Renouveler un certificat Exchange 2010 facilement

Dans cet article nous allons voir comment renouveler un certificat Exchange 2010 facilement. Ce certificat pourra être utilisé pour les rôles IIS, IMAP, SMTP et POP de Microsoft Exchange.

Dans mon exemple, je dispose d'un domaine Active Directory, d'un serveur Microsoft Exchange 2010 ainsi que d'une autorité de certification pour signer les certificats (installé sur mon contrôleur de domaine AD).

AVERTISSEMENT

Si vous travaillez sur un serveur SBS
L'utilisation de la maintenance du réseau (réparer le réseau) disponible dans la console SBS est fortement déconseillé. Son utilisation va renouveler le certificat Exchange ainsi que l'autorité de certification. Il faudra redéployer l'autorité de certification sur tous vos postes clients.

Prérequis

Vous devez disposer d'un domaine Active Directory fonctionnel
Vous devez disposer d'un serveur Microsoft Exchange 2010 fonctionnel
Vous devez disposer des rôles suivants :
Services de certificats Active Directory

autocertif-01
Vous devez disposer des Services de rôle suivant :
Autorité de certification
Inscription de l'autorité de certification via le Web

autocertif-02Vous devez disposer d'une autorité de certification configurée et fonctionnelle

autocertif-03 autocertif-04

Création de la requête du nouveau certificat Exchange

1) Se connecter sur le serveur Exchange et ouvrir la console de gestion Exchange
Exchange Management Console - Configuration du serveur

renew_exchange_certificat01

renew_exchange_certificat02

2) Cliquer sur Nouveau certificat Exchange...

Il est possible de faire un clique droit sur le certificat et sélectionner Renouveler le certificat
Cela aura pour action de créer la requête du certificat, Si vous faites ce choix vous pouvez aller à l'étape Création du certificat avec l'autorité de certification

renew_exchange_certificat03

3) Indiquer un nom convivial pour le certificat (ce nom n'a pas d'importance)
Cliquer sur Suivant
renew_exchange_certificat04
4) Cliquer sur Suivant

renew_exchange_certificat05

5) Sélectionner Serveur d'accès client (Outlook Web App)
Cocher une ou des propositions
Cette étape n'a pas d'importance, nous allons remplir à la main les différents nom utilisés pour le certificat à l'étape suivante.
Cliquer sur Suivant

renew_exchange_certificat06

6) Ajouter tous les noms auquel le certificat va répondre
Cliquer sur Suivant

renew_exchange_certificat07

7) Renseigner les champs comme bon vous semble. Ils n'ont pas d'importance pour le fonctionnement du certificat ou du serveur Exchange
Indiquer le nom et l'emplacement du fichier de requête qui va être généré
Cliquer sur Suivant

renew_exchange_certificat08

8) Cliquer sur Nouveau

renew_exchange_certificat09

9) Cliquer sur Terminer

renew_exchange_certificat10

10) Votre requête est prête

renew_exchange_certificat11

Création du certificat avec l'autorité de certification

1) Connecté vous sur l'interface Web de l'autorité de certification
http://IP_SERVEUR/certsrv ou
https://IP_SERVEUR/certsrv

/!\ Attention /!\ Désactiver le mode protégé de IE ou utiliser un autre navigateur comme Firefox

Renseigner un utilisateur membre du groupe Admin du domaine

2) Cliquer sur Demander un certificat

renew_exchange_certificat12

3) Cliquer sur demande de certificat avancée

renew_exchange_certificat13

4) Ouvrir avec le bloc note le fichier .req généré à l'étape précédente et copier l’intégralité du fichier dans le premier champ
Sélectionner le modèle de certificat : Serveur WEB
Cliquer sur Envoyer

renew_exchange_certificat14

5) Cliquer sur Télécharger le certificat

renew_exchange_certificat15

Finalisation

1) Se connecter sur le serveur Exchange et ouvrir la console de gestion Exchange
Exchange Management Console - Configuration du serveur

2) Clique droit sur la demande en attente - Executer la commande en attente...

renew_exchange_certificat16

3) Cliquer sur Parcourir et indiquer le certificat généré à l'étape précédente
Cliquer sur Terminer

renew_exchange_certificat17

4) Cliquer sur Terminer

renew_exchange_certificat18

5) Notre nouveau certificat peut maintenant être utilisé par Exchange

renew_exchange_certificat19

renew_exchange_certificat20

Affectation des services au nouveau certificat

1) Clique droit sur le nouveau certificat - Affecter des services au certificat...

renew_exchange_certificat21

2) Cliquer sur Suivant

renew_exchange_certificat22

3) Sélectionner les services désiré
Cliquer sur Suivant

renew_exchange_certificat23

4) Cliquer sur Affecter

renew_exchange_certificat24

5) Si un des services est affecté à un autre certificat, vous obtiendrez cet avertissement
Cliquer sur Oui pour tout

renew_exchange_certificat25

6) Cliquer sur Terminer

renew_exchange_certificat26

7) Les services sont bien affecté à notre nouveau certificat

renew_exchange_certificat27

8) Nous pouvons supprimer l'ancien certificat qui est maintenant inutile
Clique droit sur l'ancien certificat - Supprimer

renew_exchange_certificat28

renew_exchange_certificat29

 

6 commentaires sur “Renouveler un certificat Exchange 2010 facilement

  1. MAZZU Reply

    Excellent article qui m'a permis de renouveler mon certificat... mais seulement pour une durée de 6 mois !!
    Sauriez-vous me dire pourquoi ?
    J'ai vérifié les registres et je suis bien sur 2 ans.
    Merci beaucoup !
    Orazio

  2. MAZZU Reply

    Merci beaucoup pour cette explication très complète qui m'a permis de renouveler mon certificat.
    Ceci dit, j'ai deux questions à ce sujet:
    1. Les navigateurs estiment que le certificat n'est pas sécure. J’imagine que pour éviter cela il faut acheter un certificat SSL d'une organisation reconnue ?
    2. La durée de mon nouveau certificat est très limitée, du 07/09/2017 au 26/02/2018. Pourquoi et comment faire pour un créer un certificat valable par exemple 3 ans ?
    Merci et j'espère à très bientôt,
    Orazio

  3. Nash TULSA Reply

    Article très complet, parfait.
    Pour avoir fait entièrement cette manipulation à maintes reprises, je rencontre malgré tout un problème sur les postes clients : un message d'erreur sur le certificat revient sans arrêt dans Outlook qui me dit que "Le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom de ce site".

    Comme tu le dis au début de ton article, sur un SBS, ne pas utiliser l'outil de réparation du réseau (chose que j'ai fais plusieurs fois 🙁 Mon problème pourrait-il venir de là et dans ce cas, comment "redéployer l'autorité de certification sur tout mes postes clients" ?

    Encore bravo pour ce tuto en tout les cas.

    • APB Informatique
      AdminPasBete AuteurReply

      un message d'erreur sur le certificat revient sans arrêt dans Outlook qui me dit que "Le nom sur le certificat de sécurité n'est pas valide ou ne correspond pas au nom de ce site".

      Vérifier le certificat présenté à Outlook par votre serveur en l'affichant et en validant que c'est bien le nouveau :). Exchange distingue si la connexion vient de l'intranet ou de l'extranet. Il est possible que vous ayez oublié d'ajouter le nom DNS local de votre serveur. Il est possible de modifier toute les urls internes par des urls externes :
      http://www.adminpasbete.fr/exchange-2013-modification-url-internes-externe/

      Comment "redéployer l'autorité de certification sur tout mes postes clients" ?

      Il est possible de la déployer facilement et rapidement par GPO. L’autorité de certification est un simple certificat à placer dans le magasin : Autorités de certification racines de confiance

      Pour exporter l'autorité de certification :
      http://www.adminpasbete.fr/exporter-certificat-de-lautorite-de-certification/

      Créer ou modifier une GPO en modifiant le paramètre suivant :
      Paramètres GPO : Configuration Ordinateur - Stratégies - Paramètres Windows - Paramètre de sécurité - Stratégies de clé publique - Autorités de certification racines de confiance

      Tenez moi au courant 🙂

      • Lizil Reply

        Hello
        Merci pour ton article
        La modification des url s'applique aussi a 2010 ?
        Je rencontre ce souci, les url semblent pourtant correctes.
        J'ai fait :

        Set-ClientAccessServer -Identity CD1.bidule.fr -AutodiscoverServiceInternalUri https://mails.bidule.fr/autodiscover/autodiscover.xml

        Set-WebServicesVirtualDirectory -Identity "CD1.bidule.fr\EWS (Default Web Site)" -InternalUrl https://mails.bidule.fr/ews/exchange.asmx

        Set-OABVirtualDirectory -Identity "CD1.bidule.fr\oab (Default Web Site)" -InternalUrl https://mails.bidule.fr/oab

        Et :

        Get-ExchangeServer | Where {($_.AdminDisplayVersion -Like "Version 14*") -And ($_.ServerRole -Like "*ClientAccess*")} | Get-ClientAccessServer | Format-Table Name, AutoDiscoverServiceInternalUri -Auto

        Get-WebServicesVirtualDirectory |fl identity,internalurl,externalurl

        me donnent des infos correctes

        J'ai aussi recyclé l'autodiscover du pool d'application de IIS

        Je sèche 🙁
        Si tu as une idée lumineuse, je suis preneuse !
        Merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *