none
Renouvellement d'un certificat Exchange 2010 depuis une CA 2003 serveur RRS feed

  • Question

  • Bonjour,

    Mon certificat Exchange 2010 qui avait une validité de deux ans expire dans 1 mois et j'aimerai le renouveler.Le certificat  a été généré par une autorité de certification locale sur Windows 2003 serveur.

    Existe t'il une procédure pour le renouvellement d'un certificat sur un Windows 2003 serveur pour ensuite l'exporter sur exchange 2010.

    Je ne maitrise pas trop cette partie dans exchange et n'ai jamais réaliser cette opération.

    J'ai trouvé ce lien sur technet côté exchange : http://technet.microsoft.com/fr-fr/library/ee332322%28v=exchg.141%29.aspx) mais il me manque la partie renouvellent côté 2003 serveur.

    Autre question, Peut on réaliser le renouvellement avant expiration du certificat ?

    Merci de votre aide et bonne fête à tous.

    Richard

    jeudi 26 décembre 2013 12:11

Réponses

  • Bonjour,

    Cette procédure pourra peut être vous aider aussi : http://unifiedit.wordpress.com/2013/12/30/renouveler-un-certificat-ssl-exchange/

    Vous pouvez en effet renouveler vos certificats à tous moments

    Anthony Costeseque

    • Marqué comme réponse Bob070 mardi 4 février 2014 13:47
    lundi 30 décembre 2013 12:06

Toutes les réponses

  • Bonjour

    Votre CA interne a t elle le service web d'activé? c'est à dire accessible avec l'url http://server/certsrv ?

    Si oui vous pouvez utiliser la procédure que vous avez pour crééer une requete de nouveau certificat (renouvellement dans votre cas) pour le serveur Exchange 2010 et envoyer la requete à votre CA.

    La procédure ci après (en anglais), peut vous aider dans le cheminement, car l'interface de la CA en mode Web est identique avec la version serveur Windows 2003

    http://exchangeserverpro.com/exchange-2013-ssl-certificate-private-certificate-authority/

    Aussi le renouvellement peut être avant expiration (c'est même conseillé ;) )

    Merci


    Hakim Taoussi

    lundi 30 décembre 2013 10:28
  • Bonjour,

    Cette procédure pourra peut être vous aider aussi : http://unifiedit.wordpress.com/2013/12/30/renouveler-un-certificat-ssl-exchange/

    Vous pouvez en effet renouveler vos certificats à tous moments

    Anthony Costeseque

    • Marqué comme réponse Bob070 mardi 4 février 2014 13:47
    lundi 30 décembre 2013 12:06
  • Bonjour et merci pour vos réponses,

    Anthony ta procédure me parait très claire et je pense l'utiliser en PRODUCTION.

    Par contre j'ai quelques questions :

    - Lorsque tu dit en fin de procédure "S’il ne s’agit pas du certificat local de votre serveur (utilisé pour les connecteurs SMTP de réception en général) il vous faudra exporter ce nouveau certificat pour l’importer sur tous vos serveurs fronteaux (CAS/HUB)."

    Dans mon entreprise J'ai un serveur mail box et un serveur CAS/HUB (virtualisé) pour le moment côté Exchange 2010, donc après avoir renouveler le certificat sur mon CAS/HUB je n'ai pas à l'exporter sur d'autres serveurs ?

    Le déploiement sur les potes client (Windows Seven) et smartphone se réalisera automatiquement ?

    Merci pour tes réponses et merci encore pour ta procédure.

    Richard

    lundi 30 décembre 2013 18:48
  • En effet pour 1 serveur, une fois la procédure terminée il n'est pas nécessaire de faire d'export.

    Pour la partie poste client pas d'impact.

    Pour la partie smartphone attention : si la publication externe (vers internet) se fait au travers d'un mécanisme de reverproxy (comme TMG) ce serveur à lui aussi un certificat (différent de celui présent sur les serveurs Exchange) en règle général ce certificat est émis par un autorité publique comme GlobalSign etc.

    Ce certificat doit avoir une date d'expiration différente.

    Si non du point de vue du reverseproxy suite au renouvellement du certificat des serveurs Exchange aucun impact (communication reverseproxy <-> exchange (CAS)), et donc du point de vue des smartphones aucun impact également (communication smartphone <-> reverseproxy).

    Anthony

    lundi 30 décembre 2013 19:09
  • Bonjour et bonne année,

    En tapant la commande : "Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services"

    je me rend compte qu'il y a deux certificats qui vont bientôt arriver à expiration, un concernant les services (IMAP,POP,IIS,SMTP) et le second pour le smtp. Le Subject est différent pour les deux certificats.

    Ma question est de savoir si la procédure reste la même pour le certificat SMTP.

    Merci

    Richard

    jeudi 2 janvier 2014 11:17
  • Bonjour

    Il est fort possible que ce certificat est le certificat auto-signé.

    Vous le voyez en ajoutant à votre cmdlet IsSelfSigned

    ex:

    Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,IsSelfSigned

    Pour renouveler un certificat auto-signé vous pouvez exécuter :

    Get- ExchangeCertificate -Thumbprint 'AD19B141228C7CF98B5F78DCED978B7C45E15434' | New-ExchangeCertificate

    ou AD19B141228C7CF98B5F78DCED978B7C45E15434 est donné à titre d'exemple

    Source: http://technet.microsoft.com/fr-fr/library/ee332322(v=exchg.141).aspx

    Merci


    Hakim Taoussi

    jeudi 2 janvier 2014 11:25
  • Les deux certificats ne sont pas auto-signé après exécution de la commande :

    Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,IsSelfSigned

    IsSelfSigned : False

    Au niveau des services des deux certificat j'ai :

    IP.WS.     

    ....S.    

    jeudi 2 janvier 2014 13:00
  • Tu peux donc utiliser la même procédure pour le certificat sur le service SMTP.

    Anthony

    jeudi 2 janvier 2014 13:02
  • Autres questions,

    dans la partie pki (web enrolement) "submit a certicate Request or Renewal Request" doit on renseigner le champs "Additional Attributes" ou va t'il les récupérer automatiquement.

    Je ne comprends pas, pourquoi je dois activer deux service SMTP sur deux certificats différents (éméission , réception peut être ? )

    Merci

    jeudi 2 janvier 2014 13:38
  • Il n'est pas nécessaire d'utiliser "Additional Attributes".

    Il y en a deux si le certificat utilisé pour la partie web (W) ne contient pas le nom FQDN local de votre serveur exchange (NomDuServeur.domaine.local).

    Si le certificat avec les services IP.WS. contient le(s) même nom(s) (CN et SAN (si présent)) que le certificat seul (....S.) alors ce certificat n'est pas utile et peut être supprimé.

    Anthony

    jeudi 2 janvier 2014 13:52
  • le certificat (....S.) contient *.domaine.fr alors que IP.WS. contient NomDuServeur.domaine.local

    Donc je suppose qu'il faut renouveler les deux ?

    Merci

    jeudi 2 janvier 2014 15:25
  • Oui tout a fait le plus simple sera de renouveler les deux.

    Anthony

    vendredi 3 janvier 2014 11:53