re créaction certificat

Le
alexstyx
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans l'observateur d'évènements concernant l'expiration de mon certificat startssl, j'ai bien compris que cela correspondait à l'expiration du certificat autosigné créé à l'installation d'exchange, depuis l'installation j'ai installer une autorité de certification sur ce même serveur afin de pouvoir utiliser les fonctionnalités de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet New-ExchangeCertificate pour créer un nouveau certificat règlera le problème, mais cela ne va t-il poser des problèmes ou des conflits avec l'autre CA et les autres certificats en cours utilisé pour outlook anywhere?

merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
yohan boullier
Le #19046371
Bonjour,

Si tu as installé une autorité de certification et généré un certificat pour
Outlook Anywhere, pourquoi ne pas utiliser ce même certificat pour le
service SMTP ?

récupère la liste des certificats présents sur le serveur:
# get-exchangecertificate

repère le bon certificat et copie son "thumbprint"
ensuite il ne reste plus qu'à l'activer sur le service SMTP:

#enable-exchangecertificate -thumbprint xxxx -services SMTP

Attention le certificat à activer pour le service transport (smtp donc) doit
posséder les noms netbios et FQDN:

http://technet.microsoft.com/en-us/library/bb510128.aspx

yohan

"alexstyx" news:
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans
l'observateur
d'évènements concernant l'expiration de mon certificat startssl, j'ai bien
compris que cela correspondait à l'expiration du certificat autosigné créé
à
l'installation d'exchange, depuis l'installation j'ai installer une
autorité de
certification sur ce même serveur afin de pouvoir utiliser les
fonctionnalités
de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet
New-ExchangeCertificate pour créer un nouveau certificat règlera le
problème,
mais cela ne va t-il poser des problèmes ou des conflits avec l'autre CA
et les
autres certificats en cours utilisé pour outlook anywhere?

merci d'avance


Thierry Frache
Le #19047321
Bonjour Alex,

Pour te permettre de passer du certificat autosigné au certificat généré par
ton autorité de certification, je te propose d'utiliser le site
https://www.digicert.com/easy-csr/exchange2007.htm. Sur cette page, tu
renseignes les différentes informations et cela va te générer la commande
powershell appropriée (new-exchangecertificate). Tu peux ensuite utiliser
ton CSR pour obtenir un certificat auprès de ton autorité privée. Tu
utiliseras donc ensuite la commande import-exchangecertificate -path
chemindufichierCER qui t'affichera l'empreinte (thumbprint) puis comme l'a
dit Yohan, enable-exchangecertificate -thumbprint XXX -services "IIS,SMTP"
(ou avec les services nécessaires).

Il n'y aura pas de conflit entre le certificat autosigné et ton nouveau
certificat. Attention à bien générer un certificat avec les "bons noms"
d'hôtes parce que si tu te trompes, les postes client présenteront des
avertissements de sécurité. Pour ce qui est de l'autorité de certification,
si tu as décidé d'utiliser une autorité racine d'entreprise, les clients du
domaine feront automatiquement confiance à cette nouvelle autorité et tu
n'auras pas à modifier les clients manuellement pour lui faire confiance.

Thierry

"alexstyx" news:
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans
l'observateur
d'évènements concernant l'expiration de mon certificat startssl, j'ai bien
compris que cela correspondait à l'expiration du certificat autosigné créé
à
l'installation d'exchange, depuis l'installation j'ai installer une
autorité de
certification sur ce même serveur afin de pouvoir utiliser les
fonctionnalités
de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet
New-ExchangeCertificate pour créer un nouveau certificat règlera le
problème,
mais cela ne va t-il poser des problèmes ou des conflits avec l'autre CA
et les
autres certificats en cours utilisé pour outlook anywhere?

merci d'avance


alexstyx
Le #19071541
Thierry Frache a écrit le 03/04/2009 à 18h26 :
Bonjour Alex,

Pour te permettre de passer du certificat autosigné au certificat
généré par
ton autorité de certification, je te propose d'utiliser le site
https://www.digicert.com/easy-csr/exchange2007.htm. Sur cette page, tu
renseignes les différentes informations et cela va te
générer la commande
powershell appropriée (new-exchangecertificate). Tu peux ensuite
utiliser
ton CSR pour obtenir un certificat auprès de ton autorité
privée. Tu
utiliseras donc ensuite la commande import-exchangecertificate -path
chemindufichierCER qui t'affichera l'empreinte (thumbprint) puis comme l'a
dit Yohan, enable-exchangecertificate -thumbprint XXX -services
"IIS,SMTP"
(ou avec les services nécessaires).

