Créer un certificat auto-signé Exchange Server

  • Article

Lorsque vous installez Exchange Server, un certificat auto-signé créé et signé par le serveur Exchange lui-même est automatiquement installé sur le serveur. Toutefois, vous pouvez également créer des certificats auto-signés supplémentaires que vous pouvez utiliser.

Vous pouvez créer des certificats auto-signés dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell.

Ce qu'il faut savoir avant de commencer

  • Durée d'exécution estimée : 5 minutes.

  • Les certificats auto-signés Exchange conviennent au chiffrement des communications entre les serveurs Exchange internes, mais pas au chiffrement des connexions externes, car les clients, les serveurs et les services n'approuvent pas automatiquement les certificats auto-signés Exchange. Pour créer une demande de certificat (également appelée demande de signature de certificat ou CSR) pour une autorité de certification commerciale qui est automatiquement approuvée par tous les clients, serveurs et services, consultez Créer une demande de certificat Exchange Server pour une autorité de certification.

  • Lorsque vous créez un certificat auto-signé à l'aide de la cmdlet New-ExchangeCertificate, vous pouvez affecter le certificat à des services Exchange pendant la procédure de création. Pour plus d’informations sur les services Exchange, consultez Affecter des certificats aux services Exchange Server.

  • Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.

  • Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Conseil

Vous rencontrez des difficultés ? Demandez de l'aide en participant aux forums Exchange. Visitez le forum à l'adresse : Exchange Server, Exchange Online ou Exchange Online Protection.

Utiliser le CAE pour créer un certificat auto-signé Exchange

  1. Ouvrez le Centre d’administration Exchange et accédez à Certificats de serveurs>.

  2. Dans la liste Sélectionner un serveur, sélectionnez le serveur Exchange sur lequel vous souhaitez installer le certificat, puis cliquez sur Ajouterl’icône Ajouter.

  3. L'Assistant Nouveau certificat Exchange s'ouvre. Sur la page Cet Assistant créera un nouveau certificat ou un fichier de demande de certificat, sélectionnez Créer un certificat auto-signé, puis cliquez sur Suivant.

    Note: Pour créer une demande de certificat pour une autorité de certification, consultez Créer une demande de certificat Exchange Server pour une autorité de certification.

  4. Sur la page Nom convivial de ce certificat, entrez un nom convivial pour votre certificat, puis cliquez sur Suivant.

  5. Dans la page Spécifier les serveurs auxquels vous souhaitez appliquer ce certificat , cliquez sur l’icône Ajouter.

    Sur la page Sélectionner un serveur qui s'ouvre, sélectionnez le serveur Exchange où vous voulez installer le certificat, puis cliquez sur Ajouter - >. Répétez cette étape autant de fois que nécessaire. Lorsque vous avez terminé de sélectionner les serveurs, cliquez sur OK.

    Lorsque vous avez terminé, cliquez sur Suivant.

  6. La page Spécifiez les domaines que vous souhaitez inclure dans votre certificat est une feuille de calcul qui vous permet de définir les noms des hôtes internes et externes requis dans le certificat pour les services Exchange suivants :

    • Outlook sur le web

    • Génération de carnet d'adresses en mode hors connexion

    • Services Web Exchange

    • Exchange ActiveSync

    • Découverte automatique

    • POP

    • IMAP

    • Outlook Anywhere

      Si vous entrez une valeur pour chaque service en fonction de son emplacement (interne ou externe), l'Assistant détermine les noms d'hôte requis dans le certificat, et les informations sont affichées sur la page suivante. Pour modifier une valeur pour un service, cliquez sur Modifier (icône Modifier.) et entrez la valeur du nom d’hôte que vous souhaitez utiliser (ou supprimez la valeur). Lorsque vous avez terminé, cliquez sur Suivant.

      Si vous avez déjà déterminé les noms d'hôte requis dans le certificat, vous n'avez pas besoin de remplir les informations sur cette page. À la place, cliquez sur Suivant pour entrer manuellement les noms d'hôte sur la page suivante.

  7. En fonction de vos sélections, les domaines suivants seront inclus dans votre page de certificat répertorie les noms d’hôtes qui seront inclus dans le certificat auto-signé. The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.

    • Si vous souhaitez un certificat SAN, le champ Subject nécessite toujours une valeur de nom commun (CN). Pour sélectionner le nom d'hôte du champ Subject du certificat, sélectionnez la valeur et cliquez sur Définir en tant que nom commun (case à cocher). La valeur doit maintenant apparaître en gras.

    • Si vous souhaitez un certificat pour un nom d’hôte unique, sélectionnez les autres valeurs une par une, puis cliquez sur Supprimer (icône Supprimer).

      Lorsque vous avez terminé cette page, cliquez sur Terminer.

    Remarques :

    • Vous ne pouvez pas supprimer la valeur du nom d'hôte en gras qui sera utilisée pour le champ Subject du certificat. Tout d'abord, vous devez sélectionner ou ajouter un autre nom d'hôte, puis cliquez sur Définir en tant que nom commun (case à cocher).
    • Les modifications apportées sur cette page peuvent être perdues si vous cliquez sur le bouton Précédent.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour créer un certificat auto-signé Exchange

Pour créer un certificat auto-signé Exchange, utilisez la syntaxe suivante :

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

Cet exemple crée un certificat auto-signé sur le serveur Exchange local avec les propriétés suivantes :

  • Objet : <ServerName>. Par exemple, si vous exécutez la commande sur le serveur nommé Mailbox01, la valeur est Mailbox01.
  • Autres noms d’objet : <ServerName>, <Server FQDN>. Par exemple : Mailbox01, Mailbox01.contoso.com.
  • Nom convivial : Microsoft Exchange
  • Services : POP, IMAP, SMTP.
New-ExchangeCertificate

Cet exemple crée un certificat auto-signé sur le serveur Exchange local avec les propriétés suivantes :

  • Objet : Exchange01, qui nécessite la valeur CN=Exchange01. Notez que cette valeur est automatiquement incluse dans le paramètre DomainName (champ Autre nom de l’objet ).
  • Autres noms de l'objet supplémentaires :
    • mail.contoso.com
    • autodiscover.contoso.com
    • Exchange01.contoso.com
    • Exchange02.contoso.com
  • Services : SMTP, IIS
  • Nom convivial : Certificat Exchange Contoso
  • La clé privée est exportable. Ainsi, vous pouvez exporter le certificat à partir du serveur (et l'importer sur d'autres serveurs).
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Remarques :

  • La seule partie requise de la valeur du paramètre X.500 SubjectName (champ Subject du certificat) est CN=<HostNameOrFQDN>.
  • Certaines valeurs de paramètre Services génèrent des messages d’avertissement ou de confirmation. Pour plus d’informations, consultez Attribuer des certificats à Exchange Server services.
  • Pour plus d'informations, consultez la rubrique New-ExchangeCertificate.

Comment savoir si cela a fonctionné ?

Pour vérifier qu'un certificat auto-signé Exchange a bien été créé, appliquez l'une des procédures suivantes :

  • Dans le centre d’administration Exchange surCertificats de serveurs>, vérifiez que le serveur sur lequel vous avez créé le certificat auto-signé est sélectionné. Le certificat devrait figurer dans la liste des certificats avec l' étatValide.

  • Dans l'Environnement de ligne de commande Exchange Management Shell du serveur sur lequel le certificat auto-signé a été créé, exécutez la commande suivante pour vérifier les propriétés :

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter