none
Renouvellement certificat exchange 2013 RRS feed

  • Question

  • Bonjour,

    nous devons renouveler notre certificat qui est un Willdcard, mais nous ne savons pas trop comment procéder. Il y a plein de documentations, mais j'ai un peu de mal à m'y retrouver parmi tout ce flot d'informations.

    Au niveau de l'infrastructure, nous avons un serveur Exchange 2013, le certificat est associé aux services suivant : "UM,IIS,SMTP,UMCallRouter.

    L'IIS contient aussi le même certificat, mais je ne sais pas comment le renouveler sur celui-ci..

    Il y aussi un contrôleur de domaine qui a le rôle  IIS (mais je ne crois pas qu'il faille renouveler le certificat sur celui-là) car il ne fait pas autorité de certification.

    J'ai en ma possession les certificats renouvelés reçu par notre autorité de certification publique. J'ai un fichier .*p7b, mais je ne sais pas quoi en faire.. dois-je le mettre dans le conteneur de certificat du serveur ?

    Excusez-moi pour ces questionnements, mais ce n'est pas moi qui ai mis en place les certificats, alors je me pose plein de question.

    Merci d'avance,

    Johndoe


    lundi 23 mai 2016 12:41

Toutes les réponses

  • Bonjour,

    le certificat dans IIS est le même que celui géré par le service Exchange IIS !!!

    Idéalement, le plus simple est souvent de faire une nouvelle demande de certificat, et d'y associer le certificat reçu en retour par l'organisme de certification.

    J'imagine et j'espère que votre ordinateur contient la demande ou la partie privée du certificat pour lequel vous avez reçu le fichier P7B.

    2 solutions:

    soit vous importez le certificat à partir de la console Exchange en utilisant l'assistant,

    soit vous utilisez la console MMC, charger le composant "certificate"... Euh, cette méthode sera plus compliquée... (On la garde pour un plan B).

    Si l'importation du certificat se passe bien, vous pourrez le réaffecter aux services, y compris à IIS à partir de la console Exchange. Et il suffira de redémarrer IIS (iisreset -restart).

    A noter que le certificat sur le DC devra être mis à jour, mais en fonction de sa propre durée de validité, qui n'a rien à avoir avec Exchange.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 23 mai 2016 16:12
    Modérateur
  • Bonjour :)

    Un tout grand merci pour vos éclaircissements.

    J'ai procédé  au renouvellement du certificat en utilisant la console Exchange (ECP). J'ai d'abord essayé d'importer le certificat *.crt, mais il m'a dit qu'il y avait une erreur de format. J'ai ensuite ressayé avec le format .cer (que j'ai extrait du fichier P7B) avec un encodage en base 64. A priori, ça a fonctionné mais en validant avec l'assistant, il m'a dit que le Thumbprint existait déjà.

    Lorsque j'ai quitté l'assistant, il m'a dit que le certificat était valide.. j'ai vérifié en ligne de commande (Exchange Management Shell) que le certificat avait bien été importé, et c'est le cas.

    Je viens de remarquer une différence entre le nouveau certificat et l'ancien, il y a 2 AccessRules en moins, comme vous pouvez le voir ci-dessous: 

    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule,
                         System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {*.domain.com, domain.com}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=GeoTrust SSL CA - G3, O=GeoTrust Inc., C=US
    NotAfter           : 23-06-17 01:59:59
    NotBefore          : 23-05-16 02:00:00
    PublicKeySize      : 2048
    RootCAType         : ThirdParty
    SerialNumber       : 
    Services           : None
    Status             : Valid
    Subject            : CN=*.domain.com, O=name, L=city, S=street, C=com
    Thumbprint         : 
    
    
    AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule,
                         System.Security.AccessControl.CryptoKeyAccessRule,
                         System.Security.AccessControl.CryptoKeyAccessRule,
                         System.Security.AccessControl.CryptoKeyAccessRule}
    CertificateDomains : {*.domain.com, domain.com}
    HasPrivateKey      : True
    IsSelfSigned       : False
    Issuer             : CN=GeoTrust SSL CA - G3, O=GeoTrust Inc., C=US
    NotAfter           : 26-05-16 01:59:59
    NotBefore          : 26-05-15 02:00:00
    PublicKeySize      : 2048
    RootCAType         : ThirdParty
    SerialNumber       : 
    Services           : UM, IIS, SMTP, UMCallRouter
    Status             : Valid
    Subject            : CN=*.domain.com, O=name, L=city, S=street, C=com
    Thumbprint         : 
    J'ai volontairement cacher certaines informations.. 


    J'ai également vérifié sa présence dans l'IIS, et j'ai vu que c'était OK aussi.., donc je présume que c'est bon pour la partie Exchange.

    Comme vous dites, je vais devoir associer le nouveau certificat aux services, mais quand dois-je le faire ? Est-ce que cela risque d'impacter les utilisateurs ?

    Par ailleurs, j'ai lu qu'il fallait aussi implémenter le certificat intermédiaire lorsqu'on renouvelle un certificat ?

    Merci,

    Johndoe


    mardi 24 mai 2016 08:29
  • Bonjour johndoe2016,

    Est-ce que le problème est toujours d'actualité?

    Merci de votre retour en avance.

    Cordialement,

    Boyan

    • Marqué comme réponse johndoe2016 vendredi 3 juin 2016 09:30
    • Non marqué comme réponse johndoe2016 vendredi 3 juin 2016 09:31
    lundi 30 mai 2016 17:35
  • Bonjour,

    Oui le problème est toujours d'actualité, en associant les services au certificat renouvelé, il y avait une perte de connectivité des clients vers le serveur.. mais cela se faisait par intermittence.

    Les web services ne sont plus disponible (ECP, OWA, etc..). L'Exchange Management Shell non plus.

    Mon collègue a réussi à ce que cela fonctionne (pour l'envoi et la réception des mails) , mais il n'y a plus moyen de gérer Exchange..

    Voici le message d'erreur quand je tente de me connecter sur l'EMS.

    VERBOSE: Connecting to SRV-EXC-001.DOMAIN.COM.
    New-PSSession : [SRV-exc-001.DOMAIN.COM] Connecting to remote server SRV-exc-001.DOMAIN.COM failed with the following
    error message : <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
    <HTML><HEAD><TITLE>Bad Request</TITLE>
    <META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
    <BODY><h2>Bad Request - Invalid Hostname</h2>
    <hr><p>HTTP Error 400. The request hostname is invalid.</p>
    </BODY></HTML>
    [ClientAccessServer=SRV-EXC-001,BackEndServer=SRV-exc-001.DOMAIN.COM,RequestId=fe600cd4-4904-4294-87eb-6eb2e36e3af5,T
    tamp=03-06-16 09:29:57]  For more information, see the about_Remote_Troubleshooting Help topic.
    At line:1 char:1
    + New-PSSession -ConnectionURI "$connectionUri" -ConfigurationName Microsoft.Excha ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemo
       gTransportException
        + FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed

    Merci,

    Bien à vous,

    Johndoe

    vendredi 3 juin 2016 09:38