Créer une demande de certificat Exchange 2016 pour une autorité de certification

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment créer une demande de certificat dans Exchange 2016 à l’attention d’une autorité de certification.

Une demande de certificat doit être créée avant d’installer un nouveau certificat sur un serveur Exchange Server 2016 pour configurer le chiffrement TLS (Transport Layer Security) d’un ou plusieurs services Exchange. Vous devez utiliser une demande de certificat (également appelée demande de signature de certificat ou CSR) pour obtenir un certificat auprès d’une autorité de certification. Les procédures utilisées pour obtenir un certificat auprès d’une autorité de certification interne (les services de certificats Active Directory, par exemple) ou d’une autorité de certification commerciale sont les mêmes. Une fois votre demande de certificat créée, vous devez envoyer les résultats à l’autorité de certification qu’elle utilisera pour délivrer le certificat à installer.

Vous pouvez créer des demandes de certificats dans le Centre d’administration Exchange (CAE) ou dans l’Environnement de ligne de commande Exchange Management Shell. L’Assistant Nouveau certificat Exchange du CAE peut vous aider à sélectionner les noms d’hôtes requis dans le certificat.

  • Durée d’exécution estimée : 5 minutes nécessaires pour finaliser la nouvelle demande de certificat. Toutefois, la remise d’un certificat prend plus de temps. Pour plus d’informations, consultez la section Étapes suivantes.

  • Vous devez veiller à bien choisir le type de certificat souhaité et les noms d’hôtes requis dans le certificat. Pour plus d’informations, consultez la rubrique Certificats numériques et chiffrement dans Exchange 2016.

  • Vérifiez les conditions requises par l’autorité de certification pour effectuer une demande de certificat. Exchange génère un fichier de requête (.req) PKCS #10 qui utilise le codage Base64 (par défaut) ou DER (Distinguished Encoding Rules), avec une clé publique RSA de 1024, 2048 (par défaut) ou 4096 bits. Les options de codage et de clé publique sont uniquement disponibles dans l’Environnement de ligne de commande Exchange Management Shell.

  • Dans le CAE, vous devez stocker le fichier de demande de certificat à partir d’un chemin d’accès UNC (\\<Server>\<Share>\ ou \\<LocalServerName>\c$\). Dans l’Environnement de ligne de commande Exchange Management Shell, vous pouvez spécifier un chemin d’accès local.

  • Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l’entrée « Sécurité des services d’accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection..

  1. Ouvrez le CAE et accédez à Serveurs > Certificats.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange où installer le certificat, puis cliquez sur AjouterIcône Ajouter.

  3. L’Assistant Nouveau certificat Exchange s’ouvre. Sur la page Cet Assistant créera un nouveau certificat ou un fichier de demande de certificat, vérifiez que la case Créer une demande de certificat auprès d’une autorité de certification est sélectionnée, puis cliquez sur Suivant.

    Remarque : Pour créer un certificat auto-signé, consultez la rubrique Créer un certificat auto-signé Exchange 2016.

  4. Sur la page Nom convivial de ce certificat, entrez un nom descriptif pour votre certificat, puis cliquez sur Suivant.

  5. Sur la page Demander un certificat de caractère générique, choisissez l’une des options suivantes :

    • Si vous souhaitez demander un certificat de caractère générique   Sélectionnez Demander un certificat de caractère générique, puis spécifiez le caractère générique (*) et le domaine dans le champ Domaine racine. Par exemple, contoso.com ou *.eu.contoso.com. Lorsque vous avez terminé, cliquez sur Suivant.

    • Si vous souhaitez demander un certificat SAN (autre nom de l’objet)   N’effectuez aucune sélection sur cette page, puis cliquez sur Suivant.

    • Si vous souhaitez demander un certificat pour un seul hôte   N’effectuez aucune sélection sur cette page, puis cliquez sur Suivant.

  6. Sur la page Enregistrer la demande de certificat sur ce serveur, cliquez sur Parcourir et sélectionnez le serveur Exchange où vous souhaitez enregistrer la demande de certificat (et installer le certificat), cliquez sur OK, puis cliquez sur Suivant.

    Remarque : Les étapes 7 et 8 s’appliquent uniquement aux demandes de certificat SAN ou pour un seul hôte. Si vous avez sélectionné Demander un certificat de caractère générique, passez à l’étape 9.

