Meilleur auteur de réponses
Renouvellement d'un certificat Exchange 2010 depuis une CA 2003 serveur

Question
-
Bonjour,
Mon certificat Exchange 2010 qui avait une validité de deux ans expire dans 1 mois et j'aimerai le renouveler.Le certificat a été généré par une autorité de certification locale sur Windows 2003 serveur.
Existe t'il une procédure pour le renouvellement d'un certificat sur un Windows 2003 serveur pour ensuite l'exporter sur exchange 2010.
Je ne maitrise pas trop cette partie dans exchange et n'ai jamais réaliser cette opération.
J'ai trouvé ce lien sur technet côté exchange : http://technet.microsoft.com/fr-fr/library/ee332322%28v=exchg.141%29.aspx) mais il me manque la partie renouvellent côté 2003 serveur.
Autre question, Peut on réaliser le renouvellement avant expiration du certificat ?
Merci de votre aide et bonne fête à tous.
Richard
Réponses
-
Bonjour,
Cette procédure pourra peut être vous aider aussi : http://unifiedit.wordpress.com/2013/12/30/renouveler-un-certificat-ssl-exchange/
Vous pouvez en effet renouveler vos certificats à tous moments
Anthony Costeseque
- Marqué comme réponse Bob070 mardi 4 février 2014 13:47
Toutes les réponses
-
Bonjour
Votre CA interne a t elle le service web d'activé? c'est à dire accessible avec l'url http://server/certsrv ?
Si oui vous pouvez utiliser la procédure que vous avez pour crééer une requete de nouveau certificat (renouvellement dans votre cas) pour le serveur Exchange 2010 et envoyer la requete à votre CA.
La procédure ci après (en anglais), peut vous aider dans le cheminement, car l'interface de la CA en mode Web est identique avec la version serveur Windows 2003
http://exchangeserverpro.com/exchange-2013-ssl-certificate-private-certificate-authority/
Aussi le renouvellement peut être avant expiration (c'est même conseillé ;) )
Hakim Taoussi
-
Bonjour,
Cette procédure pourra peut être vous aider aussi : http://unifiedit.wordpress.com/2013/12/30/renouveler-un-certificat-ssl-exchange/
Vous pouvez en effet renouveler vos certificats à tous moments
Anthony Costeseque
- Marqué comme réponse Bob070 mardi 4 février 2014 13:47
-
Bonjour et merci pour vos réponses,
Anthony ta procédure me parait très claire et je pense l'utiliser en PRODUCTION.
Par contre j'ai quelques questions :
- Lorsque tu dit en fin de procédure "S’il ne s’agit pas du certificat local de votre serveur (utilisé pour les connecteurs SMTP de réception en général) il vous faudra exporter ce nouveau certificat pour l’importer sur tous vos serveurs fronteaux (CAS/HUB)."
Dans mon entreprise J'ai un serveur mail box et un serveur CAS/HUB (virtualisé) pour le moment côté Exchange 2010, donc après avoir renouveler le certificat sur mon CAS/HUB je n'ai pas à l'exporter sur d'autres serveurs ?
Le déploiement sur les potes client (Windows Seven) et smartphone se réalisera automatiquement ?
Merci pour tes réponses et merci encore pour ta procédure.
Richard
-
En effet pour 1 serveur, une fois la procédure terminée il n'est pas nécessaire de faire d'export.
Pour la partie poste client pas d'impact.
Pour la partie smartphone attention : si la publication externe (vers internet) se fait au travers d'un mécanisme de reverproxy (comme TMG) ce serveur à lui aussi un certificat (différent de celui présent sur les serveurs Exchange) en règle général ce certificat est émis par un autorité publique comme GlobalSign etc.
Ce certificat doit avoir une date d'expiration différente.
Si non du point de vue du reverseproxy suite au renouvellement du certificat des serveurs Exchange aucun impact (communication reverseproxy <-> exchange (CAS)), et donc du point de vue des smartphones aucun impact également (communication smartphone <-> reverseproxy).
Anthony
-
Bonjour et bonne année,
En tapant la commande : "Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services"
je me rend compte qu'il y a deux certificats qui vont bientôt arriver à expiration, un concernant les services (IMAP,POP,IIS,SMTP) et le second pour le smtp. Le Subject est différent pour les deux certificats.
Ma question est de savoir si la procédure reste la même pour le certificat SMTP.
Merci
Richard
-
Bonjour
Il est fort possible que ce certificat est le certificat auto-signé.
Vous le voyez en ajoutant à votre cmdlet IsSelfSigned
ex:
Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,IsSelfSigned
Pour renouveler un certificat auto-signé vous pouvez exécuter :
Get- ExchangeCertificate -Thumbprint 'AD19B141228C7CF98B5F78DCED978B7C45E15434' | New-ExchangeCertificate
ou AD19B141228C7CF98B5F78DCED978B7C45E15434 est donné à titre d'exemple
Source: http://technet.microsoft.com/fr-fr/library/ee332322(v=exchg.141).aspx
Hakim Taoussi
-
-
-
Autres questions,
dans la partie pki (web enrolement) "submit a certicate Request or Renewal Request" doit on renseigner le champs "Additional Attributes" ou va t'il les récupérer automatiquement.
Je ne comprends pas, pourquoi je dois activer deux service SMTP sur deux certificats différents (éméission , réception peut être ? )
Merci
-
Il n'est pas nécessaire d'utiliser "Additional Attributes".
Il y en a deux si le certificat utilisé pour la partie web (W) ne contient pas le nom FQDN local de votre serveur exchange (NomDuServeur.domaine.local).
Si le certificat avec les services IP.WS. contient le(s) même nom(s) (CN et SAN (si présent)) que le certificat seul (....S.) alors ce certificat n'est pas utile et peut être supprimé.
Anthony
-
-