Configurer les certificats Exchange

  • Article

 

Durée d’exécution estimée : 10 minutes

Les certificats numériques sont importants pour sécuriser les communications entre les serveurs Exchange 2016 locaux, les clients et Office 365. Vous devez obtenir un certificat émis par une autorité de certification (CA) tierce approuvée, qui sera installé sur les serveurs de boîtes aux lettres et de transport Edge. Les certificats auto-signés assurent la sécurité des communications sur les connexions internes entre les serveurs de boîtes aux lettres Exchange 2016 locaux. Il est également préférable que le nom commun de votre certificat corresponde au domaine SMTP principal de votre organisation.

Pour plus d'informations, consultez la rubrique suivante : Conditions requises pour les certificats dans le cadre de déploiements hybrides

Comment obtenir un certificat ?

Avant de pouvoir configurer des certificats sur des serveurs Exchange, vous devez obtenir un certificat auprès d’une autorité de certification approuvée. Exécutez l’opération suivante sur un serveur de boîtes aux lettres Exchange 2016 pour demander un nouveau certificat à utiliser avec le déploiement hybride.

  1. Ouvrez le Centre d’administration Exchange en accédant à la page https://<FQDN of Mailbox server>/ECP.

  2. Entrez votre nom d'utilisateur et votre mot de passe dans Domaine\nom d'utilisateur et Mot de passe, puis cliquez sur Se connecter.

  3. Accédez à Serveurs > Certificats. Sur la page Certificats, vérifiez que votre serveur de boîtes aux lettres Exchange 2016 accessible sur Internet est sélectionné dans le champ Sélectionner le serveur, puis cliquez sur AjouterIcône Ajouter.

  4. Dans l'Assistant Nouveau certificat Exchange, sélectionnez Créer une demande pour un certificat depuis une autorité de certification, puis cliquez sur Suivant.

  5. Spécifiez un nom pour ce certificat, puis cliquez sur Suivant. Par exemple, « contoso.com ».

  6. Si vous souhaitez demander un certificat de caractère générique, sélectionnez Demander un certificat de caractère générique, puis spécifiez le domaine racine de tous les sous-domaines dans le champ Domaine racine. Si vous ne souhaitez pas demander de certificat de caractère générique et si vous voulez à la place spécifier chaque domaine à ajouter au certificat, ne renseignez pas cette page. Cliquez sur Suivant.

  7. Cliquez sur Parcourir et spécifiez un serveur Exchange pour y stocker le certificat. Le serveur que vous sélectionnez doit être le serveur de boîtes aux lettres Exchange 2016 accessible sur Internet. Cliquez sur Suivant.

  8. Pour chaque service de la liste, spécifiez les noms de serveur externe et interne que les utilisateurs emploieront pour se connecter au serveur Exchange. Par exemple, pour Outlook Web App (lorsqu’il y a un accès à Internet), vous devez spécifier owa.contoso.com. Pour OWA (lorsqu’il y a un accès à l’Intranet), vous devez spécifier internal.corp.contoso.com. Ces domaines serviront à créer la demande de certificat SSL. Cliquez sur Suivant.

    Important

    Il est également préférable que le nom commun de votre certificat corresponde au domaine SMTP principal de votre organisation. Veillez à affecter le domaine SMTP principal comme le nom commun du certificat. Par exemple, vous pouvez sélectionner le domaine « contoso.com » et cliquer sur l'icône en forme de coche.

  9. {#Text:E16ADFSBullet1#}

    Ajoutez le nom de domaine complet du serveur proxy web AD FS au certificat. Par exemple, si le nom de domaine complet du serveur est sts.contoso.com, ajoutez ce nom de domaine complet au certificat.

  10. Ajoutez tous les domaines supplémentaires que vous voulez inclure sur le certificat SSL. Si vous déployez un serveur de transport Edge dans le cadre de votre déploiement hybride, ajoutez le nom de domaine complet externe pour le serveur de transport Edge. Par exemple, « edge.contoso.com ». Cliquez sur Suivant.