  7. La page Spécifiez les domaines que vous souhaitez inclure dans votre certificat est une feuille de calcul qui vous permet de définir les noms des hôtes internes et externes requis dans le certificat pour les services Exchange suivants :

    • Outlook sur le web

    • Génération de carnet d’adresses en mode hors connexion

    • Services Web Exchange

    • Exchange ActiveSync

    • Découverte automatique

    • POP

    • IMAP

    • Outlook Anywhere

    Si vous entrez une valeur pour chaque service en fonction de son emplacement (interne ou externe), l’Assistant détermine les noms d’hôte requis dans le certificat, et les informations sont affichées sur la page suivante. Pour modifier une valeur d’un service, cliquez sur Modifier (Icône Modifier), puis entrez le nom d’hôte que vous souhaitez utiliser (ou supprimez-le). Lorsque vous avez terminé, cliquez sur Suivant.

    Si vous avez déjà déterminé les noms d’hôte requis dans le certificat, vous n’avez pas besoin de remplir les informations sur cette page. À la place, cliquez sur Suivant pour entrer manuellement les noms d’hôte sur la page suivante.

  8. La page D’après vos sélections, les domaines suivants seront inclus dans le certificat répertorie les noms d’hôte qui seront inclus dans la demande de certificat. Le nom d’hôte utilisé dans le champ Subject du certificat est affiché en gras, ce qui est difficilement visible si ce nom d’hôte est sélectionné. Vous pouvez vérifier les noms d’hôte requis dans le certificat selon les sélections effectuées sur la page précédente. Ou alors, vous pouvez ignorer les valeurs de la dernière page et ajouter, modifier ou supprimer des noms d’hôte.

    • Si vous souhaitez un certificat SAN, le champ Subject nécessite toujours une valeur de nom commun (CN). Pour sélectionner le nom d’hôte du champ Subject du certificat, sélectionnez la valeur et cliquez sur Définir en tant que nom commun (case à cocher). La valeur doit maintenant apparaître en gras.

    • Si vous souhaitez un certificat pour un seul nom d’hôte, sélectionnez les autres valeurs une à une et cliquez sur Supprimer (Icône Suppression).

    Remarques :

    • Vous ne pouvez pas supprimer la valeur du nom d’hôte en gras qui sera utilisée pour le champ Subject du certificat. Tout d’abord, vous devez sélectionner ou ajouter un autre nom d’hôte, puis cliquez sur Définir en tant que nom commun (case à cocher).

    • Les modifications apportées sur cette page peuvent être perdues si vous cliquez sur le bouton Précédent.

  9. Sur la page Spécifiez les informations relatives à votre organisation, entrez les valeurs suivantes :

    • Nom de l'organisation

    • Nom du service

    • Ville/localité

    • État/Province

    • Pays/Région

    Remarque : Ces valeurs X.500 sont incluses dans le champ Subject du certificat. Même si vous devez entrer une valeur dans chaque champ avant de poursuivre, il est possible que l’autorité de certification ne tienne pas compte de certains champs (par exemple, Nom du service), alors que d’autres champs sont très importants (par exemple, Pays/Région et Nom de l’organisation). Vérifiez les exigences du champ Subject de votre autorité de certification.

    Lorsque vous avez terminé, cliquez sur Suivant.

  10. Sur la page Enregistrer la demande de certificat dans le fichier suivant, entrez le chemin d’accès UNC et le nom du fichier de la demande de certificat. Par exemple, \\FileServer01\Data\ExchCertRequest.req. Lorsque vous avez terminé, cliquez sur Terminer.

La demande de certificat s’affiche dans la liste des certificats Exchange avec l’état En attente. Pour connaître la suite de la procédure, consultez la section Étapes suivantes.

Pour créer une demande de certificat de caractère générique, SAN ou pour un seul hôte, utilisez la syntaxe suivante :

New-ExchangeCertificate -GenerateRequest -RequestFile <FilePathOrUNCPath>\<FileName>.req [-FriendlyName <DescriptiveName>] -SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-BinaryEncoded <$true | $false>] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]

Cet exemple crée une demande de certificat de caractère générique sur le serveur Exchange local avec les propriétés suivantes :

  • SubjectName   *.contoso.com aux États-Unis, ce qui nécessite la valeur C=US,CN=*.contoso.com.

  • RequestFile \\FileServer01\Data\Contoso Wildcard Cert.req

  • FriendlyName   Certificat Générique Contoso.com

New-ExchangeCertificate -GenerateRequest -RequestFile "\\FileServer01\Data\Contoso Wildcard Cert.req" -FriendlyName "Contoso.com Wildcard Cert" -SubjectName C=US,CN=*.contoso.com

Cet exemple crée une demande de certificat SAN sur le serveur Exchange local avec les propriétés suivantes :

  • SubjectName   mail.contoso.com aux États-Unis, ce qui nécessite la valeur C=US,CN=mail.contoso.com. Notez que cette valeur CN est automatiquement incluse dans le paramètre DomainName (champ Subject Alternative Name).

  • Autres valeurs du champ Subject Alternative Name :

    • autodiscover.contoso.com

    • legacy.contoso.com

    • mail.contoso.net

    • autodiscover.contoso.net

    • legacy.contoso.net

  • RequestFile \\FileServer01\Data\Contoso SAN Cert.req

  • FriendlyName   Certificat SAN Contoso.com

New-ExchangeCertificate -GenerateRequest -RequestFile "\\FileServer01\Data\Contoso SAN Cert.req" -FriendlyName "Contoso.com SAN Cert" -SubjectName C=US,CN=mail.contoso.com -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net

Cet exemple crée une demande de certificat pour un seul hôte avec les propriétés suivantes :

  • SubjectName   mail.contoso.com aux États-Unis, ce qui nécessite la valeur C=US,CN=mail.contoso.com.

  • RequestFile \\FileServer01\Data\Mail.contoso.com Cert.req

  • FriendlyName   Certificat Mail.contoso.com

New-ExchangeCertificate -GenerateRequest -RequestFile "\\FileServer01\Data\Mail.contoso.com Cert.req" -FriendlyName "Mail.contoso.com Cert" -SubjectName C=US,CN=mail.contoso.com

Remarques :

  • Le paramètre SubjectName X.500 doit obligatoirement avoir pour valeur (champ Subject du certificat) CN=<HostNameOrFQDN>. Toutefois, la demande de certificat doit toujours inclure la valeur C=<CountryOrRegion> (dans le cas contraire, vous ne pourrez peut-être pas renouveler le certificat). Vérifiez les exigences du champ Subject de votre autorité de certification.

  • Le paramètre RequestFile accepte un chemin d’accès local ou UNC.

  • Le commutateur BinaryEncoded n’est pas utilisé, par conséquent la demande est codée au format Base64. Les informations affichées à l’écran sont également écrites dans le fichier. Le contenu du fichier doit être envoyé à l’autorité de certification. Si le commutateur BinaryEncoded avait été utilisé, la demande aurait été codée au format DER. C’est le fichier de demande de certificat qu’il aurait alors fallu envoyer à l’autorité de certification.

  • Le paramètre KeySize n’a pas été utilisé, par conséquent la demande de certificat comporte une clé publique RSA de 2048 bits.

  • Pour plus d’informations, consultez la rubrique New-ExchangeCertificate.

Pour vérifier qu’une demande de certificat a bien été créée, appliquez l’une des procédures suivantes :

  • Dans le CAE, dans Serveurs > Certificats, vérifiez que le serveur où se trouve la demande de certificat est sélectionné. La demande devrait figurer dans la liste des certificats avec l’étatDemande en attente.

  • Dans l’Environnement de ligne de commande Exchange Management Shell du serveur où se trouve la demande de certificat, exécutez la commande suivante :

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Le contenu d’un fichier de demande de certificat codé au format Base64 ressemble à ceci :

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Vous devez envoyer ces informations à l’autorité de certification. La manière dont vous les envoyez dépend de l’autorité de certification, mais en général, vous envoyez le contenu du fichier dans un message électronique ou dans le formulaire de demande de certificat sur le site web de l’autorité de certification.

Si l’autorité de certification exige une demande de certificat binaire codée DER (cmdlet New-ExchangeCertificate utilisée avec le commutateur BinaryEncoded), vous devez généralement envoyer la totalité du fichier de demande de certificat à l’autorité de certification.

Quand vous recevez le certificat de l’autorité de certification, vous devez finaliser la demande de certificat en attente. Pour plus d’informations, consultez la rubrique Finaliser une demande en cours de certificat Exchange 2016.

 
Afficher: