Description du certificat auto-signé dans Exchange 2007

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2009-12-23

Un certificat numérique est un fichier électronique fonctionnant comme un mot de passe en ligne pour vérifier l'identité d'un utilisateur ou d'un ordinateur. Il permet également de créer un canal chiffré SSL utilisé pour les communications entre un serveur exécutant Microsoft Exchange et un ordinateur ou périphérique client. Un certificat numérique correspond à un relevé émis par une autorité de certification qui garantit l’identité du détenteur du certificat et permet des communications chiffrées.

Les certificats numériques effectuent les actions suivantes :

  • Ils attestent que leurs détenteurs — personnes, sites Web ou ressources réseau telles que les routeurs — sont véritablement ceux qu’ils prétendent être.

  • Ils protègent les données échangées en ligne contre le vol ou la falsification.

Ils peuvent être émis par une autorité de certification tierce approuvée ou un certificat d'infrastructure à clé publique (PKI) Microsoft Windows en utilisant les services de certificats, ou peuvent être auto-signés. Lors de l’installation du rôle serveur d’accès au client ou du rôle serveur de messagerie unifiée à l’aide d’Microsoft Exchange Server 2007, un certificat auto-signé est installé si aucun certificat numérique n’est présent. Ce document présente le certificat auto-signé dans Exchange 2007, ainsi que les cas propices à son utilisation.

Pour plus d'informations sur la sécurité du serveur d’accès au client Exchange 2007, consultez la rubrique Présentation du protocole SSL pour les serveurs d'accès au client.

Présentation du certificat auto-signé

Lorsque vous installez Exchange 2007 avec le rôle serveur d’accès au client, un certificat auto-signé est créé. Le certificat auto-signé a été conçu pour permettre de sécuriser les communications entre les serveurs Exchange 2007 au sein d’une entreprise et fournir une méthode provisoire de chiffrement des communications clientes jusqu’à obtention et installation d’un autre certificat. Le certificat auto-signé contient deux entrées Autre nom de l’objet : l’une pour le nom NetBIOS du serveur d’accès au client, et l’autre pour le nom de domaine complet (FQDN) du serveur d’accès au client. Bien que le certificat auto-signé puisse être utilisé pour chiffrer les communications entre un serveur d’accès au client et les autres rôles serveur d’Exchange Server 2007, nous déconseillons de l’utiliser pour les applications et périphériques clients. En raison des restrictions liées à un certificat auto-signé, il est recommandé de remplacer le certificat auto-signé par un certificat tiers approuvé ou un certificat signé par une infrastructure à clé publique (PKI) Windows.

Notes

Un certificat auto-signé est installé sur chaque rôle serveur Exchange 2007, à l’exception du rôle serveur de boîtes aux lettres.

Limites du certificat auto-signé

La liste suivante décrit certaines limites du certificat auto-signé.

  • Date d’expiration : Dans les versions d'Exchange 2007 antérieures à Exchange 2007 Service Pack 2 (SP2), le certificat auto-signé est valide pendant un an à partir de sa date de création. Dans Exchange 2007 SP2 ou dans les versions ultérieures, les certificats auto-signés sont valides pendant cinq ans à partir de leur date de création. Lorsque le certificat expire, un nouveau certificat auto-signé doit être généré manuellement à l’aide de la cmdlet New-ExchangeCertificate.

  • Outlook Anywhere : Le certificat auto-signé ne peut pas être utilisé avec Outlook Anywhere. Il est recommandé de se procurer un certificat à partir d'une PKI Windows ou auprès d'un tiers commercial approuvé si vous souhaitez utiliser Outlook Anywhere.

  • Exchange ActiveSync: Le certificat auto-signé ne permet pas de chiffrer des communications entre des périphériques Microsoft Exchange ActiveSync et le serveur Exchange. Il est recommandé de se procurer un certificat à partir d'une PKI Windows ou auprès d'un tiers commercial approuvé pour utiliser Exchange ActiveSync.

  • Outlook Web Access : les utilisateurs de Microsoft Outlook Web Access reçoivent une invite les informant que le certificat utilisé pour sécuriser Outlook Web Access n'est pas approuvé. Cette erreur survient car le certificat n’est pas validé par une autorité approuvée par le client. Les utilisateurs peuvent ignorer l’invite et utiliser le certificat auto-signé pour Outlook Web Access. Néanmoins, il est conseillé de se procurer un certificat à partir d'une PKI Windows ou auprès d'un tiers commercial approuvé.

Expiration de certificat

Dans les versions d'Exchange 2007 antérieures à Exchange 2007 SP2, le certificat auto-signé est valide pendant un an après l'installation du rôle serveur d'accès au client, ou pendant un an après sa création. Dans Exchange 2007 SP2 et dans les versions ultérieures, les certificats auto-signés sont valides pendant cinq ans à partir de leur date de création. Les composants internes qui dépendent des certificats auto-signés par défaut continuent à opérer après l'expiration de ces derniers. Toutefois, lorsque le certificat auto-signé a expiré, les événements suivants sont consignés dans l'Observateur d'événements :

Type d'événement : erreur

Source de l'événement : MSExchangeTransport

Catégorie d'événement : TransportService

ID de l'événement : 12014

Date : date

Heure : heure

Utilisateur : N/A

Ordinateur : Nom_serveur

Description :

Microsoft Exchange n'a pas pu trouver de certificat contenant le nom de domaine Nom_domaine dans le magasin personnel sur l'ordinateur local. Aussi, il ne peut pas prendre en charge le verbe SMTP STARTTLS pour le connecteur Serveur par défaut avec un paramètre de nom de domaine complet. Si le nom de domaine complet du connecteur n'est pas spécifié, celui de l'ordinateur est utilisé. Vérifiez la configuration du connecteur et les certificats installés pour vous assurer que ce nom de domaine complet est associé à un certificat disposant d'un nom de domaine. Si ce certificat existe, exécutez Enable-ExchangeCertificate -Services SMTP pour vous assurer que le service de transport Microsoft Exchange a accès à la clé du certificat.

Pour plus d'informations, consultez le centre d'aide et de support à l'adresse https://go.microsoft.com/fwlink/?LinkID=34258.

Type d'événement : avertissement

Source de l'événement : MSExchangeTransport

Catégorie d'événement : TransportService

ID de l'événement : 12015

Date : date

Heure : heure

Utilisateur : N/A

Ordinateur : Nom_serveur

Description :

Un certificat de transport interne a expiré.

Empreinte :Thumb_Print_Value

Pour plus d'informations, consultez le centre d'aide et de support à l'adresse https://go.microsoft.com/fwlink/?LinkID=34258.

Il est recommandé de renouveler les certificats auto-signés avant leur expiration. Vous pouvez utiliser l’environnement de ligne de commande Exchange Management Shell pour renouveler le certificat auto-signé en le dupliquant. La cmdlet Get-ExchangeCertificate permet de dupliquer le certificat pour obtenir l'empreinte du certificat actuel par défaut pour votre domaine.

Notes

Les cmdlets suivantes doivent être exécutées à partir du serveur d'accès au client Exchange 2007 local et ne peuvent pas être exécutées à distance.

Get-ExchangeCertificate -DomainName CAS01.contoso.com

Sous Services, sélectionnez le certificat contenant un « W » dans la liste de certificats. Par exemple, sélectionnez IP.WS. Le « W » indique que le certificat est affecté à IIS.

Pour dupliquer le certificat, exécutez la cmdlet suivante.

Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

Une nouvelle date d’expiration est ensuite indiquée sur le nouveau certificat dupliqué. Elle est fixée à un an après la date d’exécution de la cmdlet.

Quand utiliser le certificat auto-signé

Le certificat auto-signé peut être utilisé dans plusieurs protocoles et situations pour chiffrer les communications. Les clients Outlook appartenant au domaine peuvent utiliser le certificat auto-signé pour chiffrer des messages électroniques et les canaux de communication entre le client et le serveur Exchange. Comme mentionné précédemment, les utilisateurs d’Outlook Web Access peuvent également utiliser le certificat auto-signé pour chiffrer les canaux de communication. Le certificat auto-signé permet également de chiffrer les communications entre les serveurs d’accès au client de différents sites de service d’annuaire Active Directory. Ce scénario, connu sous le nom de transmission par proxy CAS-CAS, requiert une modification du Registre pour fonctionner correctement.

Utilisation du certificat auto-signé avec les clients Outlook 2007 appartenant au domaine

Le certificat auto-signé fonctionne correctement sans configuration supplémentaire pour les clients Microsoft Office Outlook 2007 appartenant au domaine. Ces clients peuvent se connecter sans recevoir d’avertissements de sécurité car les URL qu’ils utilisent pour se connecter au service de découverte automatique contiennent toutes le nom de domaine complet interne du serveur d’accès au client. Le certificat auto-signé possède un nom commun qui mappe vers le nom NetBIOS du serveur. Le certificat auto-signé comprend également le nom de domaine complet du serveur en tant que nom DNS supplémentaire enregistré dans le champ « Autre nom de l’objet » du certificat. Cela permet aux clients appartenant au domaine de se connecter au service de découverte automatique sans recevoir d’avertissements de certificat étant donné que le certificat n’a pas expiré et que le nom de domaine complet du serveur sur lequel vous êtes connecté est enregistré dans le champ « Autre nom de l’objet » du certificat. Bien que le client ne soit pas en mesure de valider le certificat auto-signé jusqu’au magasin de certificats racines approuvés, l’échec de cette validation est permis lorsque des clients appartenant au domaine se connectent au service de découverte automatique à l’aide du certificat auto-signé. Cependant, il n'est pas recommandé d’utiliser ce certificat auto-signé à long terme car il a initialement été conçu pour faciliter l’obtention d’urgence d’un certificat correct de sorte que les clients Outlook 2007 puissent immédiatement commencer à utiliser les fonctionnalités d’Exchange 2007.

Utilisation du certificat auto-signé dans le cadre d’une transmission par proxy

Vous devez effectuer plusieurs démarches avant de pouvoir utiliser correctement le certificat auto-signé afin de chiffrer les communications entre clients et serveurs dans le cadre d’une transmission par proxy. Pour plus d'informations sur la transmission par proxy, consultez la rubrique Présentation de la transmission par proxy et de la redirection.

Vous devez modifier le Registre pour pouvoir utiliser des certificats auto-signés dans le cadre d’une transmission par proxy. Vos client reçoivent une invite lorsqu’ils se connectent au serveur d’accès au client Exchange 2007 car le certificat auto-signé est considéré invalide par la plupart des applications clientes telles que Exchange ActiveSync et Microsoft Office Outlook 2007. Exchange ActiveSync et Outlook Web Access prennent en charge la transmission par proxy d’un serveur d’accès au client à l’autre. Pour que la transmission par proxy fonctionne lors de l'utilisation d'un certificat auto-signé, vous devez configurer les clés de Registre suivantes sur le serveur d'accès au client connecté à Internet.

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1

  • HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1

Ces clés de Registre permettent au serveur d’accès au client connecté à Internet de se connecter à un serveur d’accès au client non connecté à Internet à l’aide d’un certificat auto-signé installé sur le serveur d’accès au client non connecté à Internet. Si le serveur d’accès au client utilise un certificat auto-signé pour les communications clientes, toutes les restrictions précédemment mentionnées s’appliquent.

UNRESOLVED_TOKEN_VAL(exRegistry) 

Quand ne pas utiliser le certificat auto-signé

Bien que le certificat auto-signé puisse être utilisé avec des clients Microsoft Office Outlook 2007 appartenant au domaine et Outlook Web Access, son utilisation à long terme n'est pas recommandée, sauf dans le cadre du chiffrement des communications entre les serveurs Exchange 2007 de votre organisation. Cette recommandation vise à permettre la prise en charge d’un grand nombre des fonctionnalités du serveur d’accès au client, voire de toutes, telles que Exchange ActiveSync, Outlook Web Access et Outlook Anywhere. Vous obtenez ainsi un certificat auprès d'une PKI Windows ou d’une autorité de certification tierce approuvée et devez vérifier que ce certificat est importé dans le magasin de certificats racines approuvés de chaque ordinateur ou périphérique.

importantImportant :
Le certificat auto-signé n'est pas pris en charge pour une utilisation avec Outlook Anywhere ou Exchange ActiveSync.

Pour plus d'informations

Pour plus d'informations sur SSL, les certificats et Exchange 2007, consultez les rubriques suivantes :