none
Question sur Certifcats pour accès externe (owa,active sync...) et certificat interne RRS feed

  • Question

  • Bonjour à tous,

     

    Voila nous avons récemment renouvelé notre certificat (auto-signé) pour exchange 2007, celui ci certifie les accès externes et internes d'Exchange :

     

    Externes :

    mail.nomdomaineexterne.fr

    autodiscover.nomdomaineexterne.fr

    Internes : 

    nomNETBIOserveurexchange

    nomNETBIOserveurexchange.nomdomaineexterne.fr

     

    La question que je me pose est : est-il possible d'utiliser un certificat acheté (donc provenant d'un autorité de confiance connue) uniquement pour les accès externes et garder le certificat auto-signé pour les les accès internes ? En effet le plus important pour nous est la sécurisation d'OWA, active sync et Outlook Anywhere pour l'accès extérieur.

    Si cela est possible pouvez vous me dire ce qu'il y a a faire ? faire une demande de certificat via la console exchange uniquement pour les domaines externes ??

     

    Merci pour vos réponses !

    mardi 23 août 2011 16:41

Réponses

  • Je confirme !! quelle chaleur :/

    Donc toutes les commandes que j'ai mentionné sont nécessaires + export du certificat (à partir de l'exange) + import de l'export sur ISA + Application sur le listener ISA.

    Bon courage.

    Anthony

     

    • Marqué comme réponse Florin Ciuca mardi 30 août 2011 13:26
    jeudi 25 août 2011 12:57
  • Pour moi il y a une incidence si l'IP n'est pas présente comme DN dans le certificat privé (maintenant si ça marche depuis longtemps .... (c'est qu'il doit déjà y être)).

    Pour generer une demande de certificat vous avez l'EMC, mais je prefere toujorus travailler avec l'EMS (le Shell).

    $Data = New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "c=FR,o=VotreSociete,CN=mail.domaine.fr" -DomainName mail.domaine.fr,autodiscover.domaine.fr -Friendlyname CertificatWebServicesExchange

    Set-Content -path "C:\Users\Administrateur\Documents\CertRequest.req" -Value $Data

    poster le contenu de la req (CertRequest.req) dans le demande en ligne de votre provider de certificat, ils vont vous fournir un certificat en .crt (ou autre) avec une autorité intermédiaire (peut être)

    Import-ExchangeCertificate -Path C:\Users\Administrateur\Documents\VotreCertificatFourni.crt

    Ensuite vous pouvez l'exporter (avec sa clef publique !) et l'importer sur l'ISA pour l'apliquer sur le listener

     

    Et voilà

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    • Marqué comme réponse Florin Ciuca mardi 30 août 2011 13:25
    mercredi 24 août 2011 13:29
  • Bonjour à tous!

     

    Voila c'est bon j'ai mon certificat ! tout fonctionne nickel !

     

    Voila en gros les étapes :

     

    1°/ Génération de la demande de certificat (faire TRES attention aux informations a donner, car parfois il faut bien nommer les subject (CN) organisation (O) departement (IDF) etc....donc bien se renseigner avant sur comment rentrer les informations, parfoi il faut que ca soit en majuscules, en minuscule...) sinon l'autorité rejette la demande

     

    2°/ Envoi du CSR au prestataire (moi je l'ai envoyé à un revendeur de certifications Networking4all)

     

    3°/ L'autorité de certification vous contacte ensuite puis vous envoyer votre certificat par mail.

     

    4°/ Il faut ensuite l'importer D'ABORD dans exchange (Exhange-ImportCertificat...) sur le PS d'exchange

     

    5°/ L'exporter (avec un mot de passe donc avec sa clé publique) pour pouvoir le transporter sur le serveur ISA

     

    6°/ L'importer via la MMC sur le serveur ISA pour terminer

    (Pas besoin de l'importer sur le IIS du serveur Exchange vu que moi je certifie uniquement les accès extérieurs)

    (Il peut etre nécessaire d'importer aussi les certificat de l'autorité de certification, j'ai eu a le faire pour ma part)

     

    Merci encore pour votre aide !

     

    • Marqué comme réponse eiffel04 lundi 26 septembre 2011 13:29
    lundi 26 septembre 2011 13:28

Toutes les réponses

  • Bonsoir,

    Cela n'est possible qu'en introduisant un équipement de reverse proxy en DMZ (par exemple TMG 2010 qui le fait parfaitement).

