none
Publication Exchange Active Sync : problème de certificat RRS feed

  • Question

  • Bonjour,

    Je désire publier sur Internet un accès Exchange Active Sync pour mon serveur Exchange 2010.

    Mon firewall étant pour l'instant un TMG 2010, j'ai commencé à créer une règle de publication Exchange.

    Dans les connexions autorisées j'ai désactivé le HTTP et j'ai activé le SSL (HTTPS) sur le port 443.

    Cette option nécessite d'ajouter le certificat généré il y a quelques temps pour la publication du serveur Web du serveur Exchange. Ce certificat a été créé sur mon DC Windows Server 2008 R2 il y a quelques jours et est valide jusqu'au 3/1/2019.

    Je suis donc allé sur mon DC pour l'exporter dans un fichier .CER.

    Ensuite je l'ai installé sur mon serveur TMG 2010 (Options Internet, Contenu, Certificats).

    Et puis j'ai donc voulu utiliser ce certificat dans la règle de publication de TMG et là ça coince car ce certificat apparait comme "Non Valide".

    Est-ce que vous auriez une idée de l'origine du problème ?

    Merci.

    Pascal.


    Pascal.

    vendredi 13 janvier 2017 10:38

Réponses

  • Bonjour,

    Si le certificat a été emis par votre autorité de certificat interne, celle-ci n'est pas connu de vos périphériques mobiles, qui ne la "trust" pas. Il faut donc importer le certificat racine (celle de l'autorité) sur vos périphériques pour que ceux-ci acceptent un certificat interne.

    Il faut aussi être certain que le nom porté par le certificat correspond bien à celui du nom FQDN sur Internet.

    C'est la raison pour laquelle en général on prend un certificat publique.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    lundi 16 janvier 2017 12:20
    Modérateur

Toutes les réponses

  • Bonjour,

    Un fichier .CER ne contient que la clé public du certificat. Vous devez aller sur un serveur qui contient à la fois la clé public et la clé privée (en général le serveur qui a généré la demande de certificat), et faire un export en PFX avec la clé privée.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    vendredi 13 janvier 2017 10:50
    Modérateur
  • Lorsque je suis sur le serveur DC ayant servi à produire ce certificat je n'arrive pas à trouver comment exporter le certificat que j'ai installé sur le serveur Exchange.

    Dans la console de demande de certificats, je ne le trouve pas.

    Dans l'autorité de certification (CERTSRV) je le trouve bien dans la liste des "certificats délivrés" mais je ne peux exporter que des données binaires (?) par un clic droit.

    Pascal.


    Pascal.

    vendredi 13 janvier 2017 12:15
  • C'est plutôt sur le serveur Exchange que vous allez trouver le certificat.

    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    vendredi 13 janvier 2017 12:35
    Modérateur
  • Merci.

    J'ai été sur le serveur Exchange, dans la console de gestion d'exchange, configuration du serveur, Certificats Exchange, je vois le certificat valide pour mon domaine qui est associé aux services IMAP, POP, SMPT, IIS.

    Par un clic droit je l'exporte (sur la fenêtre ils évoquent bien un "certificat doté de la clé privée correspondante") dans un fichier .PFX avec un mot de passe.

    Sur le serveur TMG 2010, je me rends dans les Options Internet et j'importe ce certificat, avec demande du mot de passe qui correspond à celui que j'ai saisi plus haut. Le certificat s'installe bien dans le magasin.

    Dans TMG je vais ouvrir une règle de publication exchange et je sélectionne le certificat en question.

    J'ai le même état d'erreur dans la fenêtre de sélection :

    Emis pour : mondomaine.fr

    Validité : Non valide

    Emis par : le nom de mon autorité de certification interne (mon DC)

    Date d'expiration : 03/01/2019

    Nom convivial : le nom du certificat que j'ai exporté.


    Pascal.

    vendredi 13 janvier 2017 14:07
  • Bonjour,

    Si le certificat a été emis par votre autorité de certificat interne, celle-ci n'est pas connu de vos périphériques mobiles, qui ne la "trust" pas. Il faut donc importer le certificat racine (celle de l'autorité) sur vos périphériques pour que ceux-ci acceptent un certificat interne.

    Il faut aussi être certain que le nom porté par le certificat correspond bien à celui du nom FQDN sur Internet.

    C'est la raison pour laquelle en général on prend un certificat publique.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    lundi 16 janvier 2017 12:20
    Modérateur