none
Exchange 2010, Expiration de cetificat, impact poste dans le domaine et hors domaine RRS feed

  • Question

  • Bonjour à tous,

    Si je me suis trompé dans le positionnement de mon message, n'hésitez pas a me le faire connaitre.

    Comme cela devait arrivé le certificat exchange 2010 doit expirer dans 9 jours.

    Pour bien comprendre, je vais décrire la partie de l'infra qui concerne le problème.

    Il y a un serveur windows 2008 R2 contrôleur de domaine principal avec le service de certificats active directory d'installé.

    Ce service fonctionne avec un certificat autosigné, pour information.

    Le serveur Exchange 2010 SP1 est pourvu lui d'un certificat qui est affecté sur les service imap, pop, iis, smtp.

    Ce certificat est distribue par le serveur pourvu du service de certificats active directory.

    Bien que dans la console Exchange, le certificat soit vu comme n'étant pas autosigné, je pense qu'au contraire il l'est.

    Pouvez-vous s.v.p me confirmer cela ?

    Si je clique sur renouvellement dans la console Exchange, aurais je des informations à saisir?

    Une fois que le certificat sera renouvelé, les postes qui sont hors domaine avec un Outlook continueront ils a communiquer avec le serveur Exchange?

    D'avance merci.

    Sincères salutations.

    jeudi 17 septembre 2015 11:37

Réponses

  • Bonjour,

    Vous pouvez regarder dans le magasin "Autorités de certification racines de confiance" du compte ordinateur.

    Merci


    Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr

    samedi 19 septembre 2015 08:12
  • Je parle du certificat  qui est affecté dans Exchange au service IMAP POP IIS SMTP.

    Une fois que le certificat sera renouvelé, les postes qui sont hors domaine avec un Outlook continueront ils a communiquer avec le serveur Exchange?

    Si vous renouvelez le même certificat auprès de la même autorité, tous ceux qui lui faisaient confiance continueront à lui faire confiance, les autres non. Si c'est une PKI interne, cela ne fonctionnera que si vous intégrez le certificat racine dans les ordinateur (et idéalement avec la publication en HTTP de la CRL).

    Le plus simple reste quand même l'achat d'un certificat publique.



    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    lundi 21 septembre 2015 08:13
    Modérateur

Toutes les réponses

  • Bonjour,

    Parlé-vous du certificat pour l'accès à OWA Outlook Web App, ou vous avez un message d'erreur à l'ouverture d'Outlook ?

    Merci d'avance pour votre réponse.

    Si possible pouvez-vous joindre la capture d'écran, Merci

     
    • Modifié MonPC jeudi 17 septembre 2015 13:39 mod1
    jeudi 17 septembre 2015 13:38
  • Bonjour,

    le terme "autosigné" n'est pas forcément utilisé à bon escient...

    Sur le serveur qui gère le service de certificats, il s'agit d'une autorité de certificats (dite interne). Techniquement, il s'est auto-approuvé, mais dans la pratique c'est une autorité "pleine" et "entière" dite "d'entreprise" mais n'est pas automatiquement validée par les autres "machines".

    Si le serveur Exchange a reçu un certificat de cette autorité, ce n'est pas un certificat "auto-signé", puis qu'il dépend d'une autorité. En ouvrant le certificat Exchange, on peut vérifier cela dans l'onglet "Chemin d'accès de certification". S'il y a une arborescence, c'est que le certificat n'est pas auto-signé et Exchange a raison de l'indiquer comme tel.

    Donc, si le certificat a bien été émis par votre autorité interne, le plus simple est de générer une nouvelle requête (en utilisant la commande utilisée la première fois), puis de la soumettre à votre autorité. Ensuite, il ne reste plus qu'à réaffecter les services Exchange au nouveau certificat (enable-exchangecertificate ...).

    Maintenant, la procédure exacte dépendra de la configuration réalisée... Par exemple, si l'enrôlement et la délivrance de certificat a été configurée en automatique!

    Tant que l'autorité existante est (déjà) définie sur les postes clients, tous les certificats existants ou à venir délivrés (à Exchange) dans la période de validité de l'autorité seront acceptés par ces postes clients.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 17 septembre 2015 13:41
    Modérateur
  • "Une fois que le certificat sera renouvelé, les postes qui sont hors domaine avec un Outlook continueront ils a communiquer avec le serveur Exchange?"

    Et maintenant les postes hors domaine font confiance à un certificat émis par une autorité de certification qu'ils ne connaissant pas ?

    Normalement, cela ne marche pas ainsi.

    A moins que vous ayez ajouté des certificats manuellement à ces postes hors domaine ?

    Le certificat racine de l'autorité de certification par exemple ?


    Please mark as helpful if you find my contribution useful or as an answer if it does answer your question. That will encourage me - and others - to take time out to help you.

    jeudi 17 septembre 2015 16:21
  • Bonjour,

    Je parle du certificat  qui est affecté dans Exchange au service IMAP POP IIS SMTP.

    Concernant l'ouverture d'Outlook, pas de message d'erreur constaté.

    Cordialement

    vendredi 18 septembre 2015 14:36
  • Bonjour,

    Je vais inspecté un poste.

    Dans quel magasin, ce type de certificate est positionné ?

    Cordialement

    vendredi 18 septembre 2015 14:42
  • Bonjour,

    Vous pouvez regarder dans le magasin "Autorités de certification racines de confiance" du compte ordinateur.

    Merci


    Hakim Taoussi - Consultant Exchange - http://exchangediscover.blogspot.fr

    samedi 19 septembre 2015 08:12
  • Je parle du certificat  qui est affecté dans Exchange au service IMAP POP IIS SMTP.

    Une fois que le certificat sera renouvelé, les postes qui sont hors domaine avec un Outlook continueront ils a communiquer avec le serveur Exchange?

    Si vous renouvelez le même certificat auprès de la même autorité, tous ceux qui lui faisaient confiance continueront à lui faire confiance, les autres non. Si c'est une PKI interne, cela ne fonctionnera que si vous intégrez le certificat racine dans les ordinateur (et idéalement avec la publication en HTTP de la CRL).

    Le plus simple reste quand même l'achat d'un certificat publique.



    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    lundi 21 septembre 2015 08:13
    Modérateur
  • Bonjour,

    Je vous remercie tous pour les différents échanges.

    Pour information les postes hors domaines n'était pas tous complétés par le certificat.

    Le magasin était autorité racine de confiance, si je me souvient bien.

    Je viens de finaliser l'opération avec succès.

    Sincères salutations

    mercredi 30 septembre 2015 14:13