none
Renouvellement de certificat Exchange

    Question

  • Bonjour à tous,

    Je sais qu'il existe des dizaines de tuto et procédures, sur des forums ou des blogs mais je n'arrive pas trouver exactement la réponse à mes questions... Et vu que je ne suis pas expert en Exchange, cela n'aide pas.

    Voici ma demande.
    Le certificat IMAP, POP, IIS, SMTP est arrivé à expiration il y a quelques jours. Je l'ai remplacé via cette procédure :

    Get-ExchangeCertificate |FL pour lister les certificats (voir PJ)
    Get-ExchangeCertificate –Thumbprint “xxxxxxxxxxxxxxxxxxxxxxx” | New-ExchangeCertificate pour renouveler le certificat
    Enable-ExchangeCertificate – Thumbprint “yyyyyyyyyyyyyyyyyyyyyyyyyy” –Services IIS pour activer le nouveau certificat sur IIS
    Remove-ExchangeCertificate –Thumbprint “xxxxxxxxxxxxxxxxxxxxxx” pour supprimer l'ancien certificat su serveur.

    Le problème est que le certificat apparaît comme autosigné alors que l'ancien ne l'était pas. Je n'ai pourtant jamais acheté de certificat à une autorité de certification.  

    Que faut-il faire pour créer un certificat soi même sans qu'il soit considéré comme auto-signé ? (déploiement sur les postes ?)

    Merci par avance.

    Benjamin


    • Edited by Bcarion Friday, June 28, 2013 9:11 AM
    Friday, June 28, 2013 8:00 AM

Answers

  • Vous devez installer la chaine de confiance du certificat sur le poste client (le certificat racine dans Trust Root CA) et les autres dans le magains intermédiaire.

    Bruce Jourdain de Coutance - Consultant Exchange http://brucejdc.blog.free.fr

    Monday, July 01, 2013 2:40 PM
  • Bonsoir,

    y a t-il un serveur d'autorité (CA) installé ?

    L'ancien certificat était peut être autosigné, mais ce n'est pas cela qui l'empêche de bien fonctionner...

    La suite des opérations indiquées est dans tous les cas insuffisantes... d'autres opérations sont nécessaires pour que le certificat puisse être utilisé même s'il est généré sur Exchange.

    => Le (nouveau) certificat doit être copié dans la ruche des autorités racines sur le serveur Exchange, mais aussi sur tous les clients Outlook (locaux ou distants). La stratégie de groupes permet de distribuer le certificat sur les stations...

    => Le service IIS doit être redémarré pour utiliser le nouveau certificat (IISRESET -RESTART)

    Commencer par vérifier si l'ancien certificat a bénéficié du même déploiement.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(78 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://base.faqexchange.info

    Sunday, June 30, 2013 8:11 PM

All replies

  • Bonsoir,

    y a t-il un serveur d'autorité (CA) installé ?

    L'ancien certificat était peut être autosigné, mais ce n'est pas cela qui l'empêche de bien fonctionner...

    La suite des opérations indiquées est dans tous les cas insuffisantes... d'autres opérations sont nécessaires pour que le certificat puisse être utilisé même s'il est généré sur Exchange.

    => Le (nouveau) certificat doit être copié dans la ruche des autorités racines sur le serveur Exchange, mais aussi sur tous les clients Outlook (locaux ou distants). La stratégie de groupes permet de distribuer le certificat sur les stations...

    => Le service IIS doit être redémarré pour utiliser le nouveau certificat (IISRESET -RESTART)

    Commencer par vérifier si l'ancien certificat a bénéficié du même déploiement.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(78 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://base.faqexchange.info

    Sunday, June 30, 2013 8:11 PM
  • Bonjour,

    Il y a bien une autorité de certification installée sur le serveur.

    L'ancien certificat n'était visiblement pas auto-signé, pourtant généré depuis le serveur (sans passé par une vrai CA, comme Verisign, Globalsign...).

    En retour de la commande "Get-ExchangeCertificate |FL", j'avais pour le certificat qui a expiré : IsSelfSigned : False.

    Pour ce qui est de l'ancien certificat, il a du être généré à l'installation de l'Exchange, il y a deux ans.

    Quelle est la bonne marche à suivre ? Générer un .req viea le wizard et l'approuver via la CA du serveur ?

    Merci pour vos précisions (et vos détails).

    Benjamin

    Monday, July 01, 2013 8:21 AM
  • Bonjour,

    Bon, j'ai testé de créer un certificat et de le faire approuver par ma CA (soumettre une nouvelle demande) mais cela n'abouti à rien...

    En fait, le certificat est fonctionnel, mais je souhaite juste enlever le message d'avertissement de outlook qui indique que "le certificat a été émis par une société a laquelle vous n'avez pas choisi de faire confiance".

    Une idée ?

    Merci

    Benjamin

    Monday, July 01, 2013 9:39 AM
  • Vous devez installer la chaine de confiance du certificat sur le poste client (le certificat racine dans Trust Root CA) et les autres dans le magains intermédiaire.

    Bruce Jourdain de Coutance - Consultant Exchange http://brucejdc.blog.free.fr

    Monday, July 01, 2013 2:40 PM
  • Bonjour,

    En effet, j'ai, sur les postes "affiché le certificat" et installé la chaîne de confiance du certificat à la main.
    Je sais qu'il est possible de déployer tout ça par GPO mais personnellement, je n'en ai pas spécialement besoin.

    Merci à tous pour votre aide.

    Benjamin

    Wednesday, July 03, 2013 7:39 AM