Comment demander et installer un certificat avec Exchange 2016

Informations concernant l'auteur.e

Suite à des imprévus de certificat 2018 HTTPCS (Symantec Gate), il peut être utile de renouveler un certificat. Ici, les certificats sont par exemple demandés à HTTPCS trouvé sur internet. Cela permet de proposer un document avec un exemple concret.

Étapes

1
Créez le CSR, la demande de certificat. Vous pouvez le faire à partir de IIS ou de la console Exchange au choix. Prenez par exemple la console Exchange. Faites correspondre les noms du certificat avec ceux présents sur le site de votre fournisseur de certificat. Attention, le nom principal valide (celui donné lors de la commande du certificat à HTTPCS dans notre exemple) doit être « défini en tant que nom commun » lors de la demande, donc doit apparaitre en gras. Le fichier \\Serveur_autoriteCA_de_chez_moi\exchangehttpcs.req vient donc d'être créé. Sur la console Exchange, la demande est en attente. Ce fichier CSR (.req) doit être ouvert avec le notepad. Cela va vous donner la clé privée.Connectez-vous sur le site de votre fournisseur de certificat (HTTPCS par exemple). Faites renouveler le certificat sur le site, bouton options à droite, et collez cette clé privée.
2
Recevez et installez le certificat sur Exchange. Du coup, la demande est en cours de vérification. Vous pouvez paramétrer le fournisseur de certificat HTTPCS pour recevoir la clé publique par mail, vous la recevrez au bout de quelques instants, cela dépend du fournisseur. Collez cette clé dans un fichier exchangehttpcs.cer par exemple que vous pourrez mettre au même endroit que \\Serveur_autoriteCA_de_chez_moi\exchangehttpcs.cer. Allez sur la console Exchange et choisissez Terminer pour terminer la demande qui apparaissait en attente. Là, allez chercher le fichier chemin \\Serveur_autoriteCA_de_chez_moi\exchangehttpcs.cer. Le certificat passe en statut valide. Important, associez enfin sur Exchange le certificat aux bons services. Cliquez sur le crayon. Associez IMAP, SMTP, POP, IIS par exemple. Parfait ! Maintenant, reste à valider que tout est bien associé au niveau de IIS.
3
Installez, liez et vérifiez sur IIS. Lancez IIS. Vérifiez que le certificat est bien visible dans les certificats serveur, sélectionnez juste le nœud correspondant au serveur puis cliquez sur l'icône « Certificat de serveur ». Le fichier doit être le même que celui sur Exchange. Vous pouvez vérifier la colonne « hachage du certificat », qui correspond à l'empreinte du certificat, elle-même visible quand on fait un détail du certificat, quelle que soit la manière dont on l'ouvre. Puis développez « sites », allez sur votre site (ici le site par défaut), cliquez dans le bandeau de droite Actions dans la rubrique « modifier le site » sur liaisons. Vous devez retrouver votre certificat « exchangehttpcs » visible dans la rubrique « certificat SSL3 » sur le port 443 HTTPS.
4
Vérifiez le certificat. Vous pouvez vous connecter depuis un site extérieur, par exemple un ordinateur portable en partage de connexion avec un téléphone mobile et ouvrez un owa : https://mon_serveur_mail/owa.
- D'abord, vous pouvez vérifier que c'est le bon certificat, qu'il n'y a pas d'alerte de sécurité.
- Vous pouvez carrément vérifier son empreinte : cliquez sur le petit cadenas à gauche de « sécurisé » à côté du site HTTPS ayant répondu. Cliquez sur certificat (qui doit avoir le terme valide entre parenthèses à côté) puis allez dans l'onglet « détails » et descendre l'ascenseur. L'empreinte numérique visible ici est la même que celle visible sur IIS ou la console Exchange.
- Vous pouvez aussi vérifier que le certificat est bon par un ssl Checker, par exemple celui de Symantec pour le souci de notre exemple.
Publicité

Avetissements

Attention, la suppression des certificats Exchange interne rend impossible la connexion sur la console, menu certificat Exchange à manipuler avec précaution.