none
[exchange 2010] Probleme de certificat non auto signer. RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

     

     

     

    bonjour,

     j'essaie de générer un certificat


     j ai suivi le tuto de Michael [URL="http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/?page=page_6#LVI-C"]http://mtodorovic.developpez.com/tutoriels/windows/installation-configuration-exchange-2010/?page=page_6#LVI-C[/URL] mais je bloques au niveau des certificats.

    certreq -new exchange.mondomaine.fr.inf exchange.mondomaine.fr.req
certreq -submit exchange.mondomaine.fr.req exchange.mondomaine.fr.crt
certreq -accept exchange.mondomaine.fr.crt



    j'ai bien installer l'autorité de certification mais quand je fais

    certreq -submit exchange.mondomaine.fr.req exchange.mondomaine.fr.crt



    j ai ce message erreur.....

    "Processeur de demande de certificat: Une chaîne de certificats a été traitée mai
    s s'est terminée par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation. 0x800b0109 (-2146762487)"
    .
    Je rappel le but la manœuvre est d'avoir un certificat dans exchange qui ne soit pas auto-signé.
    Merci d'avance pour vos réponses
    • Modifié Djthoz91 samedi 14 janvier 2012 18:18
    samedi 14 janvier 2012 18:14
    |

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,Essaye de générer un certificat en ligne de commande

    Pour commencer, il faut créer un fichier .inf : conservez ce fichier comme modèle, ça vous permettra de créer rapidement d'autres certificats. Voici le contenu de ce fichier que je nommerai server.inf.
    [Version] ; ne pas toucher a ces deux lignes
    Signature="$Windows NT$ ; meme si transformer windows nt en autre chose est tentant

    [NewRequest]
    Subject = "CN=server.mondomaine.adds" ; nom principal de votre certificat
    KeyLength = 1024 ; longueur de la cle, puissance de 2
    Exportable = FALSE ; cle privee exportable ou pas
    MachineKeySet = TRUE ; certificat ordinateur ou utilisateur
    PrivateKeyArchive = FALSE ; doit-on archiver la cle privee dans le kra
    KeyUsage = 0xa0 ; Digital Signature, Key Encipherment
    FriendlyName = "Serveur avec SSL" ; nom user-friendly qui permet de distinguer facilement le certificat

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; authentification serveur
    OID=1.3.6.1.5.5.7.3.2 ; authentification client

    [RequestAttributes]
    CertificateTemplate = WebServer ; modele de certificat, utile sur une autorite d'entreprise
    SAN="dns=altname1.mondomaine.adds&dns=server.votredomaine.fr" ; noms alternatifs, facultatif

    Une fois que votre fichier est créé, il faut générer la clé privée et la requête de création de certificat. Cela se fait avec la commande certreq :
    certreq -new server.inf server.req

    Le fichier .req contient la requête qu'il faut soumettre à votre autorité de certification avec la commande ci-dessous. Si l'autorité accepte votre demande, elle vous retournera un fichier .crt
    certreq -submit server.req server.crt

    Il ne vous restera plus qu'à associer le certificat à la clé privée en faisant :
    certreq -accept server.crt

    Et voilà :) C'est vraiment rapide une fois que votre fichier inf est créé et ça permet aussi d'automatiser une étape de plus lors du déploiement de serveurs :)

    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:41
    mardi 17 janvier 2012 17:53
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    la génération d'un certificat par Exchange est très facile !

    http://technet.microsoft.com/fr-fr/library/aa998327.aspx

    Dans la commande suivante (proposée sur l'URL ci-dessus),

    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -BinaryEncoded -PrivateKeyExportable $true

    Il suffit de retirer l'option "-generateRequest" pour que le certificat soit créé directement (sans passer par une autorité).

    Ensuite, le certificat devra être copié dans les autorités racines du serveur Exchange, et distribué à toutes les machines (clients ou serveurs) qui en auront besoin.

    Avec l'instruction "get-exchangecerticate" pour obtenir le "thumbprint", puis enable-ExchangeCertificate, vous pourrez activer les services sur ce nouveau certificat.

    A bientôt,

     

    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:42
    mercredi 18 janvier 2012 12:41
    |
    Modérateur

Toutes les réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonsoir,

    quand vous dites que l'autorité a bien été installée, vous voulez dire que le certificat de l'autorité est bien présent dans la ruche des autorités du serveur Exchange ?

    A+

    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    samedi 14 janvier 2012 21:09
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Salut,

    Pour rappel, lors de l’installation d’Exchange 2007 et d’Exchange 2010, un certificat est automatiquement créé, c’est un certificat auto signé qui est utilisé par Exchange pour les services IIS / SMTP ou autres.

    donc ,  il faut acheté un certificat avec une authorité reconnu comme

    http://www.verisign.com/
    http://www.entrust.com/

    ou moins chère

    http://www.godaddy.com/

     

     

    walid

    mardi 17 janvier 2012 11:02
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    salut

    ou je te conseille de voir ce lien :

    http://unifiedit.wordpress.com/2009/12/03/exchange-2010-et-la-gestion-des-certificats/

    Walid

    mardi 17 janvier 2012 11:03
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    ou bien on peut créer son propre certificat sur Exchange, en y mettant tous les noms et les options nécessaires, puis en le déployant en tant qu'autorité sur toutes les machines du domaine.

    (Ce certificat aura une durée de vie de 5 ans).

    J'utilise ce système chez tous les clients lors de la plupart de mes migrations, en attendant qu'un certificat définitif (public) soit acheté. Certains s'en contentent très bien.

    A+

    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mardi 17 janvier 2012 13:00
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,Essaye de générer un certificat en ligne de commande

    Pour commencer, il faut créer un fichier .inf : conservez ce fichier comme modèle, ça vous permettra de créer rapidement d'autres certificats. Voici le contenu de ce fichier que je nommerai server.inf.
    [Version] ; ne pas toucher a ces deux lignes
    Signature="$Windows NT$ ; meme si transformer windows nt en autre chose est tentant

    [NewRequest]
    Subject = "CN=server.mondomaine.adds" ; nom principal de votre certificat
    KeyLength = 1024 ; longueur de la cle, puissance de 2
    Exportable = FALSE ; cle privee exportable ou pas
    MachineKeySet = TRUE ; certificat ordinateur ou utilisateur
    PrivateKeyArchive = FALSE ; doit-on archiver la cle privee dans le kra
    KeyUsage = 0xa0 ; Digital Signature, Key Encipherment
    FriendlyName = "Serveur avec SSL" ; nom user-friendly qui permet de distinguer facilement le certificat

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; authentification serveur
    OID=1.3.6.1.5.5.7.3.2 ; authentification client

    [RequestAttributes]
    CertificateTemplate = WebServer ; modele de certificat, utile sur une autorite d'entreprise
    SAN="dns=altname1.mondomaine.adds&dns=server.votredomaine.fr" ; noms alternatifs, facultatif

    Une fois que votre fichier est créé, il faut générer la clé privée et la requête de création de certificat. Cela se fait avec la commande certreq :
    certreq -new server.inf server.req

    Le fichier .req contient la requête qu'il faut soumettre à votre autorité de certification avec la commande ci-dessous. Si l'autorité accepte votre demande, elle vous retournera un fichier .crt
    certreq -submit server.req server.crt

    Il ne vous restera plus qu'à associer le certificat à la clé privée en faisant :
    certreq -accept server.crt

    Et voilà :) C'est vraiment rapide une fois que votre fichier inf est créé et ça permet aussi d'automatiser une étape de plus lors du déploiement de serveurs :)

    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:41
    mardi 17 janvier 2012 17:53
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Merci de nous tenir au courant.

    Cordialement,

    Roxana

    Roxana PANAIT, MSFT       Join TechNetFr on Viadeo   Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    mercredi 18 janvier 2012 08:27
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    la génération d'un certificat par Exchange est très facile !

    http://technet.microsoft.com/fr-fr/library/aa998327.aspx

    Dans la commande suivante (proposée sur l'URL ci-dessus),

    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES, o=Woodgrove Bank, cn=mail1.woodgrovebank.com" -DomainName woodgrovebank.com, example.com -BinaryEncoded -PrivateKeyExportable $true

    Il suffit de retirer l'option "-generateRequest" pour que le certificat soit créé directement (sans passer par une autorité).

    Ensuite, le certificat devra être copié dans les autorités racines du serveur Exchange, et distribué à toutes les machines (clients ou serveurs) qui en auront besoin.

    Avec l'instruction "get-exchangecerticate" pour obtenir le "thumbprint", puis enable-ExchangeCertificate, vous pourrez activer les services sur ce nouveau certificat.

    A bientôt,

     

    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    • Marqué comme réponse Djthoz91 mercredi 18 janvier 2012 14:42
    mercredi 18 janvier 2012 12:41
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

     

    Merci c est cette méthode que j ai utilisé mais j ai eu un soucis avec le certificat rootca.crt que j ai résolu par la suite.

    mercredi 18 janvier 2012 14:29
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter
    Merci mon problème est résolu. j ai réinstallé le service autorité de certification. j ai créé un fichier plus ou moins identique à celui proposé par walidfat et je l ai publié sur exchange sans que le certificat soit auto signé.
    mercredi 18 janvier 2012 14:41
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter
    merci je testerai ce soir
    mercredi 18 janvier 2012 14:43
    |
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Nous vous remercions pour votre retour J

    Cordialement,

    Roxana

    Roxana PANAIT, MSFT       Join TechNetFr on Viadeo   Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    jeudi 19 janvier 2012 07:27
    |