    Les connexions de l'extérieurs arriverons sur le TMG (le NAT du port 443 du routeur vers le TMG) et c'est le TMG qui parlera avec le CAS d'Exchange en SSL (ou pas) en utilisant les certificats (et autorité de certification) internes.

    -> l’opération ajouter le reverse proxy en DMZ et acheter un certificat externe de confiance qui sera utilisé sur le reverse proxy (accessoirement configurer le reverse proxy).

    Si non "l'astuce" est d'utiliser un seul nom de domaine (le publique) sur les services exchance et mettre en place un split DNS (ajouter la zone publique sur le DNS interne) en renvoyant les enregistrement A qui vont bien vers l'IP interne du CAS.

    Ce scenario est plus complexe car souvent source d'erreurs et d'effets imprevus (sur tout du coté DNS).

    -> l’opération ajouter une zone dns sur les DNS internes , acheter un certificat externe de confiance et reconfigurer les webservices (virtual directory) d'exchange.

     

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    mardi 23 août 2011 19:13
  • Bonjour !

     

    Merci pour votre réponse rapide et détaillée !

    Pour information, nous avons ISA 2006 en DMZ, est-ce que l'utilisation du reverse proxy peut se faire avec ? ou alors il faut migrer complètement avec TMG 2010 ?

     

    Merci

    mercredi 24 août 2011 06:37
  • Bonjour,

    ISA 2006 a les mêmes possibilités que TMG 2010, sauf qu'il ne fonctionne qu'en 32 bits sur un système 32 bits (contrairement à TMG 2010 qui ne fonctionne qu'en 64 bits).

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mercredi 24 août 2011 12:22
    Modérateur
  • Tout a fait sauf qu'il faudra faire un peu plus de configuration manuelle à faire que le simple wizard de publication OWA ISA2006 car il y a la présence du nouveau ECP a publier aussi (par exemple).

     

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    mercredi 24 août 2011 12:40
  • Bonjour !

     

    OK merci, si j'ai bien compris, cela veut-il dire que je peux affecter un certificat pour chaque règle que je créer dans ISA (OWA, outlook anywhere...) : clic droit sur la règle puis "propriétés" ensuite dans l'onglet "Port d'écoute" (port 443 HTTPS dans mon cas) puis propriétés > Onglet "Certificats" puis sélectionner un certificat... je met le certificat acheté qui couvre uniquement les domaines autodiscover.nomdomaine.fr et mail.nomdomaine.fr ??

    Je pose cette question car je n'ai pas trouvé dans l'aide d'ISA quelque chose qui parlait de reverse proxy

     

    merci !

     

    mercredi 24 août 2011 12:46
  • Vous allez donc avoir 1 certificat SAN (2 DNs : autodiscover.nomdomaine.fr et mail.nomdomaine.fr).

    vous aurez plusieurs règles de publications (best practise) (mais comme vous mutualisez sur mail.nomdomaine.fr, vous pouvez n'utiliser qu'une seul règle (moins souple si vous devez bloquer un service (activesync par exemple)).

    vous aurez 1 listener avec le certificat SAN associé.

    ensuite il faudra bien faire attention vers ou vous renvoyer les acces, je pense que vous mettrez nomNETBIOserveurexchange.nomdomaineINTERNE.local

    (tous les webservices exchange configurés sur nomNETBIOserveurexchange.nomdomaineINTERNE.local avec un certificat interne de l'autorité interne)

     

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    mercredi 24 août 2011 13:01
  • Ok merci !

     

    Oui en fait on a déjà nos règles de publication d'accès avec notre certificat auto-signé actuel :

    Une pour OWA

    Une pour ACtive Sync

    Une pour Anywhere

     

    Chacune de ces règles sont renvoyées en interne via l'adresse IP interne du serveur exchange (et non le nom FQDN ou netbios) cela n'a pas d'incidence sur le certificat j'imagine ?

    Dernière question, comment générer une demande de certificat dans le powershell d'exchange juste pour autodiscover.domaine.fr et mail.domaine.fr ?

     

    Merci !

    mercredi 24 août 2011 13:17
  • Pour moi il y a une incidence si l'IP n'est pas présente comme DN dans le certificat privé (maintenant si ça marche depuis longtemps .... (c'est qu'il doit déjà y être)).

    Pour generer une demande de certificat vous avez l'EMC, mais je prefere toujorus travailler avec l'EMS (le Shell).

    $Data = New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "c=FR,o=VotreSociete,CN=mail.domaine.fr" -DomainName mail.domaine.fr,autodiscover.domaine.fr -Friendlyname CertificatWebServicesExchange

    Set-Content -path "C:\Users\Administrateur\Documents\CertRequest.req" -Value $Data

    poster le contenu de la req (CertRequest.req) dans le demande en ligne de votre provider de certificat, ils vont vous fournir un certificat en .crt (ou autre) avec une autorité intermédiaire (peut être)

    Import-ExchangeCertificate -Path C:\Users\Administrateur\Documents\VotreCertificatFourni.crt

    Ensuite vous pouvez l'exporter (avec sa clef publique !) et l'importer sur l'ISA pour l'apliquer sur le listener

     

    Et voilà

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    • Marqué comme réponse Florin Ciuca mardi 30 août 2011 13:25
    mercredi 24 août 2011 13:29
  • j'oubliais : relire mes commandes et remplacer par vos informations si besoin.

    (nous n'activons pas le certificat sur une fonction d'exchange ici, c'est juste pour pouvoir l'exporter et l'importer dans le TMG)

    (c'est pour cela qu'il n'y a pas la traditionnelle dernière étape "Enable-ExchangeCertificate -services XXXXX")

    Anthony

    mercredi 24 août 2011 13:34
  • ok donc pas besoin d'importer le nouveau certificat dans exchange via le Power Shell...

     

    PS : dans le PS, la comamnde commence bien par

    New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "c=FR,o=VotreSociete,CN=mail.domaine.fr" -DomainName mail.domaine.fr,autodiscover.domaine.fr -Friendlyname CertificatWebServicesExchange

    sans le "$Data =" ?

     

    de même, la commande Set-Content -path "C:\Users\Administrateur\Documents\CertRequest.req" -Value $Data doit etre mise à la suite (je veux dire dans la même commande) de la commande précédente ? et avec ou sans "-value $Data" ??

    Au final au aurait :

     

    New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "c=FR,o=VotreSociete,CN=mail.domaine.fr" -DomainName mail.domaine.fr,autodiscover.domaine.fr -Friendlyname CertificatWebServicesExchange Set-Content -path "C:\Users\Administrateur\Documents\CertRequest.req"

    ?? Merci !

    mercredi 24 août 2011 13:51
  • besoin de l'importer car c'est lui qui le demande et qui a la clef publique (il faudra l'importer obligatoirement)

    il faut utiliser les commandes comme indiquées et dans le bon ordre

    on stocke dans $data les infos qui sont utilisées par la commande suivante Set-Content

    Set-Content est la 2eme commande à exécuter (après succès de la première)

    et pour finir une fois le certificat generé utiliser la 3eme commande :

    Import-...

    et enfin export avec la mmc des certificats le certificat avec sa clef publique et l'importer sur ISA

     

     

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

     


    mercredi 24 août 2011 15:05
  • Bonjour,

    avez-vous une autorité de certificat ? Il semble que non, et que vous souhaitez utiliser des certificats "autosigné"!

    Dans ce cas, l'option "-generateRequest" peut être retirée !

    => Le certificat est alors généré directement (et durera 5 ans).

    Il peut alors être activé sur les différents services

    Il suffit de le copier dans les autorités "racines" de chaque serveur Exchange, et de le déployer par stratégie sur les stations de l'entreprise. (On peut faire de même dans ISA)

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    jeudi 25 août 2011 12:17
    Modérateur
  • Ok merci !

     

    Oui en fait on a déjà nos règles de publication d'accès avec notre certificat auto-signé actuel :

    Une pour OWA

    Une pour ACtive Sync

    Une pour Anywhere

     

    Chacune de ces règles sont renvoyées en interne via l'adresse IP interne du serveur exchange (et non le nom FQDN ou netbios) cela n'a pas d'incidence sur le certificat j'imagine ?

    Dernière question, comment générer une demande de certificat dans le powershell d'exchange juste pour autodiscover.domaine.fr et mail.domaine.fr ?

     

    Merci !

    Je pense qu'il parlait de la demande pour le certificat publique qui sera installé sur l'ISA en frontal, il me semble qu'il souhaite acquérir un certificat auprès d'une autorité de certificats publiques.

     

    Pour toutes questions n'hésitez pas,

    Anthony COSTESEQUE

    MCITP Enterprise Messaging Administrator 2007/2010

    VBC : https://www.mcpvirtualbusinesscard.com/VBCServer/acosteseque/profile


    Merci de marquer cette réponse si elle vous a aidée :)

    jeudi 25 août 2011 12:28
  • Oui tout a fait clé publique uniquement pour le frontal et on garde la clé privée pour l'interne...

    Au final je me demande si c'est la meilleure pratique ou pas mais on fait surtout ça pour économiser sur le prix du certificat.

    jeudi 25 août 2011 12:33
  • Donc vous ne voulez pas acheter de certificat pour vos 2 DNs publiques autodiscover et mail, mais utiliser votre autorité de certificats interne ?

     

    Cordialement,

    Anthony

    jeudi 25 août 2011 12:48
  • Oula la chaleur :D je me suis trompé dans ce que j'ai dis dans mon message précédent :D

    En résumé je veux

    Un cerficitat acheté pour mes deux DN PUBLIQUES

    Un certificat Autosigné par mon autorité de certification interne (un de nos serveur) pour l'interne

    jeudi 25 août 2011 12:54
  • Je confirme !! quelle chaleur :/

    Donc toutes les commandes que j'ai mentionné sont nécessaires + export du certificat (à partir de l'exange) + import de l'export sur ISA + Application sur le listener ISA.

    Bon courage.

    Anthony

     

    • Marqué comme réponse Florin Ciuca mardi 30 août 2011 13:26
    jeudi 25 août 2011 12:57
  • Bonjour,

     

    Pouvons-nous considérer que vous avez résolu votre problème avec les scénarios proposés ? Dans l'affirmative, pourriez-vous partager avec nous la solution, afin que d'autres personnes avec le même problème puissent profiter de cette solution ?

     

    Désormais, nous marquons les solutions proposées. N'hésitez pas à revenir et supprimer la réponse marquée si la solution n’est pas correcte. Merci !

     

     

    Cordialement,

     

    Florin


    Florin CIUCA, MSFT       Join TechNetFr on Viadeo   Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mardi 30 août 2011 13:24
  • Bonjour !

     

    Oui dès que j'ai mis en place la solution je vous en informe (c'était prévu ;))

    mardi 30 août 2011 13:27
  • Bonjour,

    effectivement, les commandes indiquées par Anthony sont celles prévues pour Exchange 2010 !

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 30 août 2011 13:33
    Modérateur
  • arg donc  la commande New-ExchangeCertificate -GenerateRequest -KeySize 2048 -PrivateKeyExportable $true -SubjectName "c=FR,o=VotreSociete,CN=mail.domaine.fr" -DomainName mail.domaine.fr,autodiscover.domaine.fr -Friendlyname CertificatWebServicesExchange ne marchera pas du tout ?
    mardi 30 août 2011 13:40
  • Si si, elle fonctionne....

    C'était la l'utlisation de "$datas" et de "Set-Content -path "C:\Users\Administrateur\Documents\CertRequest.req" -Value $Data" qui ne sont pas utiles pour Exchange 2007.

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 30 août 2011 13:43
    Modérateur
  • Bonjour à tous,

     

    La génération du CSR + commande du certificat a été réalisée hier ! Je vous tiens donc au courant dès que j'ai reçu le certificat et  que l'installation est ok

    jeudi 8 septembre 2011 08:45
  • Bonjour à tous!

     

    Voila c'est bon j'ai mon certificat ! tout fonctionne nickel !

     

    Voila en gros les étapes :

     

    1°/ Génération de la demande de certificat (faire TRES attention aux informations a donner, car parfois il faut bien nommer les subject (CN) organisation (O) departement (IDF) etc....donc bien se renseigner avant sur comment rentrer les informations, parfoi il faut que ca soit en majuscules, en minuscule...) sinon l'autorité rejette la demande

     

    2°/ Envoi du CSR au prestataire (moi je l'ai envoyé à un revendeur de certifications Networking4all)

     

    3°/ L'autorité de certification vous contacte ensuite puis vous envoyer votre certificat par mail.

     

    4°/ Il faut ensuite l'importer D'ABORD dans exchange (Exhange-ImportCertificat...) sur le PS d'exchange

     

    5°/ L'exporter (avec un mot de passe donc avec sa clé publique) pour pouvoir le transporter sur le serveur ISA

     

    6°/ L'importer via la MMC sur le serveur ISA pour terminer

    (Pas besoin de l'importer sur le IIS du serveur Exchange vu que moi je certifie uniquement les accès extérieurs)

    (Il peut etre nécessaire d'importer aussi les certificat de l'autorité de certification, j'ai eu a le faire pour ma part)

     

    Merci encore pour votre aide !

     

    • Marqué comme réponse eiffel04 lundi 26 septembre 2011 13:29
    lundi 26 septembre 2011 13:28