Sécurité des périphériques mobiles et Exchange 2007

  • Article

 

Dernière rubrique modifiée : 2008-01-23

Microsoft Exchange Server 2007 utilise le protocole SSL (Secure Sockets Layer) pour accroître la sécurité entre les clients et le serveur Exchange. Par défaut, Exchange ActiveSync, Office Outlook Web Access et Outlook Anywhere utilisent SSL. Si vous activez POP3 et IMAP4, vous pouvez également configurer SSL pour ces protocoles.

Pour utiliser SSL avec Exchange ActiveSync, vous devez avoir un certificat SSL sur le serveur d'accès au client et le périphérique mobile utilisé. L'installation d'un certificat SSL sur un ordinateur Exchange 2007 exécutant le rôle serveur d'accès au client est simple. Toutefois, l'installation d'un certificat SSL sur le périphérique mobile est un peu plus délicate. Tous les périphériques ne prennent pas en charge tous les types de certificats. Outre l'utilisation de SSL pour chiffrer les communications entre le périphérique mobile et le serveur d'accès au client, vous pouvez utiliser un certificat numérique pour l'authentification basée sur les certificats avec Exchange ActiveSync. Cet article décrit la procédure d'utilisation d'un certificat SSL pour accroître la sécurité pour les communications Exchange ActiveSync entre les périphériques mobiles et le serveur Exchange. Il explique également la différence entre le chiffrement utilisant SSL et le chiffrement utilisant des certificats numériques pour l'authentification.

Authentification SSL et authentification basée sur les certificats

Le certificat numérique a deux utilisations principales : le chiffrement des canaux de communication entre le client et le serveur et l'authentification.

Lorsqu'un certificat numérique est utilisé pour chiffrer le canal de communication entre le client et le serveur, la clé publique du certificat du serveur permet de chiffrer les données avant leur transmission. Lorsque le client reçoit les données, sa clé privée permet de les déchiffrer.

L'authentification est le processus par lequel un client et un serveur vérifient leurs identités pour la transmission de données. Dans Exchange 2007, l'authentification permet de déterminer si un utilisateur ou un client souhaitant communiquer avec le serveur Exchange est ce qu'il prétend être. Cette authentification permet de vérifier qu'un périphérique appartient à un individu spécifique. Par défaut, Exchange ActiveSync utilise l'authentification de base Toutefois, vous pouvez passer à une méthode d'authentification basée sur les certificats en modifiant la méthode d'authentification dans le répertoire virtuel Exchange ActiveSync. Pour plus d'informations sur l'authentification basée sur les certificats, consultez la rubrique Choix d'une méthode d'authentification pour ActiveSync.

Installation d'un certificat SSL sur un serveur d'accès au client

Par défaut, lorsque vous installez le rôle serveur d'accès au client sur un ordinateur exécutant Exchange 2007, un répertoire virtuel pour Exchange ActiveSync est créé sur le site Web des services Internet (IIS) par défaut sur le serveur Exchange.

Le répertoire virtuel Microsoft-Server-ActiveSync est automatiquement configuré pour utiliser SSL. Il est déconseillé de modifier ce paramètre. Par défaut, un certificat SSL auto-signé est installé sur le serveur d'accès au client. Toutefois, Exchange ActiveSync ne peut pas utiliser le certificat auto-signé pour chiffrer les communications entre un périphérique mobile et le serveur Exchange. Vous devez installer et configurer un certificat basé sur l'infrastructure à clé publique Windows ou un certificat tiers approuvé avant de pouvoir utiliser SSL avec Exchange ActiveSync.

Procédure de configuration d'Exchange ActiveSync pour utiliser SSL

La seule procédure à suivre sur le serveur d'accès au client pour qu'Exchange ActiveSync utilise SSL consiste à installer un certificat SSL sur le serveur. Cette procédure varie légèrement selon que vous utilisiez un certificat tiers approuvé ou un certificat d’infrastructure à clé publique Windows. Pour plus d'informations sur la procédure de configuration d'un certificat d’infrastructure à clé publique Windows ou sur la procédure d'obtention d'un certificat d'un tiers approuvé, consultez la rubrique Présentation du protocole SSL pour les serveurs d'accès au client.

Procédure de configuration des clients Exchange ActiveSync pour utiliser SSL

Outre l'obtention d'un certificat d’infrastructure à clé publique ou d'un certificat tiers approuvé, vous devez également configurer vos périphériques clients Exchange ActiveSync pour utiliser SSL. Exchange ActiveSync ne prend pas en charge l'utilisation d'un certificat auto-signé pour se connecter à Exchange 2007. Un périphérique mobile doit être capable de valider un certificat numérique via sa chaîne complète. Une chaîne de certificat est constituée de tous les certificats nécessaires à la certification de l'objet identifié par le certificat de fin. Ceci comprend le certificat de fin, tout certificat d'autorité de certification intermédiaire et le certificat racine. Chaque autorité de certification intermédiaire de la chaîne contient un certificat émis par l'autorité de certification du niveau supérieur. Un certificat auto-signé ne peut pas être validé via la chaîne complète.

