none
Exchange 2010 - Windows 2008 R2 - Prob certificat Outlook Anywhere RRS feed

  • Question

  • Bonjour,

    J'ai installé un serveur Exchange 2010 sur un serveur 2008 R2. Tout fonctionne correctement, sauf Outlook Anywhere. Je peux me connecter à "Outlook Web app" . L'accès au mail sur le LAN se fait sans problème, auto-discover OK.

    J'ai installé le certificat sur le poste client mais lorsque je veux accèder à OWA j'ai toujours le message d'erreur vis à vis du certificat.

    J'ai configuré un compte Outlook pour utiliser RPC et voici ce que j'obtiens comme message d'erreur :

    "Un problème s'est produit au niveau du certificat du serveur proxy. Le certificat de sécurité n'émane pas d'un organisme de certification digne de confiance. outlook ne pas se connecter au serveur proxy mail.mondomaine.com (Code d'erreur 18)".

    J'ai procédé à un test "Exchange Remote Connectivity Analyzer" et voici ce que j'obtiens :

    Test de la connectivité RPC/HTTP.
      Échec du test RPC/HTTP.
     
    Étapes de test
     
    Tentative de résolution du nom d’hôte mondomaine.com dans DNS.
      Le nom d'hôte a été résolu correctement.
     
    Détails supplémentaires
      Adresses IP renvoyées : MOIPWAN
    Tester le port TCP 443 sur l’hôte mondomaine.com pour s’assurer qu’il écoute/est ouvert.
      Le port a été ouvert correctement.
    Test du certificat SSL pour confirmer sa validité.
      Échec du certificat SSL à une ou plusieurs vérification(s) de validation de certificat.
     
    Étapes de test
     
    Validation du nom du certificat
      La validation du nom de certificat a échoué.
       <label for="testSelectWizard_ctl12_ctl06_ctl02_ctl00_tmmArrow">En savoir plus sur ce problème et sa résolution. </label>
     
    Détails supplémentaires
      Le nom d'hôte mondomaine.com ne correspond à aucun nom trouvé sur le certificat du serveur CN=MONSERVEUR.

    Je vois bien où est le problème mais je ne vois pas trop comment le régler. Auriez vous des pistes?

    D'avance merci pour vos idées.

    Nusa

     

    • Modifié nusabeach mardi 18 janvier 2011 06:43
    lundi 17 janvier 2011 20:43

Réponses

  • Hello,

    N'installez (surtout) pas le rôle ADCS sur les serveurs Exchange mais sur une machine indépendante (typiquement VM). Je vous conseille de commander un certificat chez une autorité publique (rien à gérer à part le renouvellement du certificat dans un ou deux ans).

    Si toutefois vous souhaitez installer une autorité interne, voir http://technet.microsoft.com/en-us/library/cc756120(WS.10).aspx

    Mais conservez à l'esprit qu'il vous faudra gérer le renouvellement de votre certificat Exchange, un serveur en plus et toute la gestion du cycle de vie du certificat (gestion du certificat racine, gestion des CRLs, gestion des certificats clients,....). En plus, si vous partez sur une CA interne, les postes de travail devront faire confiance au certificat racine. Le sujet est vaste ;-)

    Voir http://msdn.microsoft.com/en-us/library/cc738131(v=ws.10).aspx

    A+


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 10:13

Toutes les réponses

  • Bonjour,

    quel est le type de certificat ? tu l'as généré ? un certificat acheté auprès d'une autorité publique (a priori je dirais non) ?

    par quel moyen publies tu Out Anywhere ? via UAG, via TMG ?

     

    sylvain


    Sylvain Cortes - MVP GPOs Weblog MVP: www.gpomasters.com Weblog Identity Management: www.identitycosmos.com Communauté Active Directory et Identity Management: www.cadim.org
    lundi 17 janvier 2011 22:07
  • Bonjour,

    Le certificat est auto-émis. pour la publication, j'ai ouvert le port 443 redirigé vers mon Exchange.

    Nusa

    mardi 18 janvier 2011 06:33
  • Hello,

    Outlook Anywhere ne fonctionne pas avec un certificat autosigné

    Voir http://technet.microsoft.com/fr-fr/library/bb851554(EXCHG.80).aspx

    " Outlook Anywhere : Le certificat auto-signé ne peut pas être utilisé avec Outlook Anywhere. Il est recommandé de se procurer un certificat à partir d'une PKI Windows ou auprès d'un tiers commercial approuvé si vous souhaitez utiliser Outlook Anywhere."

    Il faut utiliser un certificat public ou émis par une CA interne.

    A+


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 08:30
  • J'ai renouvelé mon certificat dans la console Exchange. Lorsque je me connecte en OWA, le changement de certifcat est bien pris en compte par contre je pense qu'il y a un problème : dans mon certificat, il n'est nul part fait mention de l'adresse mail.mondimaine.com, adresse public de OWA.

    De plus, je mon serveur utilise un certifcat auto-émis mais je ne vois pas de service d'autorité de certification. J'avoue être un peu perdu...

    Nusa

    mardi 18 janvier 2011 08:34
  • Hello,

    Pour les noms supplémentaires (SAN), vous pouvez utiliser le lien suivant

    https://www.digicert.com/easy-csr/exchange2007.htm

    Il vous permettra de générer votre demande de certificat en powershell et créera un fichier de demande de certificat.

    Pourquoi un fichier ? Ce fichier doit  être utilisé auprès d'une autorité interne ou externe pour demander un certificat. Ce ce certificat est ensuite à installer sur les CAS Exchange.

    Par rapport aux services de certificats Windows, c'est un rôle de 2008 / 2008 R2, il permet de fournir des certificats pour les serveurs web, les machines ou les utilisateurs. Si vous n'avez pas de compétences en interne PKI, il est recommandé de passer par une société tierce pour créer le certificat. Il faut dans ce cas un certificat de type communications unifiées.

    J'ai rédigé un article qui pourra, je l'espère, vous aider : http://aperico.wordpress.com/2010/06/28/faq-certificat-avec-exchange/

    Autre chose, pour vérifier les SANs d'un certificat web, il faut ouvrir le certificat, aller dans l'onglet Détails et regarder le contenu de la ligne Subject Alternative Names

    A+


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 08:49
  • Tout d'abord merci pour votre réponse.

    Cela confirme mes suppositions, à savoir : le certifcat SSL n'a pas d'enregistré l'adresse public OWA. Effectivement la ligne Subject Alternative Names ne me donne que l'adresse interne du serveur et non internet + public.

    J'ai bien généré mon fichier par contre comme dis précédemment, je ne semble pas avoir d'autorité de certification d'installée sur mon serveur.

    http://localhost/certsrv/

    Erreur 404

    Dois-je installer un nouveau rôle ou une nouvelle fonctionnalité sur mon serveur Exchange 2010?

    Nusa

    mardi 18 janvier 2011 09:48
  • Hello,

    N'installez (surtout) pas le rôle ADCS sur les serveurs Exchange mais sur une machine indépendante (typiquement VM). Je vous conseille de commander un certificat chez une autorité publique (rien à gérer à part le renouvellement du certificat dans un ou deux ans).

    Si toutefois vous souhaitez installer une autorité interne, voir http://technet.microsoft.com/en-us/library/cc756120(WS.10).aspx

    Mais conservez à l'esprit qu'il vous faudra gérer le renouvellement de votre certificat Exchange, un serveur en plus et toute la gestion du cycle de vie du certificat (gestion du certificat racine, gestion des CRLs, gestion des certificats clients,....). En plus, si vous partez sur une CA interne, les postes de travail devront faire confiance au certificat racine. Le sujet est vaste ;-)

    Voir http://msdn.microsoft.com/en-us/library/cc738131(v=ws.10).aspx

    A+


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 10:13
  • Je comprends bien que le certificat officiel serait la meilleure solution mais pour l'instant je voudrais allez jusqu'au bout de mon problème.

    Puis-je installer mon autorité de certification sur mon contrôleur de domaine?

    Nusa

    mardi 18 janvier 2011 10:35
  • Hello,

    Non pas sur un DC, ce n'est pas du tout Best Pratices car une fois que le rôle ADCS (certificate services) est installé, le nom d'une machine ainsi que son appartenance à un domaine ne peuvent être modifiés.

    A+


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 11:00
  • OK j'ai bien compris mais ce serveur ne bougera jamais, le DC. Je vais donc l'installer dessus. Par contre question : pourquoi ne pas installer l'autorité de certification sur le serveur Exchange?

    Nusa

    mardi 18 janvier 2011 12:30
  • Hello,

    Pour les mêmes raisons : incapacité à modifier le nom, l'appartenance,...

    Les serveurs CA sont censés être plus sécurisés que les autres, certains peuvent être en mode offline. Ces sont les meilleurs candidats à la virtualisation car en plus le rôle ADCS n'est pas très gourmand.

    Voir les Best Pratices PKI pour 2003 : http://technet.microsoft.com/en-us/library/cc772670(WS.10).aspx

    A+

     


    Arthur http://aperico.wordpress.com
    mardi 18 janvier 2011 13:12
  • Nusa,

    J'ajouterais, en plus des bonnes raisons déjà données, que l'installation du rôle AD CS sur le serveur Exchange compliquerait d'éventuelles tentatives de dépannage. Vous auriez des services et des processus additionnels qui s'exécutent en arrière-plan, tout cela sans aucun avantage pour vous, car, sans compter le renouvellement du certificat tous les X ans, ce rôle n'accomplirait probablement rien d'autre.

    En mettant sur pied une configuration tellement atypique, vous auriez, en cas de pépin, moins de chance de trouver des solutions proposées dans des forums comme celui-ci par des personnes ayant fait la même expérience.

    A moins d'avoir besoin de certificats pour d'autres raisons (authentification VPN, réseau sans fil, etc.), mettre en place sa propre PKI ne vaudrait sans doute pas la peine. Demander un certficat à une autorité extérieure, puis le renouveler tous les ans, serait plus simple et plus efficace.   

    mardi 18 janvier 2011 21:16