Import or install a certificate on an Exchange server

Pour activer le chiffrement pour un ou plusieurs services Exchange, le serveur Exchange doit utiliser un certificat. Les communications SMTP entre les serveurs Exchange internes sont chiffrées par le certificat auto-signé par défaut installé sur le serveur Exchange. Pour chiffrer les communications avec des clients internes ou externes, des serveurs ou des services, vous devrez probablement utiliser un certificat automatiquement approuvé par tous les clients, les services et les serveurs qui se connectent à votre organisation Exchange. Pour plus d'informations, consultez la rubrique relative aux Conditions requises les certificats des services Exchange.

Vous pouvez importer (installer) des certificats sur des serveurs Exchange dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell.

Voici les types de fichiers de certificat que vous pouvez importer sur un serveur Exchange :

• Fichiers de certificat PKCS #12 : il s’agit de fichiers de certificat binaires qui ont des extensions de nom de fichier .cer, .crt, .der, .p12 ou .pfx et qui nécessitent un mot de passe lorsque le fichier contient la clé privée ou la chaîne d’approbation. Ces types de fichiers peuvent être :

  • Certificats auto-signés qui ont été exportés à partir d’autres serveurs Exchange à l’aide du CAE ou de l’objet Export-ExchangeCertificate avec la valeur $truedu paramètre PrivateKeyExportable . Pour plus d'informations, consultez la rubrique Exporter un certificat à partir d'un serveur Exchange.

  • Des certificats délivrés par une autorité de certification interne (par les services de certificats Active Directory, par exemple) ou une autorité de certification commerciale.

  • Des certificats exportés à partir d'autres serveurs (Skype Entreprise Server, par exemple).

• Fichiers de certificat PKCS #7 : il s’agit de fichiers de certificat texte qui ont des extensions de nom de fichier .p7b ou .p7c. Ces fichiers contiennent le texte : -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- ou -----BEGIN PKCS7----- et -----END PKCS7-----. Une autorité de certification peut inclure un fichier de chaîne de certificats qui doit être installé en même temps que le fichier de certificat binaire.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée : 5 minutes.

• Dans le CAE, vous devez importer le fichier de certificat à partir d’un chemin d’accès UNC (\\<Server>\<Share>\ ou \\<LocalServerName>\c$\). Dans l'Environnement de ligne de commande Exchange Management Shell, vous pouvez spécifier un chemin d'accès local.

• Dans le CAE, vous pouvez importer le fichier de certificat sur plusieurs serveurs Exchange en même temps (étape 4 de la procédure).

• Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

• Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Utiliser le CAE pour importer un certificat sur un ou plusieurs serveurs Exchange

1. Ouvrez le Centre d’administration Exchange et accédez à Certificats de serveurs>.

2. Dans la liste Sélectionner un serveur , sélectionnez le serveur Exchange sur lequel vous souhaitez installer le certificat, cliquez sur l’icône Plus d’options, puis sélectionnez Importer le certificat Exchange.

3. L'Assistant Importer le certificat Exchange s'ouvre. Sur la page Cet Assistant importera un certificat à partir d'un fichier, entrez les informations suivantes :

   • Fichier à partir duquel importer : entrez le chemin d’accès UNC et le nom de fichier du certificat. Par exemple, \\FileServer01\Data\Fabrikam.cer

   • Mot de passe : si le fichier de certificat contient la clé privée ou la chaîne d’approbation, le fichier est protégé par un mot de passe. Entrez le mot de passe.

   Lorsque vous avez terminé, cliquez sur Suivant.

4. Dans la page Spécifier les serveurs auxquels vous souhaitez appliquer ce certificat , cliquez sur l’icône Ajouter

   Sur la page Sélectionner un serveur qui s'ouvre, sélectionnez le serveur Exchange où vous voulez installer le certificat, puis cliquez sur Ajouter - >. Répétez cette étape autant de fois que nécessaire. Lorsque vous avez terminé de sélectionner les serveurs, cliquez sur OK.

   Lorsque vous avez terminé, cliquez sur Terminer. Pour connaître la suite de la procédure, consultez la section Étapes suivantes.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour importer un certificat sur un serveur Exchange

Pour importer un fichier de certificat, utilisez la syntaxe suivante :

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Vous utilisez cette syntaxe avec les types de fichiers de certificat suivants :

• Fichiers de certificat binaires (fichiers PKCS #12 qui ont des extensions de nom de fichier .cer, .crt, .der, .p12 ou .pfx).
• Chaîne de fichiers de certificats (fichiers texte PKCS #7 qui ont des extensions de nom de fichier .p7b ou .p7c).

Cet exemple importe le fichier \\FileServer01\Data\Fabrikam.pfx de certificat protégé par le mot de passe P@ssw0rd1 sur le serveur Exchange local. Vous êtes invité à entrer le mot de passe.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

Cet exemple importe la chaîne de fichiers \\FileServer01\Data\Chain of Certificates.p7bde certificats .

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Import-ExchangeCertificate.

Remarques :

• Vous devez répéter cette procédure sur chaque serveur Exchange sur lequel vous souhaitez importer le certificat (exécutez la commande sur le serveur ou utilisez le paramètre Server ).
• Le paramètre FileData accepte les chemins d’accès locaux si le fichier de certificat se trouve sur le serveur Exchange sur lequel vous exécutez la commande et qu’il s’agit du même serveur que celui où vous souhaitez importer le certificat. Sinon, utilisez un chemin UNC.
• Si vous souhaitez pouvoir exporter le certificat à partir du serveur sur lequel vous l’importez, vous devez utiliser le paramètre PrivateKeyExportable avec la valeur $true.

Comment savoir si cela a fonctionné ?

Pour vérifier qu'un certificat a bien été importé (installé) sur un serveur Exchange, appliquez l'une des procédures suivantes :

• Dans le centre d’administration Exchange àl’adresse Certificats de serveurs>, vérifiez que le serveur sur lequel vous avez installé le certificat est sélectionné. Le certificat devrait figurer dans la liste des certificats avec l' étatValide.

• Dans l'Environnement de ligne de commande Exchange Management Shell du serveur sur lequel le certificat est installé, exécutez la commande suivante :

  Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
  

Prochaines étapes

Une fois le certificat installé sur le serveur, vous devez affecter le certificat à un ou plusieurs services Exchange avant que le serveur Exchange soit en mesure d'utiliser le certificat pour le chiffrement. Pour plus d’informations, consultez Attribuer des certificats à Exchange Server services.