Configurer des certificats Exchange 2016

 

Durée d'exécution estimée : 10 à 15 minutes (sans compter le temps de réponse de l'autorité de certification)

Certains services, tels que Outlook Anywhere et Exchange ActiveSync, exigent la configuration de certificat sur votre serveur Exchange 2016. Vous pouvez choisir de réutiliser le certificat SSL installé sur un serveur Exchange préexistant ou d’acheter un nouveau certificat SSL auprès d’une autorité de certification (CA) tierce. Si vous décidez de réutiliser un certificat, les noms d’hôte configurés sur les répertoires virtuels Exchange 2016 doivent correspondre aux noms d’hôte configurés sur le certificat SSL.

  1. Ouvrez le CAE en accédant à l’URL de votre serveur de boîtes aux lettres. Par exemple, https://Ex2016/ECP.

  2. Entrez votre nom d'utilisateur et votre mot de passe dans Domaine\nom d'utilisateur et Mot de passe, puis cliquez sur Se connecter.

  3. Accédez à Serveurs > Certificats. Sur la page Certificats, vérifiez que votre serveur de boîtes aux lettres est sélectionné dans le champ Sélectionner le serveur, puis cliquez sur Nouveau Icône Ajouter.

  4. Dans l’assistant Nouveau certificat Exchange, sélectionnez Créer une demande pour un certificat depuis une autorité de certification, puis cliquez sur Suivant.

  5. Spécifiez un nom pour ce certificat, puis cliquez sur suivant.

  6. Si vous souhaitez demander un certificat de caractère générique, sélectionnez Demander un certificat de caractère générique, puis spécifiez le domaine racine de tous les sous-domaines dans le champ Domaine racine. Si vous ne souhaitez pas demander de certificat de caractère générique et si vous voulez à la place spécifier chaque domaine à ajouter au certificat, ne renseignez pas cette page. Cliquez sur Suivant.

  7. Cliquez sur Parcourir et spécifiez un serveur Exchange pour y stocker le certificat. Le serveur que vous sélectionnez doit être le serveur de boîtes aux lettres accessible sur Internet. Cliquez sur Suivant.

  8. Pour chaque service de la liste suivante, vérifiez que les noms de serveur externe et interne que les utilisateurs utiliseront pour se connecter au serveur Exchange sont corrects. Par exemple :

    • Si vous avez configuré vos URL internes et externes pour qu’elles soient identiques, Outlook Web App (accès à partir d’Internet) et Outlook Web App (accès à partir de l’Intranet) doivent afficher owa.contoso.com. OAB (accès à partir d’Internet) et OAB (accès à partir de l’Intranet) doivent afficher mail.contoso.com.

    • Si vous avez configuré les URL internes pour être internal.contoso.com, Outlook Web App (accès à partir d’Internet) doit afficher owa.contoso.com et Outlook Web App (accès à partir de l’Intranet) doit afficher internal.contoso.com.

    Ces domaines serviront à créer la demande de certificat SSL. Cliquez sur Suivant.

  9. Ajoutez tous les domaines supplémentaires que vous voulez inclure sur le certificat SSL.

  10. Sélectionnez le domaine qui sera le nom commun du certificat (par exemple, contoso.com), puis cliquez sur Définir comme nom commun. Cliquez sur Suivant.

  11. Fournissez des informations sur votre organisation. Ces informations seront inclues au certificat SSL. Cliquez sur Suivant.

  12. Spécifiez l'emplacement du réseau dans lequel vous voulez enregistrer cette demande de certificat. Cliquez sur Terminer.

Après avoir enregistré la demande de certificat, soumettez-la à votre autorité de certification. Il peut s’agir d’une autorité de certification interne ou tierce, en fonction de votre organisation. Les clients qui se connectent au serveur de boîtes aux lettres doivent approuver l’autorité de certification que vous utilisez. Après avoir reçu le certificat de l’autorité de certification, procédez comme suit :

  1. Dans la page Serveur > Certificats de l'EAC, sélectionnez la demande de certificat créée lors des étapes précédentes.

  2. Dans le volet d’informations de demande de certificat, sous État, cliquez sur Terminer.

  3. Dans la page Effectuer la demande en attente, spécifiez le chemin d’accès au fichier du certificat SSL et cliquez sur OK.

  4. Sélectionnez le nouveau certificat à ajouter puis cliquez sur ModifierIcône Modifier.

  5. Dans la page Certificat, cliquez sur Services.

  6. Sélectionnez les services que vous souhaitez affecter à ce certificat. Au minimum, vous devez sélectionner IIS, mais vous pouvez également sélectionner IMAP, POP et Routeur d’appels de messagerie unifiée si vous utilisez ces services. Si vous souhaitez utiliser un transport sécurisé, vous pouvez également sélectionner SMTP pour mettre ce certificat à la disposition du transport Exchange 2016. Cliquez sur Enregistrer.

  7. Si vous recevez l’avertissement Remplacer le certificat SMTP par défaut existant ?, cliquez sur Oui.

Tout d’abord, vous devez exporter le certificat depuis votre serveur Exchange préexistant à l’aide de la clé privée du certificat en suivant les étapes ci-après :

  1. Connectez-vous directement à un serveur d’accès au client Exchange préexistant à l’aide d’un compte d’utilisateur de l’administrateur.

  2. Ouvrez une console MMC (Microsoft Management Console) vide.

  3. Cliquez sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter>.

  5. Dans la fenêtre Composant logiciel enfichable Certificats qui apparaît, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

  6. Sélectionnez Ordinateur local et cliquez sur Terminer. Cliquez ensuite sur OK.

  7. Sous Racine de la console, développez Certificats (Ordinateur local), Personnel, puis Certificats.

  8. Sélectionnez le certificat tiers utilisé par Exchange qui correspond aux noms d’hôte configurés sur le serveur Exchange 2016. Il doit s’agir d’un certificat tiers et non d’un certificat auto-signé.

  9. Cliquez avec le bouton droit sur ce certificat, sélectionnez Toutes les tâches et cliquez sur Exporter.

  10. Dans l’Assistant Exportation du certificat, cliquez sur Suivant.

  11. Sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.

    ImportantImportant :
    Vous devez être en mesure d’exporter le certificat à partir de votre serveur Exchange à l’aide de la clé privée du certificat. Si vous n’avez pas accès à la clé privée du certificat, vous ne pourrez pas utiliser le certificat sur le serveur Exchange 2016. Vous devrez effectuer les étapes de la section « Comment obtenir et installer un certificat SSL tiers ? » afin d’obtenir un certificat pour le serveur Exchange 2016.
  12. Assurez-vous que les options Échange d'informations personnelles - PKCS #12 (.pfx) et Inclure tous les certificats dans le chemin d'accès de certification si possible sont sélectionnées. Assurez-vous qu’aucune autre option n’est sélectionnée. Cliquez sur Suivant.

  13. Sélectionnez Mot de passe et entrez un mot de passe pour sécuriser votre certificat. Cliquez sur Suivant.

  14. Indiquez un nom de fichier pour le nouveau certificat. Utilisez l’extension de fichier .pfx. Cliquez sur Suivant, puis sur Terminer.

  15. Vous recevrez une demande de confirmation si l’exportation du certificat a abouti. Cliquez sur OK pour la fermer.

  16. Copiez le fichier .pfx que vous avez créé sur votre serveur de boîte aux lettres Exchange 2016 accessible sur Internet.

Une fois le certificat exporté à partir de votre serveur Exchange préexistant, vous devez l’importer sur votre serveur Exchange 2016 en suivant les étapes ci-après :

  1. Connectez-vous à votre serveur de boîtes aux lettres Exchange 2016 accessible sur Internet à l’aide d’un compte d’utilisateur de l’administrateur.

  2. Ouvrez une console MMC vide.

  3. Cliquez sur Fichier puis sur Ajouter/Supprimer un composant logiciel enfichable.

  4. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter>.

  5. Dans la fenêtre Composant logiciel enfichable Certificats qui apparaît, sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.

  6. Sélectionnez Ordinateur local et cliquez sur Terminer. Cliquez ensuite sur OK.

  7. Sous Racine de la console, développez Certificats (Ordinateur local), puis Personnel.

  8. Cliquez avec le bouton droit sur Personnel, sélectionnez Toutes les tâches, puis cliquez sur Importer.

  9. Dans l’Assistant Importation de certificat, cliquez sur Suivant.

  10. Cliquez sur Parcourir et sélectionnez le fichier .pfx que vous avez copié sur votre serveur de boîtes aux lettres Exchange 2016. Cliquez sur Ouvrir, puis sur Suivant.

    NoteRemarque :
    Vous devrez peut-être remplacer le filtre Nom du fichier dans la fenêtre Ouvrir par Tous les fichiers (*.*) afin de visualiser le fichier .pfx.
  11. Dans le champ Mot de passe, entrez le mot de passe utilisé pour sécuriser le certificat lors de l’exportation de ce dernier vers le serveur Exchange préexistant.

  12. Vérifiez que l’option Inclure toutes les propriétés étendues est sélectionnée, puis cliquez sur Suivant.

  13. Vérifiez que l’option Placer tous les certificats dans le magasin suivant est sélectionnée et que Personnel apparaît dans Magasin de certificats. Cliquez sur Suivant, puis sur Terminer.

  14. Vous recevrez une demande de confirmation si l’importation du certificat a abouti. Cliquez sur OK pour la fermer.

À présent que le nouveau certificat a été importé sur votre serveur de boîtes aux lettres Exchange 2016, vous devez l’attribuer à vos services Exchange en suivant les étapes ci-après :

  1. Ouvrez le CAE en accédant à l’URL de votre serveur de boîtes aux lettres Exchange 2016. Par exemple, https://Ex2016/ECP.

  2. Entrez votre nom d’utilisateur et votre mot de passe dans Domaine\nom d’utilisateur et Mot de passe, puis cliquez sur Se connecter.

  3. Dans la page Serveur > Certificats du CAE, sélectionnez le nouveau certificat que vous venez d’ajouter, puis cliquez sur Modifier Icône Modifier.

  4. Dans la page Certificat, cliquez sur Services.

  5. Sélectionnez les services que vous souhaitez affecter à ce certificat. Au minimum, vous devez sélectionner IIS, mais vous pouvez également sélectionner IMAP, POP et Routeur d’appels de messagerie unifiée si vous utilisez ces services. Si vous souhaitez utiliser un transport sécurisé, vous pouvez également sélectionner SMTP pour mettre ce certificat à la disposition du transport Exchange 2016. Cliquez sur Enregistrer.

  6. Si vous recevez l’avertissement Remplacer le certificat SMTP par défaut existant ?, cliquez sur Oui.

Pour vérifier que vous avez ajouté correctement le nouveau certificat, procédez comme suit :

  1. Dans l'EAC, accédez à Serveurs > Certificats.

  2. Sélectionnez le nouveau certificat puis, dans le volet d'informations du certificat, vérifiez que les options suivantes sont vraies :

    • État indique Valide.

    • Affecté aux services indique, au minimum, IIS et éventuellement IMAP, POP, Routeur d'appels de messagerie unifiée et SMTP.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection

 
Afficher: