Renouveler un certificat Exchange 2016

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment renouveler un certificat Exchange auto-signé ou créer une demande de renouvellement du certificat pour une autorité de certification dans Exchange 2016.

Chaque certificat a une date d’expiration prédéfinie. Dans Exchange Server 2016, le certificat auto-signé par défaut installé sur le serveur Exchange expire 5 ans après l’installation d’Exchange sur le serveur. Vous pouvez utiliser le Centre d’administration Exchange (CAE) ou l’Environnement de ligne de commande Exchange Management Shell pour renouveler les certificats Exchange. Vous pouvez le faire pour les certificats Exchange auto-signés et pour les certificats signés par une autorité de certification.

  • Durée d’exécution estimée : 5 minutes

  • Pour en savoir plus sur l’ouverture de l’environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Ouverture de l’environnement de ligne de commande Exchange Management Shell.

  • Pour les certificats délivrés par une autorité de certification, vérifiez les conditions requises par l’autorité de certification pour effectuer une demande de certificat. Exchange génère un fichier de requête (.req) PKCS #10 qui utilise le codage Base64 (par défaut) ou DER (Distinguished Encoding Rules), avec une clé publique RSA de 1024, 2048 (par défaut) ou 4096 bits. Les options de codage et de clé publique sont uniquement disponibles dans l’Environnement de ligne de commande Exchange Management Shell.

  • Pour renouveler un certificat délivré par une autorité de certification, vous devez renouveler le certificat auprès de l’autorité de certification qui a délivré le certificat. Si vous changez d’autorité de certification ou s’il existe un problème avec le certificat d’origine lors du renouvellement, vous devez effectuer une nouvelle demande de certificat (également appelée « demande de signature de certificat ») pour obtenir un nouveau certificat. Pour plus d’informations, voir Créer une demande de certificat Exchange 2016 pour une autorité de certification.

  • Si vous renouvelez ou remplacez un certificat émis par une autorité de certification sur un serveur de transport Edge abonné, vous devez supprimer l’ancien certificat, puis supprimer et recréer l’abonnement Edge. Pour plus d’informations, consultez la section Edge Subscription process.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l’entrée « Sécurité des services d’accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Les procédures utilisées pour renouveler un certificat délivré par une autorité de certification interne (par les services de certificats Active Directory, par exemple) ou une autorité de certification commerciale sont les mêmes.

Pour renouveler un certificat délivré par une autorité de certification, créez une demande de renouvellement de certificat, puis envoyez-la à l’autorité de certification. L’autorité de certification vous envoie ensuite le fichier de certificat à installer sur le serveur Exchange. Cette procédure est comparable à la procédure de formulation d’une nouvelle demande de certificat en installant le certificat sur le serveur. Pour plus d’informations, voir Finaliser une demande en cours de certificat Exchange 2016.

  1. Ouvrez le CAE et accédez à Serveurs > Certificats.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat à renouveler.

  3. Tous les certificats valides sont accompagnés d’un lien Renouveler dans le volet d’informations qui apparaît quand vous sélectionnez le certificat dans la liste. Sélectionnez le certificat à renouveler, puis cliquez sur Renouveler dans le volet d’informations.

  4. Sur la page Renouveler le certificat Exchange qui s’ouvre, dans le champ Enregistrer la demande de certificat dans le fichier suivant, entrez le chemin d’accès UNC et le nom du nouveau fichier de demande de renouvellement de certificat. Par exemple, \\FileServer01\Data\ContosoCertRenewal.req. Lorsque vous avez terminé, cliquez sur OK.

La demande de certificat s’affiche dans la liste des certificats Exchange avec l’état En attente.

Pour créer une demande de renouvellement de certificat pour une autorité de certification sur le serveur local Exchange, utilisez la syntaxe suivante :

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -RequestFile <FilePathOrUNCPath>\<FileName>.req

Pour trouver la valeur d’empreinte numérique du certificat à renouveler, exécutez la commande suivante :

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Cet exemple crée une demande de renouvellement de certificat avec les propriétés suivantes :

  • Certificats à renouveler   5DB9879E38E36BCB60B761E29794392B23D1C054

  • RequestFile \\FileServer01\Data\ContosoCertRenewal.req

Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest -RequestFile \\FileServer01\Data\ContosoCertRenewal.req

Remarques :

  • Le paramètre RequestFile accepte un chemin d’accès local ou UNC.

  • Le commutateur BinaryEncoded n’est pas utilisé, par conséquent la demande est codée au format Base64. Les informations affichées à l’écran sont également écrites dans le fichier. Le contenu du fichier doit être envoyé à l’autorité de certification. Si le commutateur BinaryEncoded avait été utilisé, la demande aurait été codée au format DER. C’est le fichier de demande de certificat qu’il aurait alors fallu envoyer à l’autorité de certification.

  • Le paramètre KeySize n’a pas été utilisé, par conséquent la demande de certificat comporte une clé publique RSA de 2048 bits.

  • Pour plus d’informations, voir Get-ExchangeCertificate et New-ExchangeCertificate.

Pour vérifier qu’une demande de renouvellement de certificat pour une autorité de certification a bien été créée, effectuez l’une des opérations suivantes :

  • Dans le CAE, dans Serveurs > Certificats, vérifiez que le serveur où se trouve la demande de certificat est sélectionné. La demande devrait figurer dans la liste des certificats avec l’étatDemande en attente.

  • Dans l’Environnement de ligne de commande Exchange Management Shell du serveur où se trouve la demande de certificat, exécutez la commande suivante :

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Lorsque vous renouvelez un certificat Exchange auto-signé, vous créez un certificat.

  1. Ouvrez le CAE et accédez à Serveurs > Certificats.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat à renouveler.

  3. Tous les certificats valides sont accompagnés d’un lien Renouveler dans le volet d’informations qui apparaît quand vous sélectionnez le certificat dans la liste. Sélectionnez le certificat à renouveler, puis cliquez sur Renouveler dans le volet d’informations.

  4. Sur la page Renouveler le certificat Exchange qui s’ouvre, vérifiez la liste en lecture seule des services Exchange à laquelle le certificat existant est affecté, puis cliquez sur OK.

Pour renouveler un certificat auto-signé, utilisez la syntaxe suivante :

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

Pour trouver la valeur d’empreinte numérique du certificat à renouveler, exécutez la commande suivante :

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Cet exemple renouvelle un certificat auto-signé sur le serveur Exchange local et utilise les paramètres suivants :

  • La valeur d’empreinte numérique du certificat auto-signé existant à renouveler est BC37CBE2E59566BFF7D01FEAC9B6517841475F2D

  • Le commutateur Force remplace le certificat auto-signé d’origine sans invite de confirmation.

  • La clé privée est exportable. Ainsi, vous pouvez exporter le certificat et l’importer sur d’autres serveurs.

Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Pour vérifier qu’un certificat Exchange auto-signé a bien été renouvelé, appliquez l’une des procédures suivantes :

  • Dans le CAE, dans Serveurs > Certificats, vérifiez que le serveur où le certificat est installé est sélectionné. Dans la liste des certificats, vérifiez que le certificat a l’étatValide.

  • Dans l’Environnement de ligne de commande Exchange Management Shell du serveur où le certificat auto-signé a été renouvelé, exécutez la commande suivante pour vérifier les valeurs de la propriété :

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
 
Afficher: