none
Exchange 2010 et s/mime RRS feed

  • Question

  • Bonjour à tous,

    Ma config :
    Exchange 2010, Outlook 2010
    Mobiles : WP8.1 IOS7 Android 4.4

    Je dois mettre un place des certificats s/mime pour communiquer de manière sécurisée avec des correspondant à l'extérieur de l'entreprise

    J'ai donc :
    - acheté un certificat itrust, installé sur un poste outlook 2010
    La communication fonctionne (chiffrement, déchiffrement ...)

    Mon problème se situe au niveau des mobiles
    Par ex sur un wp8.1 j'ai :
    - exporté le certificat à partir du poste fixe
    - envoyé l'export par mail sur mon mobile
    - installé le certificat sur le mobile (WP me confirme "certificat installé")

    Lorsque je veux ouvrir un mail crypté, wp8.1 me dit "pas de certificat installé"

    Ais-je raté une étape ?
    Il y t il quelque chose à faire côté Exchange ?

    Merci d'avance pour vos réponses

    Pierre

    mardi 9 septembre 2014 10:30

Réponses

  • Avez-vous bien exporté le certificat avec la clé privé?  Le fichier en sortie doit être du type PFX ou PEM (et pas CER).

    Vous pouvez sinon vous référer à cette article : http://msdn.microsoft.com/en-us/library/dn643699.aspx

    Pour le S/MIME sur un client lourd, Exchange n'intervient pas.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 9 septembre 2014 11:22
    Modérateur
  • Il y a deux problématiques pour la gestion du S/MIME dans une flotte mobile, il faut d'une part valider le fonctionnement du S/MIME avec tous les terminaux ET les versions de leur système d'exploitation. On peut avoir des surprises de ce côté avec des terminaux qui ne peuvent pas gérer certaines extensions ou algorithmes.

    L'autre problématique est la gestion des certificats sur ces terminaux et sur les postes clients. Il n'y a pas aujourd'hui de protocole universelle permettant de diffuser et de renouveler les certificats utilisateurs sur tous les terminaux mobiles. On s'en sort avec des procédures plus ou moins automatisés, mais cela nécessite en général soit une intervention longue de l'utilisateur pour extraire le PFX et l'importer. Je n'ai pas eu de retour sur l'intégration des WP 8.1 avec les PKI Windows, mais cela peut être intéressant à tester.

    J'ai réalisé pour un client la mise en place de l'archivage des clés privés sur une PKI Windows, ce qui permet déjà de s'affranchir de l'utilisateur pour la récupération du PFX, en plus cette opération est facilement scriptable, il ne reste ensuite qu'a injecter le certificat dans le terminal.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mercredi 10 septembre 2014 07:00
    Modérateur

Toutes les réponses

  • Avez-vous bien exporté le certificat avec la clé privé?  Le fichier en sortie doit être du type PFX ou PEM (et pas CER).

    Vous pouvez sinon vous référer à cette article : http://msdn.microsoft.com/en-us/library/dn643699.aspx

    Pour le S/MIME sur un client lourd, Exchange n'intervient pas.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 9 septembre 2014 11:22
    Modérateur
  • Merci pour votre réponse et pour la confirmation que Exchange n'intervient pas en client lourd

    J'ai bien fait avec un PFX, je vais réessayer

    Pour élargir le sujet, avez-vous des expériences en opérationnel ?
    s/mime sur mobiles, cela fonctionne-t-il bien (stabilité ...) ?

    Pierre

    mardi 9 septembre 2014 16:01
  • Il y a deux problématiques pour la gestion du S/MIME dans une flotte mobile, il faut d'une part valider le fonctionnement du S/MIME avec tous les terminaux ET les versions de leur système d'exploitation. On peut avoir des surprises de ce côté avec des terminaux qui ne peuvent pas gérer certaines extensions ou algorithmes.

    L'autre problématique est la gestion des certificats sur ces terminaux et sur les postes clients. Il n'y a pas aujourd'hui de protocole universelle permettant de diffuser et de renouveler les certificats utilisateurs sur tous les terminaux mobiles. On s'en sort avec des procédures plus ou moins automatisés, mais cela nécessite en général soit une intervention longue de l'utilisateur pour extraire le PFX et l'importer. Je n'ai pas eu de retour sur l'intégration des WP 8.1 avec les PKI Windows, mais cela peut être intéressant à tester.

    J'ai réalisé pour un client la mise en place de l'archivage des clés privés sur une PKI Windows, ce qui permet déjà de s'affranchir de l'utilisateur pour la récupération du PFX, en plus cette opération est facilement scriptable, il ne reste ensuite qu'a injecter le certificat dans le terminal.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mercredi 10 septembre 2014 07:00
    Modérateur