Avant de pouvoir utiliser un certificat d'infrastructure à clés publiques Windows avec Exchange ActiveSync, le périphérique doit autoriser l'installation d'un certificat numérique dans le magasin de certificats personnel du périphérique. Les périphériques Windows Mobile 6.0 prennent en charge ceci. Toutefois, ce n'est pas le cas de tous les périphériques. Pour déterminer si votre périphérique prend en charge l'installation de certificats, consultez la documentation relative au périphérique.

Il est recommandé d'utiliser un certificat émanant d'une autorité de certification approuvée pour Exchange ActiveSync. Le magasin de certificats racines approuvés des périphériques Windows Mobile inclut certains des certificats tiers approuvés les plus courants. Si un certificat tiers approuvé n'est pas préinstallé sur le périphérique mobile, vous devez déterminer si celui-ci prend en charge l'installation de certificats.

Si vous devez installer une copie du certificat SSL sur votre périphérique Windows Mobile, procédez comme suit.

Enregistrement d'un certificat dans un fichier

  1. Sur le serveur d'accès au client, dans le Gestionnaire des services Internet, cliquez avec le bouton droit sur Site Web par défaut ou sur le répertoire virtuel Microsoft-Server-ActiveSync, puis cliquez sur Propriétés.

  2. Cliquez sur l'onglet Sécurité de répertoire.

  3. Sous Communications sécurisées, cliquez sur Afficher le certificat.

  4. Dans la boîte de dialogue Certificat, cliquez sur l'onglet Détails.

  5. Cliquez sur Copier dans le fichier.

  6. Dans l’Assistant Exportation de certificat, cliquez sur Suivant.

  7. Sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.

  8. Sélectionnez Certificat X.509 codé DER binaire (.CER), puis cliquez sur Suivant.

  9. Tapez le nom du fichier, cliquez sur Suivant, puis sur Terminer.

Si vous avez enregistré votre certificat dans un fichier, vous pouvez l'installer sur votre périphérique. La procédure d'installation du certificat sur votre périphérique varie en fonction du système d'exploitation du périphérique. Choisissez la procédure correspondant au système d'exploitation du périphérique.

Utilisation du Gestionnaire pour appareils Windows Mobile pour installer un certificat sur un périphérique Windows Mobile 5.0 ou Windows Mobile 6.0

  1. Dans le Gestionnaire pour appareils Windows Mobile, cliquez sur Gestion de fichier, puis sur Parcourir le contenu de votre périphérique.

  2. Faites glisser le fichier .cer créé dans la procédure précédente dans un répertoire du périphérique.

  3. Sur le périphérique, cliquez sur Démarrer, puis sur Explorateur de fichiers.

  4. Localisez le répertoire que vous avez sélectionné à l’étape 2.

  5. Ouvrez le fichier .cer et, lorsque vous y êtes invité, cliquez sur Oui.

De nombreux périphériques Windows Mobile 5.0 implémentent une stratégie de sécurité empêchant l'installation de fichiers de certificat directement à partir d'un fichier .cer. Si la procédure précédente échoue, utilisez la procédure suivante.

Utilisation de l'outil SmartPhoneAddCert pour installer un certificat sur un périphérique Windows Mobile 5.0

  1. Téléchargez l'outil SmartPhoneAddcert.exe.

    Notes

    Certains opérateurs mobiles proposent une version signée de cet outil. Si une version signée est disponible pour votre périphérique, téléchargez-la à partir de votre opérateur mobile.

  2. Exécutez SmartPhoneAddCert.exe et extrayez le contenu dans un dossier sur votre ordinateur.

  3. Copiez SmartPhoneAddCert.exe sur votre périphérique via ActiveSync de bureau ou à partir du Gestionnaire pour appareils Windows Mobile.

  4. Sur votre bureau, créez un dossier nommé Stockage.

  5. Copiez le fichier .cer dans le dossier Stockage sur le périphérique.

  6. Exécutez SmartPhoneAddCert.exe. Sélectionnez le fichier .cer que vous avez copié dans le dossier Stockage pour installer le certificat.

Notes

Si vous créez un fichier .cab incluant le fichier .cer, vous pouvez également copier ce fichier .cab sur votre périphérique, puis exécutez le fichier .cab pour installer le certificat.

Pour plus d'informations

Pour plus d'informations sur la configuration de vos périphériques mobiles en vue de les synchroniser avec Exchange 2007 et pour obtenir la procédure détaillée de configuration de SSL pour les périphériques Windows Mobile, consultez la page Web relative au Gestionnaire pour appareils Windows Mobile.