New-ExchangeCertificate (RTM)
S’applique à : Exchange Server 2007
Dernière rubrique modifiée : 2007-09-13
La cmdlet New-ExchangeCertificate permet de créer un certificat auto-signé ou une demande d'un nouveau certificat pour les services TLS (Transport Layer Security) et SSL (Secure Sockets Layer).
Important : |
---|
Vous devez prendre en considération un grand nombre de variables lors de la configuration de certificats pour des services SSL et TLS. Vous devez avoir compris la manière dont ces variables peuvent affecter votre configuration globale. Avant de poursuivre, consultez la rubrique Utilisation de certificats dans un serveur Exchange 2007. |
Syntaxe
New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]
New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]
Description détaillée
La cmdlet New-ExchangeCertificate utilise plusieurs paramètres de type SwitchParameter
. Pour plus d’informations sur l’utilisation de ce type, consultez la section « Paramètres booléens » dans la rubrique Paramètres.
Pour exécuter la cmdlet New-ExchangeCertificate, vous devez utiliser un compte auquel ont été délégués :
- le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible.
Pour exécuter la cmdlet New-ExchangeCertificate sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.
Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Microsoft Exchange Server 2007, consultez la rubrique Considérations relatives aux autorisations.
Paramètres
Paramètre | Obligatoire | Type | Description |
---|---|---|---|
BinaryEncoded |
Facultatif |
System.Management.Automation.SwitchParameter |
Ce paramètre booléen permet de spécifier la manière dont le fichier exporté est codé. Par défaut, cette cmdlet crée un fichier utilisant le code Base64. Pour créer un fichier codé DER, définissez ce paramètre sur |
DomainController |
Facultatif |
System.String |
Pour spécifier le nom de domaine complet (FQDN) du contrôleur de domaine qui extrait des données du service d'annuaire Active Directory, incluez le paramètre DomainController dans la commande. Le paramètre DomainController n'est pas pris en charge sur les ordinateurs qui exécutent le rôle serveur de transport Edge. Le rôle serveur de transport Edge écrit uniquement sur l'instance Active Directory Application Mode (ADAM) locale. |
DomainName |
Facultatif |
Microsoft.Exchange.Data.MultiValuedProperty |
Ce paramètre permet de renseigner un ou plusieurs noms de domaine complet (FQDN) ou noms de serveurs dans la demande de certificat obtenue. Les noms de domaine sont restreints aux caractères « a-z », « 0-9 » et le trait d'union (« - »). Chaque nom de domaine peut contenir jusqu'à 255 caractères. Pour entrer plusieurs noms de domaine ou noms de serveur, vous devez entrer les noms, séparés par des virgules. |
Force |
Facultatif |
System.Management.Automation.SwitchParameter |
Ce paramètre booléen permet de remplacer un fichier de demande de certificat existant correspondant au chemin de fichier spécifié dans cette cmdlet. Par défaut, cette cmdlet ne remplace pas des fichiers existants. |
FriendlyName |
Facultatif |
System.String |
Ce paramètre permet de spécifier un nom convivial pour le certificat obtenu. Le nom convivial doit compter moins de 64 caractères. Le nom convivial par défaut est « Microsoft Exchange ». |
GenerateRequest |
Facultatif |
System.Management.Automation.SwitchParameter |
Ce paramètre permet de spécifier le type d'objet de certificat à créer. Par défaut, ce paramètre crée un certificat auto-signé dans un magasin de certificats de l'ordinateur local. Pour créer une demande de certificat pour un certificat PKI (PKCS #10) dans la banque de demande locale, définissez ce paramètre sur |
IncludeAcceptedDomains |
Facultatif |
System.Management.Automation.SwitchParameter |
Ce paramètre permet d'inclure tous les domaines acceptés définis dans le champ des noms de domaine. Vous pouvez également spécifier un paramètre DomainName dans la demande. Le certificat ou la demande obtenue contient l'ensemble des deux valeurs. |
IncludeAutoDiscover |
Facultatif |
System.Management.Automation.SwitchParameter |
Ce paramètre permet d'ajouter le préfixe « autodiscover » à chaque nom de domaine généré pour le certificat obtenu. Vous pouvez seulement spécifier ce paramètre lorsque vous exécutez cette cmdlet sur un serveur Exchange exécutant le rôle serveur d'accès au client. Remarque : ce paramètre n'ajoute pas le préfixe « autodiscover » si le nom contient déjà un préfixe. |
Instance |
Facultatif |
