Partager via


Délivrer des certificats aux services Exchange Server

Après avoir installé un certificat sur un serveur Exchange, vous devez attribuer le certificat à un ou plusieurs services Exchange avant que le serveur Exchange puisse utiliser le certificat pour le chiffrement. Vous pouvez affecter des certificats à des services dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell. Une fois un certificat affecté à un service, vous ne pouvez plus supprimer l'affectation. Si vous ne souhaitez plus utiliser un certificat pour un service spécifique, vous devez affecter un autre certificat au service, puis supprimer le certificat que vous ne souhaitez plus utiliser.

Les services Exchange disponibles sont décrits dans le tableau suivant.

Service Utilise
Services Internet (IIS) Chiffrement TLS pour les connexions client internes et externes qui utilisent le protocole HTTP. Notamment :
Découverte automatique
Exchange ActiveSync
Centre d'administration Exchange
Services Web Exchange
Distribution de carnet d'adresses en mode hors connexion
Outlook Anywhere (RPC sur HTTP)
Outlook MAPI sur HTTP
Outlook sur le web
IMAP Chiffrement TLS pour les connexions client IMAP4.
N'affectez pas de certificat de caractère générique au service IMAP4. À la place, utilisez la cmdlet Set-ImapSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service IMAP4.
POP Chiffrement TLS pour les connexions client POP3.
N'affectez pas de certificat de caractère générique au service POP3. À la place, utilisez la cmdlet Set-PopSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service POP3.
SMTP Chiffrement TLS pour les connexions client et serveur SMTP externes.
Authentification TLS mutuelle entre Exchange et d'autres serveurs de messagerie.
Lorsque vous attribuez un certificat à SMTP, vous êtes invité à remplacer le certificat auto-signé Exchange par défaut utilisé pour chiffrer la communication SMTP entre les serveurs Exchange internes. En règle générale, vous n'avez pas besoin de remplacer le certificat SMTP par défaut.
Messagerie unifiée (UM) Chiffrement TLS pour les connexions clientes au service de messagerie unifiée back-end sur les serveurs de boîtes aux lettres Exchange 2016.
Vous pouvez uniquement affecter un certificat au service de messagerie unifiée lorsque le mode de démarrage de messagerie unifiée du service est défini sur TLS ou Double. Si le mode de démarrage de messagerie unifiée est défini sur TCP (valeur par défaut), vous ne pouvez pas affecter le certificat au service de messagerie unifiée. (Remarque : la messagerie unifiée n’est pas disponible dans Exchange 2019). Pour plus d'informations, voir Configure the Startup Mode on a Mailbox Server.
Routeur d’appels de messagerie unifiée (UMCallRouter) Chiffrement TLS pour les connexions clientes au service Routeur d’appels de messagerie unifiée dans les services d’accès au client sur les serveurs de boîtes aux lettres Exchange 2016.
Vous pouvez uniquement affecter un certificat au service routeur des appels de messagerie unifiée lorsque le mode de démarrage de messagerie unifiée du service est défini sur TLS ou Double. Si le mode de démarrage de messagerie unifiée est défini sur TCP (valeur par défaut), vous ne pouvez pas affecter le certificat au service routeur des appels de messagerie unifiée. (Remarque : la messagerie unifiée n’est pas disponible dans Exchange 2019). Pour plus d'informations, voir Configure the Startup Mode on a Client Access Server.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée : 5 minutes.

  • Après avoir suivi les procédures décrites dans cette rubrique, vous devrez peut-être redémarrer internet (IIS). Dans certains scénarios, Exchange peut continuer à utiliser le certificat précédent pour chiffrer et déchiffrer le cookie utilisé pour l’authentification Outlook sur le web (anciennement Appelé Outlook Web App). Nous vous recommandons de redémarrer IIS dans des environnements qui utilisent l’équilibrage de charge des couches de niveau 4.

  • Si vous renouvelez ou remplacez un certificat émis par une autorité de certification sur un serveur de transport Edge abonné, vous devez supprimer l'ancien certificat, puis supprimer et recréer l'abonnement Edge. Pour plus d'informations, consultez la section Processus d'abonnement Edge.

  • Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Utiliser le CAE pour affecter un certificat à des services Exchange

  1. Ouvrez le CENTRE d’administration Exchange et accédez à Certificats de serveurs>.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat.

  3. Sélectionnez le certificat que vous souhaitez configurer, puis cliquez sur Modifierl’icône Modifier. Le champ État du certificat doit avoir pour valeur Valide.

  4. Dans l’onglet Services, section Spécifiez les services auxquels affecter ce certificat, sélectionnez les services. Vous pouvez ajouter des services, mais vous ne pouvez pas les supprimer. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour affecter un certificat à des services Exchange

Pour affecter un certificat à des services Exchange, utilisez la syntaxe suivante :

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

Cet exemple affecte le certificat qui a la valeur 434AC224C8459924B26521298CE8834C514856AB d’empreinte numérique aux services POP, IMAP, IIS et SMTP.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

Vous pouvez rechercher la valeur d'empreinte numérique du certificat à l'aide de la cmdlet Get-ExchangeCertificate.

Comment savoir si cela a fonctionné ?

Pour vérifier qu'un certificat a bien été affecté à un ou plusieurs services Exchange, appliquez l'une des procédures suivantes :

  • Dans le centre d’administration Exchange àl’adresse Certificats de serveurs>, vérifiez que le serveur sur lequel vous avez installé le certificat est sélectionné. Sélectionnez le certificat, puis dans le volet d'informations, vérifiez que la propriété Assignés aux services contient les services que vous avez sélectionnés.

  • Dans l'Environnement de ligne de commande Exchange Management Shell du serveur où le certificat est installé, exécutez la commande suivante pour vérifier que les services Exchange associés au certificat :

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services