  11. Fournissez des informations sur votre organisation. Ces informations seront inclues au certificat SSL. Cliquez sur Suivant.

  12. Spécifiez l'emplacement du réseau dans lequel vous voulez enregistrer cette demande de certificat. Cliquez sur Terminer.

Comment importer et configurer le certificat ?

Après avoir obtenu un certificat auprès d’une autorité de certification approuvée, exécutez les étapes ci-dessous sur un serveur Exchange 2016 afin d’importer votre certificat et de configurer les services Exchange permettant d’utiliser ce dernier dans le cadre de votre déploiement hybride. Vous devez également importer le certificat sur serveurs de boîtes aux lettres et affecter des services Exchange :

  1. Dans la page Serveur > Certificats du CAE, sélectionnez votre serveur de boîtes aux lettres Exchange 2016 accessible sur Internet et la demande de certificat créée lors des étapes précédentes.

  2. Dans le volet d'informations de demande de certificat, cliquez sur Terminer sous État.

  3. Dans la page Effectuer la demande en attente, spécifiez le chemin d'accès au fichier du certificat SSL et cliquez sur OK.

  4. Sélectionnez le nouveau certificat à ajouter, puis cliquez sur ModifierIcône Modifier.

  5. Dans la page Certificat, cliquez sur Services.

  6. Sélectionnez les services que vous souhaitez attribuer à ce certificat. Au minimum, vous devez sélectionner SMTP et IIS. Cliquez sur Enregistrer.

  7. Si vous recevez l'avertissement Remplacer le certificat SMTP par défaut existant ?, cliquez sur Non.

Pour importer le certificat sur d’autres serveurs de boîtes aux lettres et affecter des services Exchange, procédez comme suit :

  1. Dans la page Serveur > Certificats du CAE, sélectionnez un autre serveur de boîtes aux lettres Exchange 2016.

  2. Cliquez sur Plus d'optionsIcône Options supplémentaires et sélectionnez Importer le certificat Exchange.

  3. Entrez le chemin d'accès au fichier du certificat que vous avez configuré pour le déploiement hybride.

  4. Entrez le mot de passe du certificat.

  5. Cliquez sur Suivant.

  6. Cliquez sur Icône Ajouter.

  7. Sélectionnez les serveurs de boîtes aux lettres et cliquez sur Ajouter, puis sur OK.

  8. Cliquez sur Terminer.

  9. Une fois le certificat importé et répertorié dans la liste, sélectionnez-le et cliquez sur Modifier Icône Modifier.

  10. Dans les propriétés du certificat, cliquez sur Services.

  11. Activez la case à cocher SMTP et cliquez sur Enregistrer.

Comment savoir si cela a fonctionné ?

Si l'exécution des Assistants Nouveau certificat Exchange, Importer et Affecter les services réussit, l'importation et l'affectation de services au certificat ont fonctionné comme prévu.

Pour vérifier que le certificat a bien été importé, vous pouvez également exécuter la commande suivante dans l'environnement de ligne de commande Exchange Management Shell d'Exchange sur un serveur Exchange afin d'afficher les certificats présents dans le magasin local de certificats ainsi que les services affectés au certificat.

Get-ExchangeCertificate |fl

Le certificat que vous avez installé doit figurer dans la liste des certificats Exchange renvoyée par la cmdlet Get-ExchangeCertificate, y compris les attributs de paramètres affectés à chaque certificat. Vérifiez que le certificat émis par l'autorité de certification (CA) tierce approuvée que vous utiliserez pour le déploiement hybride présente les caractéristiques suivantes :

  • Les services IIS et SMTP sont affectés à l'attribut Service.

  • L'attribut Status est répertorié comme « Valide ».

  • L'attribut RootCAType est répertorié comme « Tierce partie ».

Si une des trois conditions susmentionnées n'est pas remplie, vous ne pouvez pas utiliser le certificat avec l'Assistant Configuration hybride ou avec le déploiement hybride.

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Office 365. Pour accéder à ces forums, vous devez vous connecter en utilisant un compte disposant de l’accès administrateur au service informatique en nuage. Consultez les forums suivants : Forums Office 365