none
Comment installer un certificat SSL sur plusieurs serveurs Exchange 2010 RRS feed

  • Question

  • Hello,

    Je suis confronté à un « bête » problème de certificat pour Exchange, mais je n’arrive pas à trouver de solution.

    J’ai deux anciens serveurs Exchange 2010 qui possèdent un même certificat SSL (SAN) acheté chez GoDaddy, et deux nouveaux serveurs qui n’ont que le certificat auto signé par défaut.

    Un administrateur a modifié le certificat SSL GoDaddy pour ajouter le nom des deux nouveaux serveurs dans la liste « Subject Alternative Name ». Il m’a ensuite transmis le certificat modifié.

    Je pense donc que je dois mettre à jour le certificat GoDaddy déjà existant sur les deux « anciens » serveurs et installer le certificat sur les « nouveaux » serveurs, mais je ne trouve pas de procédure à suivre. Dans toutes les procédures que je trouve, il faut commencer par faire un CSR et ensuite faire un « Complete Pending Request »…

    Pourriez-vous m’aider pour procéder correctement à la mise en place du certificat modifié sur mes anciens et nouveaux serveurs Exchange ?

    Merci…

    mercredi 24 avril 2013 09:56

Réponses

  • Bonsoir,

    effectivement, vous ne pouvez pas utiliser d'anciens certificats pour de nouveaux serveurs nommés différemment. Il est indispensable de créer une nouvelle demande (CSR) auprès du fournisseur (GoDaddy) qui vous transmettra un nouveau certificat (Nouveau Thumbprint).

    Le certificat reçu doit D'ABORD être installé sur le serveur qui a émis la demande. Le certificat est alors complet et peut être exporté (avec sa partie privée) pour être installé l'autre serveur.

    Les nouveaux serveurs ne fonctionneront correctement qu'avec le nouveau certificat. Les services ne sont pas tous vraiment opérationnel avec les certificats autosignés.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    mercredi 24 avril 2013 22:49
    Modérateur

Toutes les réponses

  • Bonjour,

    Merci de suivre ce technet : http://technet.microsoft.com/fr-fr/library/dd351183(v=exchg.141).aspx

    Importer un certificat Exchange

    1. Dans l'arborescence de la console, cliquez sur Configuration du serveur.
    2. Dans le volet Actions, cliquez sur Importer le certificat Exchange pour ouvrir l'Assistant Importation du certificat Exchange. 
      • Cet Assistant vous aide à déterminer le type de certificats dont vous avez besoin pour votre organisation Exchange. 
    3.  Dans la page Introduction, cliquez sur Parcourir pour sélectionner le fichier contenant le certificat exporté, puis saisissez le mot de passe du certificat.
    4.  Dans la page Choix du serveur Exchange, sélectionnez le serveur Exchange dans lequel vous voulez importer le certificat.
    5.  Dans la page Achèvement, vérifiez que toutes les options auparavant sélectionnées sont correctes. 


    Puis ce technet : http://technet.microsoft.com/fr-FR/library/dd351257(v=exchg.141).aspx

    Affecter les services au certificat

    1. Dans l'arborescence de la console, cliquez sur Configuration du serveur
    2. Dans le volet Actions, cliquez sur Nouveau certificat Exchange pour ouvrir l’Assistant Nouveau certificat Exchange. 
      • Cet Assistant vous aide à déterminer le type de certificats dont vous avez besoin pour votre organisation Exchange. 
    3.  Sur la page Introduction d'affectation de services, utilisez les cases à cocher pour choisir les services que vous voulez affecter à votre certificat.
    4.  Sur la page Choix du serveur Exchange, choisissez le serveur Exchange sur lequel réside votre certificat. 
    5.  Sur la page Achèvement, vérifiez que toutes les informations que vous avez fournies sont correctes. 


    Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.


    • Modifié zeusos mercredi 24 avril 2013 12:02
    mercredi 24 avril 2013 12:01
  • Bonjour,

    Merci beaucoup pour votre réponse rapide !

    J'ai tenté d'importer le certificat GoDaddy modifié sur l’un des deux anciens serveurs. Cela ne fonctionne malheureusement pas :

    [Dans la page Introduction, cliquez sur Parcourir pour sélectionner le fichier contenant le certificat exporté, puis saisissez le mot de passe du certificat.] ==> pourquoi faut-il saisir un mot-de passe à ce stade ? ==> si je saisis un mot de passe au hasard, ça fonctionne, mais j'obtiens ensuite une erreur m'indiquant « Thumbprint Already Exists »

    Je pense que comme le certificat a été modifié chez GoDaddy pour ajouter les deux nouveaux serveurs dans la liste SAN, il conserve le même « Thumbprint » que l’ancien certificat déjà en place …

    D’après ce que j’ai compris, je suis obligé de faire une nouvelle Requête de signature de certificat (RSC) depuis l’un des serveurs Exchange. Ensuite je peux faire un « Re-key » de mon certificat depuis l’interface d’administration de GoDaddy et copier-coller le RSC.

    Du coup, j’obtiens un nouveau certificat GoDaddy et je peux faire un «  Complete Pending Request » depuis le serveur Exchange à l’origine du RSC.

    Ensuite j’exporte le nouveau certificat depuis le serveur à l’origine du RSC et j’importe ce certificat sur tous les autres serveurs.

    Est-ce que je suis dans le vrai ?

    Est-ce que je devrais utiliser temporairement basculer tous les services sur les certificats auto-signés par défaut pour ne pas provoquer d’interruption de service ?

    Merci encore …


    mercredi 24 avril 2013 12:46
  • Je pense que votre certificat GoDaddy est à extension .pfx ou pkcs. Le mot de passe que vous devez saisir est celui de sa clé privée. Il est important d'avoir ce mot de passe d'où votre problème d'import de certificat je pense.

    N'oubliez pas également d'ajouter vos certificats public racines et intermédiaires de GoDaddy (normalement envoyé avec le certificat acheté) et l'installer dans vos magasins de certificats de vos serveurs.


    Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    mercredi 24 avril 2013 13:04
  • Bonsoir,

    effectivement, vous ne pouvez pas utiliser d'anciens certificats pour de nouveaux serveurs nommés différemment. Il est indispensable de créer une nouvelle demande (CSR) auprès du fournisseur (GoDaddy) qui vous transmettra un nouveau certificat (Nouveau Thumbprint).

    Le certificat reçu doit D'ABORD être installé sur le serveur qui a émis la demande. Le certificat est alors complet et peut être exporté (avec sa partie privée) pour être installé l'autre serveur.

    Les nouveaux serveurs ne fonctionneront correctement qu'avec le nouveau certificat. Les services ne sont pas tous vraiment opérationnel avec les certificats autosignés.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    mercredi 24 avril 2013 22:49
    Modérateur