TechNet
Exporter (0) Imprimer
Développer tout

Créer un certificat auto-signé Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment créer un certificat auto-signé dans Exchange 2016.

Lorsque vous installez Exchange 2016, un certificat auto-signé créé et signé par le serveur Exchange lui-même est automatiquement installé sur le serveur. Toutefois, vous pouvez également créer des certificats auto-signés supplémentaires que vous pouvez utiliser.

Vous pouvez créer des certificats auto-signés dans le Centre d’administration Exchange (CAE) ou dans l’Environnement de ligne de commande Exchange Management Shell.

  • Durée d'exécution estimée : 5 minutes.

  • Les certificats auto-signés Exchange conviennent au chiffrement des communications entre les serveurs Exchange internes, mais pas au chiffrement des connexions externes, car les clients, les serveurs et les services n’approuvent pas automatiquement les certificats auto-signés Exchange. Pour créer une demande de certificat (également appelée demande de signature de certificat ou CSR) pour une autorité de certification commerciale qui est automatiquement approuvée par tous les clients, serveurs et services, consultez la rubrique Créer une demande de certificat Exchange 2016 pour une autorité de certification.

  • Lorsque vous créez un certificat auto-signé à l’aide de la cmdlet New-ExchangeCertificate, vous pouvez affecter le certificat à des services Exchange pendant la procédure de création. Pour plus d’informations sur les services Exchange, consultez la rubrique Délivrer des certificats aux services Exchange 2016.

  • Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l’entrée « Sécurité des services d’accès au client » dans la rubrique Clients and mobile devices permissions.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Keyboard shortcuts in the Exchange admin center.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

  1. Ouvrez le CAE et accédez à Serveurs > Certificats.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange où installer le certificat, puis cliquez sur AjouterIcône Ajouter.

  3. L’Assistant Nouveau certificat Exchange s’ouvre. Sur la page Cet Assistant créera un nouveau certificat ou un fichier de demande de certificat, sélectionnez Créer un certificat auto-signé, puis cliquez sur Suivant.

    Remarque : Pour créer une demande de certificat pour une autorité de certification, voir Créer une demande de certificat Exchange 2016 pour une autorité de certification.

  4. Sur la page Nom convivial de ce certificat, entrez un nom convivial pour votre certificat, puis cliquez sur Suivant.

  5. Sur la page Spécifiez les serveurs auxquels appliquer ce certificat, cliquez sur AjouterIcône Ajouter.

    Sur la page Sélectionner un serveur qui s’ouvre, sélectionnez le serveur Exchange où vous voulez installer le certificat, puis cliquez sur Ajouter - >. Répétez cette étape autant de fois que nécessaire. Une fois tous les serveurs sélectionnés, cliquez sur OK.

    Lorsque vous avez terminé, cliquez sur Suivant.

  6. La page Spécifiez les domaines que vous souhaitez inclure dans votre certificat est une feuille de calcul qui vous permet de définir les noms des hôtes internes et externes requis dans le certificat pour les services Exchange suivants :

    • Outlook sur le web

    • Génération de carnet d’adresses en mode hors connexion

    • Services Web Exchange

    • Exchange ActiveSync

    • Découverte automatique

    • POP

    • IMAP

    • Outlook Anywhere

    Si vous entrez une valeur pour chaque service en fonction de son emplacement (interne ou externe), l’Assistant détermine les noms d’hôte requis dans le certificat, et les informations sont affichées sur la page suivante. Pour modifier une valeur d’un service, cliquez sur Modifier (Icône Modifier), puis entrez le nom d’hôte que vous souhaitez utiliser (ou supprimez-le). Lorsque vous avez terminé, cliquez sur Suivant.

    Si vous avez déjà déterminé les noms d’hôte requis dans le certificat, vous n’avez pas besoin de remplir les informations sur cette page. À la place, cliquez sur Suivant pour entrer manuellement les noms d’hôte sur la page suivante.

