Partager via


Procédure de configuration de certificats SSL pour utiliser plusieurs noms d'hôte de serveur d'accès au client

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-10-24

Cette rubrique décrit l'utilisation de l'environnement de ligne de commande Exchange Management Shell pour configurer vos certificats SSL (Secure Sockets Layer) afin d'utiliser plusieurs noms d'hôte.

Lorsque vous déployez vos ordinateurs exécutant Microsoft Exchange Server 2007 sur lesquels le rôle serveur d'accès au client est installé, vous devez vous assurer que tous les clients, tels que Outlook Web Access et Outlook 2007, sont en mesure de se connecter aux services en utilisant une session chiffrée sans recevoir de message d'erreur indiquant que le certificat n'est pas approuvé.

Notes

Pour que le serveur ISA (Internet Security and Acceleration) gère les connexions SSL à Exchange 2007, vous devez inclure le nom de sujet du certificat comme première entrée SAN lorsque vous demandez l'utilisation d'un certificat sur plusieurs serveurs ou plusieurs noms d'hôte.

Exchange Management Shell vous permet de créer une demande de certificat pour inclure tous les noms d'hôte DNS des serveurs d'accès au client. Vous pouvez ensuite permettre à des utilisateurs de se connecter au certificat pour des services tels que Outlook Anywhere, Autodiscover, POP3, IMAP4 ou la messagerie unifiée, répertoriés dans l'attribut de noms alternatifs. Par exemple, vos utilisateurs peuvent être en mesure de se connecter à vos services Exchange en spécifiant le nom comme indiqué dans les exemples suivants :

Au lieu de devoir demander plusieurs certificats et maintenir la configuration de plusieurs adresses IP et sites Web de services Internet (IIS) pour chaque combinaison de port IP et de certificat, vous pouvez créer un certificat unique permettant aux clients de se connecter avec succès à chaque nom d'hôte en utilisant SSL ou TLS (Transport Layer Security).

Vous pouvez créer un certificat unique en ajoutant toutes les valeurs de nom DNS possibles à la propriété Autre nom de l'objet du certificat sur la demande de certificat. Une Autorité de certification de services de certificat basée sur Microsoft Windows doit créer un certificat pour une telle demande. 

Notes

Les autorités de certification tierces ou basées sur Internet n'émettent des certificats que pour les noms DNS pour lesquels vous êtes autorisé. C'est pourquoi les noms DNS intranet ne seront probablement pas autorisés.

Pour configurer vos certificats SSL afin d'utiliser plusieurs noms d'hôte de serveur d'accès au client, procédez comme suit :

  1. Utilisez la cmdlet New-ExchangeCertificate pour créer un fichier de demande de certificat.

  2. Envoyez ce fichier à une Autorité de certification de services de certificats Windows et utilisez le modèle serveur Web présenté dans la page Autorité de certification. Cette opération produit un fichier .cer que vous pouvez importer sur le serveur d'accès au client.

  3. Utilisez la cmdlet Get-ExchangeCertificate pour déterminer l'empreinte de votre certificat.

  4. Après avoir importé le certificat, vous pouvez l'attribuer à IIS, IMAP4 et POP3 à l'aide de la cmdlet Enable-ExchangeCertificate.

Avant de commencer

Pour exécuter les procédures suivantes, vous devez utiliser un compte auquel le rôle Administrateur Affichage seul d'Exchange a été délégué.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Exchange 2007, consultez la rubrique Considérations relatives aux autorisations.

importantImportant :
Avant d'exécuter les procédures suivantes, vous devez lire la rubrique Gestion de la sécurité de l'accès au client.
importantImportant :
En matière de sécurité, il est recommandé de se connecter à l'ordinateur en utilisant un compte qui ne figure pas dans le groupe Administrateurs, puis d'utiliser la commande runas pour exécuter le Gestionnaire des services Internet en tant qu'administrateur. À l'invite de commandes, tapez runas /user:Nom_du_compte_d'administration"mmc systemroot\system32\inetsrv\iis.msc".
importantImportant :
Vous devez prendre en considération un grand nombre de variables lors de la configuration de certificats pour des services SSL ou TLS. Vous devez absolument avoir compris la manière dont ces variables peuvent affecter votre configuration globale. Avant de poursuivre, lisez la rubrique Création d’un certificat ou demande de certificat pour TLS.

Procédure

Utilisation d'Exchange Management Shell pour créer un fichier de demande de certificat

  1. Exécutez la commande suivante :

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt
    

    Cette commande crée un fichier texte contenant une demande de certificat au format PKCS#10.

Utilisation d'Exchange Management Shell pour importer un certificat

  1. Exécutez la commande suivante :

    Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
    

Utilisation d'Exchange Management Shell pour déterminer l'empreinte de votre certificat

  1. Pour déterminer l'empreinte, exécutez la commande suivante :

    Get-ExchangeCertificate -DomainName "CAS01"
    

Notes

Cette commande peut renvoyer plusieurs certificats s'ils correspondent au nom d'hôte spécifié. C'est pourquoi vous devez veiller à sélectionner l'empreinte du certificat approprié pour votre demande.

Utilisation d'Exchange Management Shell pour attribuer le certificat à IIS, POP3 et IMAP4

  1. Pour attribuer le certificat à IIS, POP3 et IMAP4, exécutez la commande suivante :

    Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
    
  2. Pour attribuer le certificat à un serveur qui l'attribue ensuite à tous les services s'exécutant sur le serveur Exchange, vous pouvez également exécuter la commande suivante :

    Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP" 
    

Pour plus d'informations sur la syntaxe et les paramètres des cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate et New-ExchangeCertificate, consultez la rubrique Cmdlets globales.

Pour plus d'informations

Pour plus d'informations sur la création de certificats ou de demandes de certificat pour SSL ou TLS, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS.