none
Exchange 2007 certificate RRS feed

  • Question

  • Bonjour,

    Comme d'autres administrateurs Exchange je ne suis pas un spécialiste Certificat....

    J'ai installé Exchange 2007 SP1 puis fait un update en SP2 immédiatement en aout 2009: toutefois mon certificat n'est valable qu'un an. Ce certficat prend fin début août prochain alors que j'avais lu une validité de 5 ans.

    Première question: le jour de fin de validité que se passe-t-il concrètement ? Serveurs MS-Exchange 2007 SP2 et client Outlook 2007 uniquement - pas d'activesync ni de Outlook anywhere ni de public folders

    Deuxième question: si je fais un request pour un nouveau certificat interne (5ans) que se passe-t-il pour les clients outlook 2007 ? Dois-je faire une opération pour que cela fonctionne ? Y a t-il un risque de bloquer tout le monde ? Ou que tout le monde recoive des alertes de sécurité ?

    Troisième question: idem 2e mais pour un certificat officiel: que se passe-t-il entre le request et l'obtention du certificat? La partie certficat est très mal expliquée en fait. Je lis que le certificat non valide n'est pas bloquant .... c'est à dire ? Le request veut-il dire que l'ancien certficat n'est plus valable immédiatement?

    Merci de votre aide

    Thomas

    mardi 22 juin 2010 19:23

Réponses

  • Hello,

    Pour le 1, voir http://technet.microsoft.com/fr-fr/library/bb851554(EXCHG.80).aspx

    Pour Exchange RTM et SP1, le certificat autosigné est valable un an. Au bout de cette année, le certificat doit être regénéré via la commande new-exchangeCertificate. A partir de 2007 SP2, c'est 5 ans de validité.

    Pour le 2, si vous souhaitez passer par une CA interne, il faut s'assurer que le certificat de cette CA interne soit trusté par l'ensemble des clients. Si vous choississez cette option, tous les clients extérieurs (cybercafé par exemple) afficheront une erreur de certification car ils ne feront pas confiance à un certificat (celui du webmail) délivré par une CA inconnue (la votre).

    Voir http://technet.microsoft.com/fr-fr/library/cc738131(WS.10).aspx

    Pour le 3, vous pouvez générer une demande de certificat, cela ne modifiera le certificat en cours d'utilisation.

    Concernant le non-blocage, j'imagine qu'il s'agit d'une alerte de certification dans IE et où on peut cliquer sur continuer quand même... Je me trompe ?

    A+

    mercredi 23 juin 2010 07:11
  • Hello,

    Pour le 2 : Si vos clients font déjà confiance à la CA interne, non il n'y aura pas d'erreur.

    Une fois que vous avez passé la commande new-exchangecertificate, il est nécessaire de récupérer le fichier .req. Ensuite, faire un copier/coller du contenu du .req dans l'interface web de la CA (avec le begin et le end). Une fois le certifica obtenu, lancer la commande import-exchangecertificate et assigner IIS au certificat

    Voir http://technet.microsoft.com/en-us/library/bb851505(EXCHG.80).aspx

    Pour le 3 : ca y est, j'ai compris la question ! Si vous utilisez un certificat d'une autorité publique (ex. verisign), vous n'aurez quoi qu'il arrive aucune erreur puisque le certificat est reconnu publiquement. Cette solution est quand même plus simple car vous n'avez pas à vous souciez des certificats, de l'autorité et surtout du renouvellement du certificat de l'autorité...

    A+

    mercredi 23 juin 2010 19:19

Toutes les réponses

  • Hello,

    Pour le 1, voir http://technet.microsoft.com/fr-fr/library/bb851554(EXCHG.80).aspx

    Pour Exchange RTM et SP1, le certificat autosigné est valable un an. Au bout de cette année, le certificat doit être regénéré via la commande new-exchangeCertificate. A partir de 2007 SP2, c'est 5 ans de validité.

    Pour le 2, si vous souhaitez passer par une CA interne, il faut s'assurer que le certificat de cette CA interne soit trusté par l'ensemble des clients. Si vous choississez cette option, tous les clients extérieurs (cybercafé par exemple) afficheront une erreur de certification car ils ne feront pas confiance à un certificat (celui du webmail) délivré par une CA inconnue (la votre).

    Voir http://technet.microsoft.com/fr-fr/library/cc738131(WS.10).aspx

    Pour le 3, vous pouvez générer une demande de certificat, cela ne modifiera le certificat en cours d'utilisation.

    Concernant le non-blocage, j'imagine qu'il s'agit d'une alerte de certification dans IE et où on peut cliquer sur continuer quand même... Je me trompe ?

    A+

    mercredi 23 juin 2010 07:11
  • Bonjour,

    Merci beaucop pour cette réponse très complète....

    Pour la 2. Si je comprends bien je dois juste faire New-exchangeCertficate et non un request.... Avec cette commande (new-exchange certificate) rien d'autre à faire pour mes clients 'internes'? Je n'ai pas de clients 'externes' du fait qu'on travaille en VPN ce qui rend les client comme si ils étaient internes... En effet le management n'arrive pas à se décider quant à l'option à prendre et 5 nouvelles années me donneraient du temps pour qu'une décision intervienne

    Pour le 3., je suppose aussi en effet qu'il existera un popup d'alerte concernant la validité des certificats....: j'espère juste que cela sera maximum une alerte par session et non par action sur le client Outlook (free/busy par exemple ou consultation address book ou autodiscover)

    C'était justement ma question (non bloquant mais comment pour les clients)

    @+

    mercredi 23 juin 2010 18:28
  • Hello,

    Pour le 2 : Si vos clients font déjà confiance à la CA interne, non il n'y aura pas d'erreur.

    Une fois que vous avez passé la commande new-exchangecertificate, il est nécessaire de récupérer le fichier .req. Ensuite, faire un copier/coller du contenu du .req dans l'interface web de la CA (avec le begin et le end). Une fois le certifica obtenu, lancer la commande import-exchangecertificate et assigner IIS au certificat

    Voir http://technet.microsoft.com/en-us/library/bb851505(EXCHG.80).aspx

    Pour le 3 : ca y est, j'ai compris la question ! Si vous utilisez un certificat d'une autorité publique (ex. verisign), vous n'aurez quoi qu'il arrive aucune erreur puisque le certificat est reconnu publiquement. Cette solution est quand même plus simple car vous n'avez pas à vous souciez des certificats, de l'autorité et surtout du renouvellement du certificat de l'autorité...

    A+

    mercredi 23 juin 2010 19:19