none
[exchange 2010] Probleme de certificat non auto signer. RRS feed

  • Question

  •  

     

     

    bonjour,

     j'essaie de générer un certificat


     j ai suivi le tuto de Michael [URL="http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/?page=page_6#LVI-C"]http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/?page=page_6#LVI-C[/URL] mais je bloques au niveau des certificats.

    certreq -new exchange.mondomaine.fr.inf exchange.mondomaine.fr.req
    certreq -submit exchange.mondomaine.fr.req exchange.mondomaine.fr.crt
    certreq -accept exchange.mondomaine.fr.crt



    j'ai bien installer l'autorité de certification mais quand je fais

    certreq -submit exchange.mondomaine.fr.req exchange.mondomaine.fr.crt



    j ai ce message erreur.....

    "Processeur de demande de certificat: Une chaîne de certificats a été traitée mai
    s s'est terminée par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation. 0x800b0109 (-2146762487)"
    .
    Je rappel le but la manœuvre est d'avoir un certificat dans exchange qui ne soit pas auto-signé.
    Merci d'avance pour vos réponses
    • Modifié Djthoz91 samedi 14 janvier 2012 18:18
    samedi 14 janvier 2012 18:14

Réponses

  • Bonjour,Essaye de générer un certificat en ligne de commande

    Pour commencer, il faut créer un fichier .inf : conservez ce fichier comme modèle, ça vous permettra de créer rapidement d'autres certificats. Voici le contenu de ce fichier que je nommerai server.inf.
    [Version] ; ne pas toucher a ces deux lignes
    Signature="$Windows NT$ ; meme si transformer windows nt en autre chose est tentant

    [NewRequest]
    Subject = "CN=server.mondomaine.adds" ; nom principal de votre certificat
    KeyLength = 1024 ; longueur de la cle, puissance de 2
    Exportable = FALSE ; cle privee exportable ou pas
    MachineKeySet = TRUE ; certificat ordinateur ou utilisateur
    PrivateKeyArchive = FALSE ; doit-on archiver la cle privee dans le kra
    KeyUsage = 0xa0 ; Digital Signature, Key Encipherment
    FriendlyName = "Serveur avec SSL" ; nom user-friendly qui permet de distinguer facilement le certificat

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; authentification serveur
    OID=1.3.6.1.5.5.7.3.2 ; authentification client

    [RequestAttributes]
    CertificateTemplate = WebServer ; modele de certificat, utile sur une autorite d'entreprise
    SAN="dns=altname1.mondomaine.adds&dns=server.votredomaine.fr" ; noms alternatifs, facultatif

    Une fois que votre fichier est créé, il faut générer la clé privée et la requête de création de certificat. Cela se fait avec la commande certreq :
    certreq -new server.inf server.req

    Le fichier .req contient la requête qu'il faut soumettre à votre autorité de certification avec la commande ci-dessous. Si l'autorité accepte votre demande, elle vous retournera un fichier .crt
    certreq -submit server.req server.crt

    Il ne vous restera plus qu'à associer le certificat à la clé privée en faisant :
    certreq -accept server.crt

    Et voilà :) C'est vraiment rapide une fois que votre fichier inf est créé et ça permet aussi d'automatiser une étape de plus lors du déploiement de serveurs :)

    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:41
    mardi 17 janvier 2012 17:53
  • Bonjour,

    la génération d'un certificat par Exchange est très facile !

    http://technet.microsoft.com/fr-fr/library/aa998327.aspx

    Dans la commande suivante (proposée sur l'URL ci-dessus),

    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -BinaryEncoded -PrivateKeyExportable $true

    Il suffit de retirer l'option "-generateRequest" pour que le certificat soit créé directement (sans passer par une autorité).

    Ensuite, le certificat devra être copié dans les autorités racines du serveur Exchange, et distribué à toutes les machines (clients ou serveurs) qui en auront besoin.

    Avec l'instruction "get-exchangecerticate" pour obtenir le "thumbprint", puis enable-ExchangeCertificate, vous pourrez activer les services sur ce nouveau certificat.

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:42
    mercredi 18 janvier 2012 12:41
    Modérateur

Toutes les réponses

  • Bonsoir,

    quand vous dites que l'autorité a bien été installée, vous voulez dire que le certificat de l'autorité est bien présent dans la ruche des autorités du serveur Exchange ?

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    samedi 14 janvier 2012 21:09
    Modérateur
  • Salut,

    Pour rappel, lors de l’installation d’Exchange 2007 et d’Exchange 2010, un certificat est automatiquement créé, c’est un certificat auto signé qui est utilisé par Exchange pour les services IIS / SMTP ou autres.

    donc ,  il faut acheté un certificat avec une authorité reconnu comme

    http://www.verisign.com/
    http://www.entrust.com/

    ou moins chère

    http://www.godaddy.com/

     

     

    walid

    mardi 17 janvier 2012 11:02
  • Bonjour,

    ou bien on peut créer son propre certificat sur Exchange, en y mettant tous les noms et les options nécessaires, puis en le déployant en tant qu'autorité sur toutes les machines du domaine.

    (Ce certificat aura une durée de vie de 5 ans).

    J'utilise ce système chez tous les clients lors de la plupart de mes migrations, en attendant qu'un certificat définitif (public) soit acheté. Certains s'en contentent très bien.

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 17 janvier 2012 13:00
    Modérateur
  • Bonjour,Essaye de générer un certificat en ligne de commande

    Pour commencer, il faut créer un fichier .inf : conservez ce fichier comme modèle, ça vous permettra de créer rapidement d'autres certificats. Voici le contenu de ce fichier que je nommerai server.inf.
    [Version] ; ne pas toucher a ces deux lignes
    Signature="$Windows NT$ ; meme si transformer windows nt en autre chose est tentant

    [NewRequest]
    Subject = "CN=server.mondomaine.adds" ; nom principal de votre certificat
    KeyLength = 1024 ; longueur de la cle, puissance de 2
    Exportable = FALSE ; cle privee exportable ou pas
    MachineKeySet = TRUE ; certificat ordinateur ou utilisateur
    PrivateKeyArchive = FALSE ; doit-on archiver la cle privee dans le kra
    KeyUsage = 0xa0 ; Digital Signature, Key Encipherment
    FriendlyName = "Serveur avec SSL" ; nom user-friendly qui permet de distinguer facilement le certificat

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; authentification serveur
    OID=1.3.6.1.5.5.7.3.2 ; authentification client

    [RequestAttributes]
    CertificateTemplate = WebServer ; modele de certificat, utile sur une autorite d'entreprise
    SAN="dns=altname1.mondomaine.adds&dns=server.votredomaine.fr" ; noms alternatifs, facultatif

    Une fois que votre fichier est créé, il faut générer la clé privée et la requête de création de certificat. Cela se fait avec la commande certreq :
    certreq -new server.inf server.req

    Le fichier .req contient la requête qu'il faut soumettre à votre autorité de certification avec la commande ci-dessous. Si l'autorité accepte votre demande, elle vous retournera un fichier .crt
    certreq -submit server.req server.crt

    Il ne vous restera plus qu'à associer le certificat à la clé privée en faisant :
    certreq -accept server.crt

    Et voilà :) C'est vraiment rapide une fois que votre fichier inf est créé et ça permet aussi d'automatiser une étape de plus lors du déploiement de serveurs :)

    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:41
    mardi 17 janvier 2012 17:53
  • Bonjour,

    la génération d'un certificat par Exchange est très facile !

    http://technet.microsoft.com/fr-fr/library/aa998327.aspx

    Dans la commande suivante (proposée sur l'URL ci-dessus),

    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -BinaryEncoded -PrivateKeyExportable $true

    Il suffit de retirer l'option "-generateRequest" pour que le certificat soit créé directement (sans passer par une autorité).

    Ensuite, le certificat devra être copié dans les autorités racines du serveur Exchange, et distribué à toutes les machines (clients ou serveurs) qui en auront besoin.

    Avec l'instruction "get-exchangecerticate" pour obtenir le "thumbprint", puis enable-ExchangeCertificate, vous pourrez activer les services sur ce nouveau certificat.

    A bientôt,

     


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:42
    mercredi 18 janvier 2012 12:41
    Modérateur
  • Bonjour,

     

    Merci c est cette méthode que j ai utilisé mais j ai eu un soucis avec le certificat rootca.crt que j ai résolu par la suite.

    mercredi 18 janvier 2012 14:29
  • Merci mon problème est résolu. j ai réinstallé le service autorité de certification. j ai créé un fichier plus ou moins identique à celui proposé par walidfat et je l ai publié sur exchange sans que le certificat soit auto signé.
    mercredi 18 janvier 2012 14:41
  • merci je testerai ce soir
    mercredi 18 janvier 2012 14:43