Configurer les certificats SSL pour utiliser plusieurs noms d'hôtes de serveur d'accès au client

Article
05/13/2016

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-07-23

Vous pouvez utiliser l’environnement de ligne de commande pour configurer vos certificats SSL (Secure Sockets Layer) afin qu’ils utilisent plusieurs noms d’hôte.

Lorsque vous déployez vos serveurs d’accès au client Microsoft Exchange Server 2010, vous devez vous assurer que tous les clients, tels que Microsoft Office Outlook Web App et Office Outlook 2007 pourront se connecter aux services via une session chiffrée sans recevoir de message d’erreur indiquant que le certificat n’est pas approuvé.

À l’aide de l’environnement de ligne de commande, vous pouvez créer une demande de certificat pour inclure tous les noms d’hôte DNS des serveurs d’accès au client. Vous pouvez ensuite permettre aux utilisateurs de se connecter au certificat pour des services, tels que Outlook Anywhere, Autodiscover, POP3, IMAP4 ou la messagerie unifiée, répertoriés dans l’attribut de noms alternatifs. Par exemple, vos utilisateurs peuvent être en mesure de se connecter à vos services Exchange en spécifiant le nom comme indiqué dans les exemples suivants :

https://CAS01/owa
https://CAS01.FQDN.name/owa
https://CASIntranetName/owa
https://autodiscover.emaildomain.com

Au lieu de devoir demander plusieurs certificats et maintenir la configuration de plusieurs adresses IP et sites Web de services Internet (IIS) pour chaque combinaison de port IP et de certificat, vous pouvez créer un certificat unique permettant aux clients de se connecter avec succès à chaque nom d’hôte en utilisant SSL ou TLS (Transport Layer Security).

Vous pouvez créer un certificat unique en ajoutant toutes les valeurs de nom DNS possibles à la propriété Subject Alternative Name du certificat sur la demande de certificat. Une autorité de certification de services de certificats basée sur Windows doit créer un certificat pour une telle demande.

Remarque :
Les autorités de certification tierces ou basées sur Internet émettent uniquement des certificats pour les noms DNS que vous êtes autorisé à utiliser. Par conséquent, les noms DNS intranet ne seront probablement pas autorisés.

Pour configurer vos certificats SSL afin d’utiliser plusieurs noms d’hôte de serveur d’accès au client, procédez comme suit :

Utilisez la cmdlet New-ExchangeCertificate pour créer un fichier de demande de certificat.
Envoyez ce fichier à une autorité de certification de services de certificats Windows et utilisez le modèle de serveur Web figurant sur la page Autorité de certification. Cette opération produit un fichier .cer que vous pouvez importer sur le serveur d’accès au client.
Utilisez la cmdlet Get-ExchangeCertificate pour déterminer l’empreinte de votre certificat.
Après avoir importé le certificat, vous pouvez l’attribuer à IIS, IMAP4 et POP3 à l’aide de la cmdlet Enable-ExchangeCertificate.

Souhaitez-vous rechercher d’autres tâches de gestion relatives à SSL ? Consultez la rubrique Gestion du protocole SSL pour un serveur d’accès au client.

Conditions préalables

Vous vous êtes connecté à votre ordinateur à l’aide d’un compte qui ne figure pas dans le groupe Administrateurs, puis avez utilisé la commande runas pour exécuter le Gestionnaire des services Internet en tant qu’administrateur. Il s’agit d’une pratique recommandée en matière de sécurité. Pour effectuer cette opération, dans une invite de commandes, tapez runas /user:Nom_du_compte_d’administration« mmc systemroot\system32\inetsrv\iis.msc ».
Vous avez lu la rubrique Fonction TLS et terminologie associée dans Exchange 2010. Cette dernière contient des informations sur les nombreuses variables à prendre en compte lors de la configuration de certificats pour les services SSL ou TLS et sur la manière dont ces variables peuvent affecter votre configuration globale.

Création d’un fichier de demande de certificat via l’environnement de ligne de commande

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, voir Entrée « Paramètres de sécurité du serveur d’accès au client » dans la rubrique Autorisations d'accès client.

Cet exemple montre comment créer un fichier texte contenant une demande de certificat au format PKCS#10.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Importation d’un certificat via l’environnement de ligne de commande

Cet exemple illustre l’importation d’un certificat obtenu précédemment.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Détermination de l’empreinte de votre certificat via l’environnement de ligne de commande

Cet exemple montre comment déterminer l’empreinte d’un certificat qui correspond au nom d’hôte de CAS01.

Get-ExchangeCertificate -DomainName "CAS01"

Remarque :
Dans cet exemple, de nombreux certificats s’affichent si plusieurs certificats correspondent au nom d’hôte que vous avez spécifié. C’est pourquoi vous devez veiller à sélectionner l’empreinte du certificat approprié pour votre demande.

Attribution du certificat à IIS, POP3 et IMAP4 via l’environnement de ligne de commande

Cet exemple montre comment attribuer le certificat à IIS, POP3 et IMAP4.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

Cet exemple illustre l’attribution du certificat à un serveur, qui attribue à son tour le certificat à tous les services exécutés sur le serveur Exchange.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Pour plus d’informations sur la syntaxe et les paramètres des cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate et New-ExchangeCertificate, consultez la rubrique Cmdlets globales.