none
Certificat Wildcard Exchange RRS feed

  • Question

  • Notre certificat de domaine arrive à expiration prochainement.
    Il s'agit d'une infra possedant les caractistiques suivantes :
    Serveur Exchange 2010 / Reverse Proxy Windows 2012R2 et serveur AD FS reverse proxy
    Clients Outlook 2010/2016
    Flotte mobiles Samsung et iPhone.

    J'ai compris que nous aurons à réinstaller le certifcat sur le serveur Exchange et AD FS.
    La mise du nouveau certificat sera t-elle transparente pour les utilisateurs mobiles et Outlook ?


    Merci pour votre aide.



    lundi 16 septembre 2019 14:17

Toutes les réponses

  • Bonjour,

    En principe oui. Il m'arrive de faire cette modification assez fréquemment en production (sans ADFS) et cela est transparent si c'est fait avant l'expiration.

    Toutefois, avec ADFS, je ne peux pas vous le certifier. La différence étant que pendant un court instant, le certificat du serveur Exchange et de l'AD FS seront différents. Quelqu'un d'autre devrait être en mesure de vous apporter plus d'aide sur ce sujet :)

    Bien sur, si vous attendez l'expiration du certificat, l'opération ne sera pas transparente du tout. Il est donc nécessaire de renouveler les certificat en amont de la date d'expiration.

    Sur les clients, aucune manipulation n'est nécessaire tant que l’autorité qui délivre le nouveau certificat est reconnu. C'est le point sur lequel il faut redoubler de vigilance notament lorsqu'on achette des certificat low cost.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    lundi 16 septembre 2019 14:39
  • Bonjour, 

    un guide qui peut vous aidez dans la process de renouvellement du certificat au niveau Adfs :

    https://blogs.technet.microsoft.com/rmilne/2016/03/21/updating-windows-server-2012-r2-adfs-ssl-and-service-certificates/


    Vote or mark as answer if you think useful

    lundi 16 septembre 2019 15:20
  • Bonjour,

    En complément des réponses déjà données :

    • S'il s'agit d'un certificat émis par une autorité de certification de confiance (Symantec, Verisign....) : l'opération sera forcément transparente, car l'équipement utilisateur possède les certificats racine de ces sociétés
    • S'il s'agit d'un certificat émis par votre propre autorité : l'opération sera transparente si le certificat racine de votre autorité n'a pas encore expiré
    • Si le renouvellement a lieu après l'expiration, les équipements utilisateur afficheront des erreurs de certificat tant que le renouvellement ne sera pas fait.

    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    mardi 17 septembre 2019 07:04
  • Bonjour,

    Même avec le même certificat - juste mis à jour - ca sera transparent.

    Ceci dit,il est possible que quelques smartphones arrêtes la synchro. un restart de ce smartphone est nécessaire. (ca m'arrive de temps en temps, je dirais 0-5 % des smartphone)

    Pour l'adfs, faire attention à la procédure. surtout sur le WAP.

    Olivier

    lundi 23 septembre 2019 07:11
  • Bonjour,

    Finalement il s'agit d'un nouveau certificat à déployé.

    J'ai procédé à son installation sur le serveur Exchange ainsi que le WAP.

    Déclarer les IIS et SMTP depuis la console Exchange, cela à désactiver l'ancien.

    En revanche j'ai toujours l'ancien certificat SSL dans le navigateur web actif.

    Ai-je manqué quelque chose ?

    Merci


    mercredi 9 octobre 2019 14:49
  • Merci
    mercredi 9 octobre 2019 14:50
  • Bonjour,

    "Déclarer les IIS et SMTP depuis la console Exchange, cela à désactiver l'ancien"<= C'est à dire ? Via la commande Enable-ExchangeCertificate ?

    "En revanche j'ai toujours l'ancien certificat SSL dans le navigateur web actif"<= Si tel est le cas, c'est que la modification n'a pas été effectuée convenablement :

    Get-ExchangeCertificate
    Enable-ExchangeCertificate –Thumbprint 1234512345123451234512345123451234512345 –Services "IIS, SMTP, POP, IMAP"
    Restart-Service W3SVC


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    jeudi 10 octobre 2019 06:24
  • Bonjour,


    C'est normal que cela désactive des anciens certificats ces services.

    Je pense que côté ADFS/WAP il est également nécessaire de renouveller le certificat...

    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 10 octobre 2019 06:29