Il n'y aura pas de conflit entre le certificat autosigné et ton nouveau
certificat. Attention à bien générer un certificat avec
les "bons noms"
d'hôtes parce que si tu te trompes, les postes client présenteront
des
avertissements de sécurité. Pour ce qui est de l'autorité
de certification,
si tu as décidé d'utiliser une autorité racine
d'entreprise, les clients du
domaine feront automatiquement confiance à cette nouvelle
autorité et tu
n'auras pas à modifier les clients manuellement pour lui faire
confiance.

Thierry

"alexstyx" wrote in message
news:
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans
l'observateur
d'évènements concernant l'expiration de mon certificat startssl,
j'ai bien
compris que cela correspondait à l'expiration du certificat
autosigné créé
à
l'installation d'exchange, depuis l'installation j'ai installer une
autorité de
certification sur ce même serveur afin de pouvoir utiliser les
fonctionnalités
de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet
New-ExchangeCertificate pour créer un nouveau certificat règlera
le
problème,
mais cela ne va t-il poser des problèmes ou des conflits avec l'autre
CA
et les
autres certificats en cours utilisé pour outlook anywhere?

merci d'avance





Merci pour ces renseignements, le souci dans mon cas c'est que je ne peut pas utiliser le certificat utilisé pour outlook anywhere vue que le nom netbios ne correspond pas au nom FQDN, donc il ne me reste plus qu'a trouver le moyen de regénérer un certificat autosigné qui dure plus d'un an. Merci pour le lien ; je suis pas un grand expert de la console d'exchange.
Thierry Frache
Le #19072741
Bonjour,

vous pouvez utiliser le formulaire que je vous ai envoyé pour générer un
certificat avec bien plus de noms supplémentaires. Je ne vois pas de
problème particulier si votre serveur se nomme SERVEUR, que son nom FQDN
soit serveur.domaine.local. Le formulaire vous invite à renseigner tous les
noms du serveur (un nom par ligne). Cela doit fonctionner. Ce mode de
fonctionnement basé sur les certificats est décrit à la page suivante:
http://msexchangeteam.com/archive/2007/04/30/438249.aspx

Générer un certificat autosigné pourra être réalisé avec SelfSSL du kit de
ressources IIS (il faut copier le fichier .exe sur le serveur qui dispose du
serveur IIS). Attention, l'outil demande le numéro du site Internet (ex: 1
pour W3SVC1). Personnellement, j'éviterais d'utiliser une telle méthode
parce que je ne crois pas que SelfSSL puisse être utilisé pour générer un
certificat avec des noms multiples (ce qui est nécessaire dans votre cas).
En outre, le certificat est directement associé dans IIS, sans passer par
les commandes PowerShell. J'imagine que cela doit fonctionner mais
probablement pas pour les autres services (SMTP, IMAP, POP, UM).

Thierry

"alexstyx" news:
Thierry Frache a écrit le 03/04/2009 à 18h26 :
Bonjour Alex,

Pour te permettre de passer du certificat autosigné au certificat
généré par
ton autorité de certification, je te propose d'utiliser le site
https://www.digicert.com/easy-csr/exchange2007.htm. Sur cette page, tu
renseignes les différentes informations et cela va te
générer la commande
powershell appropriée (new-exchangecertificate). Tu peux ensuite
utiliser
ton CSR pour obtenir un certificat auprès de ton autorité
privée. Tu
utiliseras donc ensuite la commande import-exchangecertificate -path
chemindufichierCER qui t'affichera l'empreinte (thumbprint) puis comme
l'a
dit Yohan, enable-exchangecertificate -thumbprint XXX -services
"IIS,SMTP"
(ou avec les services nécessaires).

Il n'y aura pas de conflit entre le certificat autosigné et ton nouveau
certificat. Attention à bien générer un certificat avec
les "bons noms"
d'hôtes parce que si tu te trompes, les postes client présenteront
des
avertissements de sécurité. Pour ce qui est de l'autorité
de certification,
si tu as décidé d'utiliser une autorité racine
d'entreprise, les clients du
domaine feront automatiquement confiance à cette nouvelle
autorité et tu
n'auras pas à modifier les clients manuellement pour lui faire
confiance.

Thierry

"alexstyx" wrote in message
news:
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans
l'observateur
d'évènements concernant l'expiration de mon certificat startssl,
j'ai bien
compris que cela correspondait à l'expiration du certificat
autosigné créé
à
l'installation d'exchange, depuis l'installation j'ai installer une
autorité de
certification sur ce même serveur afin de pouvoir utiliser les
fonctionnalités
de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet
New-ExchangeCertificate pour créer un nouveau certificat règlera
le
problème,
mais cela ne va t-il poser des problèmes ou des conflits avec l'autre
CA
et les
autres certificats en cours utilisé pour outlook anywhere?

merci d'avance





Merci pour ces renseignements, le souci dans mon cas c'est que je ne peut
pas
utiliser le certificat utilisé pour outlook anywhere vue que le nom
netbios ne
correspond pas au nom FQDN, donc il ne me reste plus qu'a trouver le moyen
de
regénérer un certificat autosigné qui dure plus d'un an. Merci pour le
lien ; je
suis pas un grand expert de la console d'exchange.


alexstyx
Le #19079821
Thierry Frache a écrit le 07/04/2009 à 18h42 :
Bonjour,

vous pouvez utiliser le formulaire que je vous ai envoyé pour
générer un
certificat avec bien plus de noms supplémentaires. Je ne vois pas de
problème particulier si votre serveur se nomme SERVEUR, que son nom FQDN
soit serveur.domaine.local. Le formulaire vous invite à renseigner tous
les
noms du serveur (un nom par ligne). Cela doit fonctionner. Ce mode de
fonctionnement basé sur les certificats est décrit à la
page suivante:
http://msexchangeteam.com/archive/2007/04/30/438249.aspx

Générer un certificat autosigné pourra être
réalisé avec SelfSSL du kit de
ressources IIS (il faut copier le fichier .exe sur le serveur qui dispose du
serveur IIS). Attention, l'outil demande le numéro du site Internet (ex:
1
pour W3SVC1). Personnellement, j'éviterais d'utiliser une telle
méthode
parce que je ne crois pas que SelfSSL puisse être utilisé pour
générer un
certificat avec des noms multiples (ce qui est nécessaire dans votre
cas).
En outre, le certificat est directement associé dans IIS, sans passer
par
les commandes PowerShell. J'imagine que cela doit fonctionner mais
probablement pas pour les autres services (SMTP, IMAP, POP, UM).

Thierry

"alexstyx" wrote in message
news:
Thierry Frache a écrit le 03/04/2009 à 18h26 :
Bonjour Alex,

Pour te permettre de passer du certificat autosigné au certificat
généré par
ton autorité de certification, je te propose d'utiliser le site
https://www.digicert.com/easy-csr/exchange2007.htm. Sur cette page, tu
renseignes les différentes informations et cela va te
générer la commande
powershell appropriée (new-exchangecertificate). Tu peux ensuite
utiliser
ton CSR pour obtenir un certificat auprès de ton autorité
privée. Tu
utiliseras donc ensuite la commande import-exchangecertificate -path
chemindufichierCER qui t'affichera l'empreinte (thumbprint) puis comme
l'a
dit Yohan, enable-exchangecertificate -thumbprint XXX -services
"IIS,SMTP"
(ou avec les services nécessaires).

Il n'y aura pas de conflit entre le certificat autosigné et ton
nouveau
certificat. Attention à bien générer un certificat avec
les "bons noms"
d'hôtes parce que si tu te trompes, les postes client
présenteront
des
avertissements de sécurité. Pour ce qui est de
l'autorité
de certification,
si tu as décidé d'utiliser une autorité racine
d'entreprise, les clients du
domaine feront automatiquement confiance à cette nouvelle
autorité et tu
n'auras pas à modifier les clients manuellement pour lui faire
confiance.

Thierry

"alexstyx" wrote in message
news:
Bonjour,

J'ai depuis quelques semaines un message d'avertissement dans
l'observateur
d'évènements concernant l'expiration de mon certificat
startssl,
j'ai bien
compris que cela correspondait à l'expiration du certificat
autosigné créé
à
l'installation d'exchange, depuis l'installation j'ai installer une
autorité de
certification sur ce même serveur afin de pouvoir utiliser les
fonctionnalités
de outlook anywhere.

Ma question est la suivante, je sais qu'en utilisant la cmdlet
New-ExchangeCertificate pour créer un nouveau certificat
règlera
le
problème,
mais cela ne va t-il poser des problèmes ou des conflits avec l'autre
CA
et les
autres certificats en cours utilisé pour outlook anywhere?

merci d'avance







Merci pour ces renseignements, le souci dans mon cas c'est que je ne peut
pas
utiliser le certificat utilisé pour outlook anywhere vue que le nom
netbios ne
correspond pas au nom FQDN, donc il ne me reste plus qu'a trouver le moyen
de
regénérer un certificat autosigné qui dure plus d'un an.
Merci pour le
lien ; je
suis pas un grand expert de la console d'exchange.





Bonjour,

Je mettais un peu emmêlé les pinceaux en faite c'est le nom depuis l'extérieur qui n'été pas le même que celui que je pointe à l'intérieur et non le nom NetBIOS et FQDN, donc au final je peu utiliser mon autorité de certification interne, par manque de temps j'ai regénérais un certificat auto signé pour le service smtp et j'en récréerais un signé par mon autorité de certification un peu plus tard, merci de votre aide.

Je joins ce lien qui en plus de ce que vous m'avez fournit qui est assez intéressant pour ceux qui bloquent sur les certificats.


http://www.msexchange.org/articles_tutorials/exchange-server-2007/management-administration/managing-exchange-certificates.html
Publicité
Poster une réponse
Anonyme