Effectuer une demande de certificat Exchange Server en attente

La réalisation d’une demande de certificat en attente (également appelée demande de signature de certificat ou CSR) est l’étape suivante de la configuration du chiffrement TLS (Transport Layer Security) dans Exchange Server. Lorsque vous recevez le certificat de l'autorité de certification, installez le certificat sur le serveur Exchange pour finaliser la demande de certificat en attente.

Vous pouvez finaliser une demande de certificat en attente dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell. Les procédures utilisées pour finaliser de nouvelles demandes de certificat ou des demandes de renouvellement de certificat sont les mêmes. Les mêmes procédures sont également utilisées pour finaliser les certificats délivrés par une autorité de certification interne (par les services de certificats Active Directory, par exemple) ou une autorité de certification commerciale.

Vous pouvez recevoir un ou plusieurs types de fichiers de certificat suivants :

• Fichiers de certificat PKCS #12 : il s’agit de fichiers de certificat binaires qui ont des extensions de nom de fichier .cer, .crt, .der, .p12 ou .pfx et qui nécessitent un mot de passe lorsque le fichier contient la clé privée ou la chaîne d’approbation. L'autorité de certification peut vous délivrer un seul fichier de certificat binaire à installer (protégé par un mot de passe), ou plusieurs fichiers de certificat binaires racines ou intermédiaires que vous devez également installer.

• Fichiers de certificat PKCS #7 : il s’agit de fichiers de certificat texte qui ont des extensions de nom de fichier .p7b ou .p7c. Ces fichiers contiennent le texte : -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- ou -----BEGIN PKCS7----- et -----END PKCS7-----. Si l'autorité de certification inclut un fichier de chaîne de certificats dans votre fichier de certificat binaire, vous devez également installer le fichier de chaîne de certificats.

Ce qu'il faut savoir avant de commencer

• Durée d'exécution estimée : 5 minutes.

• Pour suivre les procédures décrites dans cette rubrique, vous devez avoir créé une demande de certificat sur le serveur Exchange, envoyé la demande de certificat à l'autorité de certification et reçu le certificat de l'autorité de certification. Pour plus d’informations, consultez Create une demande de certificat Exchange Server pour une autorité de certification.

• Dans le CENTRE d’administration Exchange, vous devez récupérer le fichier de certificat à partir d’un chemin d’accès UNC (\\<Server>\<Share> ou \\<LocalServerName>\c$\). Dans l'Environnement de ligne de commande Exchange Management Shell, vous pouvez utiliser un chemin d'accès local.

• Si vous renouvelez ou remplacez un certificat émis par une autorité de certification sur un serveur de transport Edge abonné, vous devez supprimer l'ancien certificat, puis supprimer et recréer l'abonnement Edge. Pour plus d'informations, consultez la section Processus d'abonnement Edge.

• Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

• Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Utiliser le CAE pour finaliser une demande de certificat en attente

1. Ouvrez le Centre d’administration Exchange et accédez à Certificats de serveurs>.

2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant la demande de certificat en attente.

3. Une demande de certificat en attente possède les propriétés suivantes :

   • Dans la liste des certificats, la valeur du champ État est Demande en attente.

   • Lorsque vous sélectionnez la demande de certificat dans la liste, un lien Terminé apparaît dans le volet d'informations.

   Sélectionnez la demande de certificat en attente à finaliser, puis cliquez sur Terminé dans le volet d'informations.

4. Sur la page Terminer la demande en attente qui s'ouvre, dans le champ Fichier d'importation, entrez le chemin d'accès UNC et le nom du fichier de certificat. Par exemple : \\FileServer01\Data\ContosoCert.cer. Lorsque vous avez terminé, cliquez sur OK.

La demande de certificat devient un certificat dans la liste des certificats Exchange dont la valeur État est Valide. Pour connaître la suite de la procédure, consultez la section Étapes suivantes.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour finaliser une demande de certificat en attente

Pour effectuer une demande de certificat en attente, utilisez la syntaxe suivante :

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Vous utilisez cette syntaxe avec les types de fichiers de certificat suivants :

• Fichiers de certificat binaires (fichiers PKCS #12 qui ont des extensions de nom de fichier .cer, .crt, .der, .p12 ou .pfx).
• Chaîne de fichiers de certificats (fichiers texte PKCS #7 qui ont des extensions de nom de fichier .p7b ou .p7c).

Cet exemple importe le fichier \\FileServer01\Data\Contoso Cert.cer de certificat binaire protégé sur le serveur Exchange local. Vous êtes invité à entrer le mot de passe.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)

Cet exemple importe le fichier \\FileServer01\Data\Chain of Certificates.p7b de certificat texte sur le serveur Exchange local.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Remarques :

• Le paramètre FileData accepte les chemins d’accès locaux si le fichier de certificat se trouve sur le serveur Exchange sur lequel vous exécutez la commande et qu’il s’agit du même serveur que celui où vous souhaitez importer le certificat. Sinon, utilisez un chemin UNC.
• Si vous souhaitez pouvoir exporter le certificat à partir du serveur sur lequel vous l’importez, vous devez utiliser le paramètre PrivateKeyExportable avec la valeur $true.
• Pour plus d'informations, voir Import-ExchangeCertificate.

Comment savoir si cela a fonctionné ?

Pour vérifier que la demande de certificat est bien terminée et que le certificat est bien installé sur le serveur Exchange, appliquez l'une des procédures suivantes :

• Dans le centre d’administration Exchange àl’adresse Certificats de serveurs>, vérifiez que le serveur sur lequel vous avez installé le certificat est sélectionné. Dans la liste des certificats, vérifiez que le certificat a l' étatValide.

• Dans l'Environnement de ligne de commande Exchange Management Shell du serveur où le certificat est installé, exécutez la commande suivante et vérifiez que le certificat est répertorié :

  Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
  

Prochaines étapes

Lorsque vous avez terminé la demande de certificat en attente en installant le certificat sur le serveur, vous devez affecter le certificat à un ou plusieurs services Exchange avant que le serveur Exchange soit en mesure d'utiliser le certificat pour le chiffrement. Pour plus d’informations, consultez Attribuer des certificats aux services Exchange.