Renouveler un certificat Exchange Server

  • Article

Chaque certificat a une date d'expiration prédéfinie. Dans Exchange Server, le certificat auto-signé par défaut installé sur le serveur Exchange expire 5 ans après l’installation d’Exchange sur le serveur. Vous pouvez utiliser le Centre d'administration Exchange (CAE) ou l'Environnement de ligne de commande Exchange Management Shell pour renouveler les certificats Exchange. Vous pouvez le faire pour les certificats Exchange auto-signés et pour les certificats signés par une autorité de certification.

Remarque

Les tâches de gestion des certificats sont supprimées du CAE pour Exchange Server 2016 CU23 et Exchange Server 2019 CU12. Utilisez la procédure Exchange Management Shell pour exporter/importer le certificat à partir de ces versions.

Ce qu'il faut savoir avant de commencer

  • Durée d’exécution estimée : 5 minutes

  • Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

  • Pour les certificats délivrés par une autorité de certification, vérifiez les conditions requises par l'autorité de certification pour effectuer une demande de certificat. Exchange génère un fichier de requête (.req) PKCS #10 qui utilise le codage Base64 (par défaut) ou DER (Distinguished Encoding Rules), avec une clé publique RSA de 1024, 2048 (par défaut) ou 4096 bits. Les options de codage et de clé publique sont uniquement disponibles dans l'Environnement de ligne de commande Exchange Management Shell.

  • Pour renouveler un certificat délivré par une autorité de certification, vous devez renouveler le certificat auprès de l'autorité de certification qui a délivré le certificat. Si vous changez d'autorité de certification ou s'il existe un problème avec le certificat d'origine lors du renouvellement, vous devez effectuer une nouvelle demande de certificat (également appelée « demande de signature de certificat ») pour obtenir un nouveau certificat. Pour plus d’informations, consultez Créer une demande de certificat Exchange Server pour une autorité de certification.

  • Si vous renouvelez ou remplacez un certificat émis par une autorité de certification sur un serveur de transport Edge abonné, vous devez supprimer l'ancien certificat, puis supprimer et recréer l'abonnement Edge. Pour plus d'informations, consultez la section Processus d'abonnement Edge.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Renouveler un certificat délivré par une autorité de certification

Les procédures utilisées pour renouveler un certificat délivré par une autorité de certification interne (par les services de certificats Active Directory, par exemple) ou une autorité de certification commerciale sont les mêmes.

Pour renouveler un certificat délivré par une autorité de certification, créez une demande de renouvellement de certificat, puis envoyez-la à l'autorité de certification. L'autorité de certification vous envoie ensuite le fichier de certificat à installer sur le serveur Exchange. Cette procédure est comparable à la procédure de formulation d'une nouvelle demande de certificat en installant le certificat sur le serveur. Pour obtenir des instructions, consultez Terminer une demande de certificat Exchange Server en attente.

Utiliser le CAE pour créer une demande de renouvellement de certificat pour une autorité de certification

  1. Ouvrez le Centre d’administration Exchange et accédez à Certificats de serveurs>.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat à renouveler.

  3. Tous les certificats valides sont accompagnés d'un lien Renouveler dans le volet d'informations qui apparaît quand vous sélectionnez le certificat dans la liste. Sélectionnez le certificat à renouveler, puis cliquez sur Renouveler dans le volet d'informations.

  4. Sur la page Renouveler le certificat Exchange qui s'ouvre, dans le champ Enregistrer la demande de certificat dans le fichier suivant, entrez le chemin d'accès UNC et le nom du nouveau fichier de demande de renouvellement de certificat. Par exemple : \\FileServer01\Data\ContosoCertRenewal.req. Lorsque vous avez terminé, cliquez sur OK.

La demande de certificat s'affiche dans la liste des certificats Exchange avec l'état En attente.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer une demande de renouvellement de certificat pour une autorité de certification

Pour créer une demande de renouvellement de certificat pour une autorité de certification, utilisez la syntaxe suivante :

  • Si vous devez envoyer le contenu du fichier de demande de renouvellement de certificat à l’autorité de certification, utilisez la syntaxe suivante pour créer un fichier de demande encodé en Base64 :

    $txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

  • Si vous devez envoyer le fichier de demande de renouvellement de certificat à l’autorité de certification, utilisez la syntaxe suivante pour créer un fichier de demande encodé DER :

    $binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)

Pour trouver la valeur d'empreinte numérique du certificat à renouveler, exécutez la commande suivante :

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-ExchangeCertificate et New-ExchangeCertificate.

Remarques :

  • Si vous n’utilisez pas le paramètre KeySize , la demande de certificat a une clé publique RSA de 2 048 bits.
  • Si vous n’utilisez pas le paramètre Server , la commande exécute le serveur Exchange local.

Cet exemple crée une demande de renouvellement de certificat codé en Base64 pour le certificat existant avec la valeur 5DB9879E38E36BCB60B761E29794392B23D1C054Thumbprint :

$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Cet exemple crée une demande de renouvellement de certificat encodé DER (binaire) pour le même certificat :

$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)

Comment savez-vous que vous avez correctement créé une demande de renouvellement de certificat ?

Pour vérifier qu'une demande de renouvellement de certificat pour une autorité de certification a bien été créée, effectuez l'une des opérations suivantes :

  • Dans le centre d’administration Exchange surCertificats de serveurs>, vérifiez que le serveur sur lequel vous avez stocké la demande de certificat est sélectionné. La demande devrait figurer dans la liste des certificats avec l' étatDemande en attente.

  • Dans l'Environnement de ligne de commande Exchange Management Shell du serveur où se trouve la demande de certificat, exécutez la commande suivante :

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Renouveler un certificat Exchange auto-signé

Lorsque vous renouvelez un certificat Exchange auto-signé, vous créez un certificat.

Utiliser le CAE pour renouveler un certificat Exchange auto-signé

  1. Ouvrez le Centre d’administration Exchange et accédez à Certificats de serveurs>.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat à renouveler.

  3. Tous les certificats valides sont accompagnés d'un lien Renouveler dans le volet d'informations qui apparaît quand vous sélectionnez le certificat dans la liste. Sélectionnez le certificat à renouveler, puis cliquez sur Renouveler dans le volet d'informations.

  4. Sur la page Renouveler le certificat Exchange qui s'ouvre, vérifiez la liste en lecture seule des services Exchange à laquelle le certificat existant est affecté, puis cliquez sur OK.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour renouveler un certificat Exchange auto-signé

Pour renouveler un certificat auto-signé, utilisez la syntaxe suivante :

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

Pour trouver la valeur d'empreinte numérique du certificat à renouveler, exécutez la commande suivante :

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Cet exemple renouvelle un certificat auto-signé sur le serveur Exchange local et utilise les paramètres suivants :

  • La valeur d’empreinte numérique du certificat auto-signé existant à renouveler est BC37CBE2E59566BFF7D01FEAC9B6517841475F2D
  • Le commutateur Force remplace le certificat auto-signé d’origine sans invite de confirmation.
  • La clé privée est exportable. Ainsi, vous pouvez exporter le certificat et l'importer sur d'autres serveurs.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Comment savez-vous que vous avez réussi à renouveler un certificat auto-signé Exchange ?

Pour vérifier qu'un certificat Exchange auto-signé a bien été renouvelé, appliquez l'une des procédures suivantes :

  • Dans le centre d’administration Exchange àl’adresse Certificats de serveurs>, vérifiez que le serveur sur lequel vous avez installé le certificat est sélectionné. Dans la liste des certificats, vérifiez que le certificat a l' étatValide.

  • Dans l'Environnement de ligne de commande Exchange Management Shell du serveur où le certificat auto-signé a été renouvelé, exécutez la commande suivante pour vérifier les valeurs de la propriété :

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Importante

La suppression, le renouvellement ou l’affectation de services au certificat peuvent supprimer le certificat du back-end Exchange et du site web par défaut. Il est essentiel de vérifier les liaisons de certificat et d’appliquer les certificats appropriés.

Ressources supplémentaires

Impossible d’ouvrir OWA, ECP ou EMS après la suppression d’un certificat auto-signé du site web principal Exchange