Organization, choix Import Exchange Certificate.)
  • Si vous avez utilisé le shell Exchange, il faut lancer la cmdlet Import-ExchangeCertificate (et surtout pas utiliser la MMC !)
Dans les 2 cas, il faut importer le fichier .p7b pour installer le certificat et toute la chaîne, et pas uniquement le certificat final. Ce fichier vous est proposé en tant que "fichier global d'installation" dans l'email de livraison et est disponible sur votre page statut, rubrique "voir le certificat", Format PKCS7.

  • Ou importer directement un PFX

2- Importation via le shell

Import-ExchangeCertificate -Path c:\p7-0123456789-12345.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
Un client sous Exchange 2010 SP1 nous remonte que la commande documentée ci-dessus n'a pas fonctionné chez lui, et qu'il a utilisé:
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\p7-xxxxxxxxx-yyyy.p7b -Encoding byte -ReadCount 0)) | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

Un autre client, sous Exchange 2013 a eu le même problème résolu par la même commande.

Attention, il est possible qu'après cette commande, votre certificat ne soit pas installé. Dans ce cas, nous vous conseillons de suivre notre procédure d'activation manuelle suivante:

Activer manuellement dans exchange un certificat déjà installé

En cas d'erreur d'importation, ou lors d'une importation manuelle du certificat seul par la MMC par exemple, vous aurez alors besoin d'activer et d'associer les services exchange avec votre nouveau certificat :

  • 1) Retrouver le numéro "Thumbprint" de votre certificat en executant la commande :
  • Get-ExchangeCertificate -DomainName "mondomainprincipal.fr"
    Copier / coller le numero "Thumbprint"

    Si vous visualisez plusieurs fois le même nom de certificat, ajoutez à la fin de la commande " | fl ", et retrouvez le dernier certificat en comparant la date d'expiration ( NotAfter : 12/04/2015) ou son numéro de série que vous pouvez visualiser sur la page Statut de votre certificat dans votre espace client TBS.
    Get-ExchangeCertificate -DomainName "mondomainprincipal.fr" | fl


  • 2) Puis activer votre certificat :
  • Enable-ExchangeCertificate
    
    
    applet de commande Enable-ExchangeCertificate à la position 1 du pipeline de la commande
    Fournissez des valeurs pour les paramètres suivants :
    Services: SMTP,IIS,IMAP,POP
    Thumbprint: CE20B70F780CDFD72878F5496931F1A8AF1798A2
    
     
    
    Confirmer
    Remplacer le certificat SMTP par défaut existant ?
     
    
    Certificat actuel : '43B7977C504C7A84422CB815065E1DE34D52CBD3' (expiration 12/04/2015 12:42:43)
    
    Le remplacer par le certificat : 'CE20B70F780CDFD72878F5496931F1A8AF1798A2' (expiration 21/05/2012 01:59:59)
    
    [O] Oui  [T] Oui pour tout  [N] Non  [U] Non pour tout  [?] Aide (la valeur par défaut est " O ") : t
    

3 - Importer un PFX directement

Voici la syntaxe à utiliser pour importer un PFX, notamment si vous avez utilisé Keybot lors du dépôt de votre commande :

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certificates\ExportedCert.pfx -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

À noter :l'interface demande un username et password :

  • username = toto
  • password = le mot de passe du PFX

Import impossible à cause d'un certificat déjà existant

Si vous recevez un message d'erreur vous indiquant qu'il est impossible d'importer le pfx parce qu'un certificat avec la même empreinte existe déjà. Il est possible que vous ayez tenté d'installer un p7b alors que votre serveur ne possédait pas la clé privée associée au certificat. Pour résoudre ce problème, suivez notre documentation sur comment supprimer un certificat sous Windows Server.

4 - Fabriquer un PFX à partir d'Exchange 2010 / 2013 / 2016

Pour fabriquer un pfx vous pouvez soit rechercher le certificat via le nom de domaine, soit via le Thumbprint. Pour cela, saisissez une des deux commandes suivantes :
$file = Get-ExchangeCertificate -DomainName votre.domaine.com | Export-ExchangeCertificate -BinaryEncoded:$true -Password (Get-Credential).password

OU

$file = Export-ExchangeCertificate -Thumbprint VOTRE_THUMBPRINT -BinaryEncoded:$true -Password (Get-Credential).password
Un fois le certificat chargé à l'aide de cette commande, vous pouvez l'écrire dans un fichier à l'aide de la commande suivante :
Set-Content -Path “c:\votre-certificat.pfx” -Value $file.FileData -Encoding Byte
Vous pouvez aussi utiliser notre procédure d'export de certificat par la MMC, décrite ici : "Sauvegarder votre certificat".

Problème courant :
"revocation check failed" / "Statut de révocation inconnu."

Ce problème vient du fait que Exchange veut vérifier la CRL à l'importation des certificats, et que si son module, qui utilise WinHTTP, n'a pas accès à internet, l'opération échoue.

Solution: Voir notre FAQ sur le support du protocole OCSP

Problème courant : The Certificate is Invalid for Exchange Server Usage

Ceci provient en général de l'installation d'un certificat sans la chaine de certification (.cer) via l'interface GUI. Nous recommandons d'utiliser le powershell et d'installer notre fichier .p7b.

Lorsque vous rencontrez ce souci, le mieux est de demander une refabrication et de suivre scrupuleusement nos instructions avec le powershell.

Mais vous pouvez aussi tenter l'installation manuelle de la chaine manquante.

Vérifiez l'installation de votre certificat grâce à CO-PiBot :

Sur votre page statut du certificat, dans votre espace client chez TBS INTERNET, Vous y trouverez un bouton "Vérifier votre certificat" pour tester la bonne installation de votre certificat.

Liens