  7. La page D’après vos sélections, les domaines suivants seront inclus dans le certificat répertorie les noms d’hôte qui seront inclus dans le certificat auto-signé. Le nom d’hôte utilisé dans le champ Subject du certificat est affiché en gras, ce qui est difficilement visible si ce nom d’hôte est sélectionné. Vous pouvez vérifier les noms d’hôte requis dans le certificat selon les sélections effectuées sur la page précédente. Ou alors, vous pouvez ignorer les valeurs de la dernière page et ajouter, modifier ou supprimer des noms d’hôte.

    • Si vous souhaitez un certificat SAN, le champ Subject nécessite toujours une valeur de nom commun (CN). Pour sélectionner le nom d’hôte du champ Subject du certificat, sélectionnez la valeur et cliquez sur Définir en tant que nom commun (case à cocher). La valeur doit maintenant apparaître en gras.

    • Si vous souhaitez un certificat pour un seul nom d’hôte, sélectionnez les autres valeurs une à une et cliquez sur Supprimer (Icône Suppression).

    Lorsque vous avez terminé, cliquez sur Terminer.

    Remarques :

    • Vous ne pouvez pas supprimer la valeur du nom d’hôte en gras qui sera utilisée pour le champ Subject du certificat. Tout d’abord, vous devez sélectionner ou ajouter un autre nom d’hôte, puis cliquez sur Définir en tant que nom commun (case à cocher).

    • Les modifications apportées sur cette page peuvent être perdues si vous cliquez sur le bouton Précédent.

Pour créer un certificat auto-signé Exchange, utilisez la syntaxe suivante :

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...]  [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

Cet exemple crée un certificat auto-signé sur le serveur Exchange local avec les propriétés suivantes :

  • Objet <ServerName>. Par exemple, si vous exécutez la commande sur le serveur nommé Mailbox01, la valeur est Mailbox01.

  • Autres noms de l’objet <ServerName>, <Server FQDN>. Par exemple, Mailbox01, Mailbox01.contoso.com.

  • Nom convivialMicrosoft Exchange

  • Services   POP, IMAP, SMTP.

New-ExchangeCertificate

Cet exemple crée un certificat auto-signé sur le serveur Exchange local avec les propriétés suivantes :

  • Objet   Exchange01, qui requiert la valeur CN=Exchange01. Notez que cette valeur est automatiquement incluse dans le paramètre DomainName (champ Subject Alternative Name).

  • Autres noms de l’objet supplémentaires :

    • mail.contoso.com

    • autodiscover.contoso.com

    • Exchange01.contoso.com

    • Exchange02.contoso.com

  • Services   SMTP, IIS

  • Nom convivial   Certificat Exchange Contoso

  • La clé privée est exportable. Ainsi, vous pouvez exporter le certificat à partir du serveur (et l’importer sur d’autres serveurs).

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Remarques :

  • Le paramètre SubjectName X.500 doit obligatoirement avoir pour valeur (champ Subject du certificat) CN=<HostNameOrFQDN>.

  • Certaines valeurs du paramètre Services génèrent des avertissements ou des messages de confirmation. Pour plus d’informations, voir Délivrer des certificats aux services Exchange 2016.

  • Pour plus d’informations, consultez la rubrique New-ExchangeCertificate.

Pour vérifier qu’un certificat auto-signé Exchange a bien été créé, appliquez l’une des procédures suivantes :

  • Dans le CAE, dans Serveurs > Certificats, vérifiez que le serveur sur lequel le certificat a été créé est sélectionné. Le certificat devrait figurer dans la liste des certificats avec l’étatValide.

  • Dans l’Environnement de ligne de commande Exchange Management Shell du serveur sur lequel le certificat auto-signé a été créé, exécutez la commande suivante pour vérifier les propriétés :

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
    
 
Afficher:
© 2016 Microsoft