Le certificat de confiance directe a expiré

Le
F8XXX
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur exchange
2007, j'ai des nouveaux avertissements qui apparaissent dans les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de confiance
direct.

Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux
travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en question
a expiré

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Stephen ROUX
Le #2054541
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans les
logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de confiance
direct.

Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux
travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,



F8XXX
Le #2110411
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins, pas
convenablement activé / utilisé



"Stephen ROUX" news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans les
logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de confiance
direct.

Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris aux
travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,






Stephen ROUX
Le #2111881
Je n'avais pas bien lu le post original. C'est une erreur relative au
service SMTP, pas IMAP.

Si, ce certificat est identique (techniquement parlant) à celui utilisé pour
OWA. Le plus simple lorsque l'on dispose d'un serveur à rôle multiple est de
générer un certificat de type SAN (Subject Alternative Name), c'est à dire
un certificat qui contiendra tous les noms utilisés, par exemple :
mail.masociété.com, autodiscover.masociété.com,
leserveur.domaineinternedelasociété.net,....

Il y a de très bon articles à ce sujet sur msexchange.org.


"F8XXX" news:47f486da$0$27426$
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du
serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins, pas
convenablement activé / utilisé



"Stephen ROUX" news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans
les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de confiance
direct.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris
aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,










F8XXX
Le #2175301
Merci pour votre réponse

Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.html

J'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociété

New-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:temprequest.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.com

Le certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :

Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate -services SMTP

Et là, erreur :

AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP


Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du client

Les autres certificats présents ont tous, en roles prévus "Authentification
du server"

j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
noire :(





"Stephen ROUX" news:
Je n'avais pas bien lu le post original. C'est une erreur relative au
service SMTP, pas IMAP.

Si, ce certificat est identique (techniquement parlant) à celui utilisé
pour OWA. Le plus simple lorsque l'on dispose d'un serveur à rôle multiple
est de générer un certificat de type SAN (Subject Alternative Name), c'est
à dire un certificat qui contiendra tous les noms utilisés, par exemple :
mail.masociété.com, autodiscover.masociété.com,
leserveur.domaineinternedelasociété.net,....

Il y a de très bon articles à ce sujet sur msexchange.org.


"F8XXX" news:47f486da$0$27426$
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du
serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins, pas
convenablement activé / utilisé



"Stephen ROUX" news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans
les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de confiance
direct.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris
aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,













Stephen ROUX
Le #2717401
Désolé pour le retard, trop de travail...

Dans la requête de certificat, le sujet (Subject) doit correspondre au nom
de la machine (fqdn). C'est vrai que cela n'est pas très facile.
Donc il faut utiliser par exemple pour le paramètre -SubjectName
"CN=monserveur.mondomaine.net,O=Ma société"

C'est le champs CN qui est le plus important (le reste est facultatif). Il
doit être égal au fqdn de la machine.

Tenez moi au courant

"F8XXX" news:47f5eb70$0$10115$
Merci pour votre réponse

Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.html

J'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociété

New-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:temprequest.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.com

Le certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :

Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate -services SMTP

Et là, erreur :

AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP


Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du client

Les autres certificats présents ont tous, en roles prévus
"Authentification du server"

j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
noire :(





"Stephen ROUX" news:
Je n'avais pas bien lu le post original. C'est une erreur relative au
service SMTP, pas IMAP.

Si, ce certificat est identique (techniquement parlant) à celui utilisé
pour OWA. Le plus simple lorsque l'on dispose d'un serveur à rôle
multiple est de générer un certificat de type SAN (Subject Alternative
Name), c'est à dire un certificat qui contiendra tous les noms utilisés,
par exemple : mail.masociété.com, autodiscover.masociété.com,
leserveur.domaineinternedelasociété.net,....

Il y a de très bon articles à ce sujet sur msexchange.org.


"F8XXX" news:47f486da$0$27426$
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du
serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins,
pas convenablement activé / utilisé



"Stephen ROUX" news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans
les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de
confiance direct.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris
aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que celui
utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,

















F8XXX
Le #3359021
Merci pour votre réponse

En outre, une fois le certificat généré, je dois le soumettre à mon autorité
de certification.
Hors, dans les modeles disponibles, je ne vois que "Utilisateur" et "EFS
Basique", et non "Serveur Web".
Est-ce normal ?

Le modele "Serveur web" est pourtant bien présent dans Autorité de
Certification / Modeles de certificats (via MMC sur le serveur de
certification)

Une suggestion ?



"Stephen ROUX" news:
Désolé pour le retard, trop de travail...

Dans la requête de certificat, le sujet (Subject) doit correspondre au nom
de la machine (fqdn). C'est vrai que cela n'est pas très facile.
Donc il faut utiliser par exemple pour le paramètre -SubjectName
"CN=monserveur.mondomaine.net,O=Ma société"

C'est le champs CN qui est le plus important (le reste est facultatif). Il
doit être égal au fqdn de la machine.

Tenez moi au courant

"F8XXX" news:47f5eb70$0$10115$
Merci pour votre réponse

Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.html

J'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociété

New-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:temprequest.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.com

Le certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :

Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate -services SMTP

Et là, erreur :

AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP


Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du client

Les autres certificats présents ont tous, en roles prévus
"Authentification du server"

j'avoue etre un peu dépassé ... les certificats ca a toujours été ma bete
noire :(





"Stephen ROUX" news:
Je n'avais pas bien lu le post original. C'est une erreur relative au
service SMTP, pas IMAP.

Si, ce certificat est identique (techniquement parlant) à celui utilisé
pour OWA. Le plus simple lorsque l'on dispose d'un serveur à rôle
multiple est de générer un certificat de type SAN (Subject Alternative
Name), c'est à dire un certificat qui contiendra tous les noms utilisés,
par exemple : mail.masociété.com, autodiscover.masociété.com,
leserveur.domaineinternedelasociété.net,....

Il y a de très bon articles à ce sujet sur msexchange.org.


"F8XXX" news:47f486da$0$27426$
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du
serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins,
pas convenablement activé / utilisé



"Stephen ROUX" news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent dans
les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de
confiance direct.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS :
New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai appris
aux travers de mes recherches, il faut l'activer apres la creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que
celui utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,




















Stephen ROUX
Le #6242681
Une fois la requête générée (et pas le certificat), vous devez la soumettre
via l'interface Web de la CA.
Est-ce bien là que vous allez ?


"F8XXX" news:48036208$0$13110$
Merci pour votre réponse

En outre, une fois le certificat généré, je dois le soumettre à mon
autorité de certification.
Hors, dans les modeles disponibles, je ne vois que "Utilisateur" et "EFS
Basique", et non "Serveur Web".
Est-ce normal ?

Le modele "Serveur web" est pourtant bien présent dans Autorité de
Certification / Modeles de certificats (via MMC sur le serveur de
certification)

Une suggestion ?



"Stephen ROUX" news:
Désolé pour le retard, trop de travail...

Dans la requête de certificat, le sujet (Subject) doit correspondre au
nom de la machine (fqdn). C'est vrai que cela n'est pas très facile.
Donc il faut utiliser par exemple pour le paramètre -SubjectName
"CN=monserveur.mondomaine.net,O=Ma société"

C'est le champs CN qui est le plus important (le reste est facultatif).
Il doit être égal au fqdn de la machine.

Tenez moi au courant

"F8XXX" news:47f5eb70$0$10115$
Merci pour votre réponse

Je me suis basé sur cette page
http://www.msexchange.org/tutorials/Securing-SMTP-Message-Flow-between-different-Exchange-Server-2007-organizations.html

J'ai donc créé le certificat avec mes elements
domaine interne : societe.interne.com
CN= nomsociété

New-ExchangeCertificate -GenerateRequest -FriendlyName
"SecureCertificate" -Path c:temprequest.p7c -SubjectNa
me "DC=societe,dc=interne,dc=com,CN=NomSociete" -DomainName
societe.interne.com

Le certificat ainsi créé, je l'importe via l'autorité de certification
(installé sur notre AD)
copier/coller, etc...
Je récupere le fichier généré, et je l'importe :

Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate -services SMTP

Et là, erreur :

AVERTISSEMENT : Une erreur inattendue s'est produite et un vidage est en
cours de génération : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide
pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage).
Enable-ExchangeCertificate : Le certificat portant l'empreinte
0CC7EB627DF78613981D784150398D1CD8FB3EA4 a été trouvé mais n'est pas
valide pour une utilisation avec Exchange Server (motif :
PkixKpServerAuthNotFoundInEnhancedKeyUsage). Au niveau de ligne : 1
Caractère : 82
+ Import-ExchangeCertificate -Path c:tempcertnew.cer |
Enable-ExchangeCertificate <<<< -services SMTP


Et quand je fais un get-exchangecertificate, le certificat en question
n'apparait pas ...
Il apparait bien dans les certificats windows, et est valide.
Dans la colonne "roles prévus" est indiqué : Systeme de fichier EFS
(Encrypting File System), Messagerie éléctronique sécurisée,
Authentification du client

Les autres certificats présents ont tous, en roles prévus
"Authentification du server"

j'avoue etre un peu dépassé ... les certificats ca a toujours été ma
bete noire :(





"Stephen ROUX" news:
Je n'avais pas bien lu le post original. C'est une erreur relative au
service SMTP, pas IMAP.

Si, ce certificat est identique (techniquement parlant) à celui utilisé
pour OWA. Le plus simple lorsque l'on dispose d'un serveur à rôle
multiple est de générer un certificat de type SAN (Subject Alternative
Name), c'est à dire un certificat qui contiendra tous les noms
utilisés, par exemple : mail.masociété.com, autodiscover.masociété.com,
leserveur.domaineinternedelasociété.net,....

Il y a de très bon articles à ce sujet sur msexchange.org.


"F8XXX" news:47f486da$0$27426$
Oui tout à fait, de meme que le SMTP (il y a meme eu des reboots du
serveur)

je pense que le certificat n'est pas créé "correctement" ou du moins,
pas convenablement activé / utilisé



"Stephen ROUX" de news: %
Avez vous relancé le service IMAP après le renouvellement ?

"F8XXX" news:47f3709a$0$6419$
Bonjour à tous,

Suite à l'activation du protocole IMAP (sécurisé, voir ce post :
http://www.forum-microsoft.org/post545725.html ) sur notre serveur
exchange 2007, j'ai des nouveaux avertissements qui apparaissent
dans les logs :

Type de l'événement : Avertissement
Source de l'événement : MSExchangeTransport
Catégorie de l'événement : SmtpReceive
ID de l'événement : 1037
Date : 4/2/2008
Heure : 9:32:26 AM
Utilisateur : N/A
Ordinateur : SERVER2K7
Description :
Le certificat de confiance direct entrant avec l'empreinte
06B07EC2E387CDB0C09D22983E96B75250346265 a expiré. Réexécutez
New-ExchangeCertificate pour générer un nouveau certificat de
confiance direct.

Pour plus d'informations, consultez le centre Aide et support à
l'adresse http://go.microsoft.com/fwlink/events.asp.

Alors, je me suis empressé d'effectuer la commande indiquée via EMS
: New-ExchangeCertificate

Le truc, c'est que cette seule commande ne suffit pas. Je l'ai
appris aux travers de mes recherches, il faut l'activer apres la
creation
Ce qui donne :

New-ExchangeCertificate
(résultat : 06B07EC2E387CDB0C09D22983E96B75250346265 )

Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services SMTP
Enable-ExchangeCertificate
06B07EC2E387CDB0C09D22983E96B75250346265 -Services IMAP

Apres, cela, je pense ne rien avoir oublier
Lors d'un accès IMAPS (sécurisé donc), le log indique que la clé en
question a expiré ...

Je dois mal m'y prendre, mais je voudrais etre sur d'une chose : ce
certificat direct n'a rien a voir avec un certificat SSL tel que
celui utilisé pour OWA ? celui-ci, je n'y touche pas ?

Merci pour vos lumieres

Cdlt,
























Publicité
Poster une réponse
Anonyme