System.Security.Cryptography.X509Certificates.X509Certificate2 |
Ce paramètre permet de transmettre un objet entier à la commande à traiter. Le paramètre Instance est principalement utilisé dans les scripts où un objet entier doit être transmis à la commande. |
KeySize |
Facultatif |
System.Int32 |
Ce paramètre permet de spécifier la taille (en octets) de la clé publique RSA associée au certificat que vous créez. Les valeurs acceptées sont |
Path |
Facultatif |
System.String |
Ce paramètre permet de spécifier un chemin d’accès pour le fichier de demande PKCS #10 obtenu. Ce paramètre est valide uniquement si le paramètre GenerateRequest est défini sur La cmdlet New-ExchangeCertificate génère une demande de certificat dans la banque des certificats locaux si le paramètre Path est spécifié. La demande de certificat générée dans le magasin de certificats locale contient les clés du certificat obtenu. Vous devez spécifier le nom du fichier de demande lorsque vous utilisez ce paramètre. Le nom doit se terminer avec l'extension .req, par exemple :
Le fichier .req est utilisé par l'autorité de certification pour générer un certificat. |
PrivateKeyExportable |
Facultatif |
System.Boolean |
Ce paramètre permet de spécifier si le certificat résultant dispose une clé privée exportable. Par défaut, toutes les demandes de certificat créées par cette cmdlet n'autorisent pas l'exportation de la clé privée. Vous devez comprendre que si vous ne pouvez pas exporter la clé privée, le certificat lui-même ne peut être ni exporté ni importé. Définissez ce paramètre sur |
Services |
Facultatif |
Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices |
Ce paramètre permet de spécifier les services qui utiliseront le certificat obtenu. Vous ne pouvez pas spécifier les services si vous avez défini la valeur GenerateRequest sur Les entrées valides comprennent une combinaison des éléments suivants :
Pour créer un certificat auto-signé pour plusieurs services, insérez les valeurs entre guillemets et séparez-les par des virgules comme dans l'exemple suivant :
Pour créer un certificat désactivé afin de l'exporter vers un autre ordinateur, définissez ce paramètre sur La valeur par défaut est |
SubjectName |
Facultatif |
System.Security.Cryptography.X509Certificates.X500DistinguishedName |
Ce paramètre permet de spécifier le nom de l'objet pour le certificat obtenu. Le nom du sujet d'un certificat est le champ utilisé par les services prenant en charge DNS. Le nom du sujet lie un certificat à un serveur particulier ou à un nom de domaine. Un nom de sujet est un nom unique X.500 comprenant un ou plusieurs noms uniques relatifs (également appelés RDN). Par défaut, le nom de domaine complet du serveur où la cmdlet est exécutée est utilisé comme nom commun (CN) dans le certificat obtenu. |
Types d'entrées
Types de retours
Erreurs
Erreur | Description |
---|---|
|
Exceptions
Exceptions | Description |
---|---|
|
Exemple
Le premier exemple présente l'exécution de la cmdlet sans arguments. Lorsque vous exécutez la cmdlet New-ExchangeCertificate sans arguments, un certificat auto-signé est généré pour SMTP SSL/TLS. Le certificat dispose du nom de domaine complet de l'ordinateur local comme Nom de l'objet. Ce certificat de transport interne peut être utilisé, tel quel, pour le chiffrement et l'authentification de confiance directe entre les serveurs de transport Edge et de transport Hub. Le groupe de sécurité local des Services du réseau dispose également de l'accès en lecture à la clé privée associée au certificat. En outre, le certificat est publié sur Active Directory de sorte que la confiance directe Exchange Server puisse être utilisée pour valider l'authenticité du serveur pour le certificat Mutual TLS.
Le deuxième exemple présente l'exécution de la cmdlet pour qu'une demande de certificat soit générée et copiée vers un chemin sur l'ordinateur local. Les attributs suivants sont associés au certificat obtenu :
nom de l'objet : c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com ;
noms alternatifs de l'objet : woodgrove.com et example.com ;
une clé privée exportable.
Pour d'autres exemples, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS et les entrées du billet de l'équipe Exchange Serveur suivantes :
Leçons apprises : Génération d'un certificat avec une autorité de certification tierce
-
Notes
UNRESOLVED_TOKEN_VAL(exBlog)
Pour plus d'informations, consultez la page relative au livre blanc sur la fonction de sécurité du domaine.
New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true