Gérer le certificat OAuth Exchange Server
Informations générales
Cette documentation décrit les étapes requises pour faire pivoter le certificat d’authentification Exchange Server sans interrompre le service Exchange et avant l’expiration du certificat actuel.
Conseil
Vous pouvez également utiliser le script MonitorExchangeAuthCertificate . Il effectue les étapes nécessaires à la rotation automatique du certificat OAuth. Il peut également vous aider à remplacer le certificat OAuth s’il a déjà expiré.
La configuration d’authentification et le certificat d’authentification sont utilisés par le serveur Microsoft Exchange pour activer l’authentification de serveur à serveur à l’aide de la norme de protocole OAuth (Open Authorization). Vous trouverez plus d’informations à ce sujet dans l’article suivant : Planifier l’intégration d’Exchange à SharePoint et Skype entreprise
Le certificat d’authentification est également utilisé par plusieurs fonctionnalités de sécurité Exchange Server.
Lors de l’installation du premier serveur Exchange, la routine d’installation génère un certificat auto-signé avec le nom Microsoft Exchange Server Auth Certificateconvivial , qui est ensuite ajouté à une nouvelle configuration d’authentification. Ce certificat est automatiquement répliqué sur tous les serveurs frontaux de l’organisation Exchange. Le servicelet de certificat Exchange effectue la réplication, qui fait partie du MSExchangeServiceHost processus. Si vous ajoutez d’autres serveurs à votre organisation Exchange, le servicelet se charge de répliquer le certificat sur tous les serveurs Exchange qui ont été ajoutés à l’organisation.
Le certificat, qui est configuré comme certificat d’authentification actuel, peut être interrogé en exécutant la requête PowerShell suivante (doit être exécutée dans Exchange Management Shell) :
(Get-AuthConfig).CurrentCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
Si l’appel échoue avec l’avertissement suivant, cela signifie que le certificat d’authentification actuel est manquant sur le serveur.
A special Rpc error occurs on server <Servername>: The certificate with thumbprint <AuthCertificateThumbprint> was not found.
Suivez les instructions mentionnées dans la section « Quelles sont les étapes à suivre si le certificat actuel a déjà expiré ou est manquant » à corriger.
Le certificat, qui est configuré comme certificat d’authentification suivant, peut être interrogé comme suit :
(Get-AuthConfig).NextCertificateThumbprint | Get-ExchangeCertificate | Format-List Subject, Thumbprint, NotAfter, NotBefore
Si l’appel échoue avec le même avertissement que pour le certificat d’authentification actuel, cela signifie que le certificat d’authentification suivant n’est pas configuré ou est manquant sur le serveur.
Suivez les instructions décrites dans « Comment faire pivoter le certificat d’authentification Exchange Server » si le certificat d’authentification actuel est sur le point d’expirer.
Quelles sont les étapes à suivre si le certificat actuel a déjà expiré ou est manquant ?
Dans ce cas, il est nécessaire de remplacer immédiatement l’ancien certificat d’authentification par un nouveau. Suivez les instructions décrites dans la section Résolutions de l’article de support suivant : Impossible de se connecter à Outlook sur le web ou au CENTRE d’administration Exchange si le certificat OAuth Exchange Server a expiré
Comment faire pivoter le certificat d’authentification Exchange Server
Avant d’expirer, il est important de remplacer le certificat d’authentification actif par un nouveau certificat. Cela garantit une transition fluide vers un nouveau certificat sans interrompre le service Exchange. Vous pouvez suivre les étapes ci-dessous pour préparer et préparer un nouveau certificat d’authentification.
Importante
Vérifiez que la dernière mise à jour cumulative Exchange Server (CU) est installée, car elle contient des correctifs qui affectent la fonctionnalité Exchange correspondante.
Générez un nouveau certificat d’authentification en exécutant la commande suivante :
$newAuthCertificate = New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName @()Ne remplacez pas le certificat SMTP par défaut existant (tapez « N » et appuyez sur Entrée) :
Confirm Overwrite the existing default SMTP certificate? Current certificate: '<DefaultSMTPCertificateThumbprint>' (expires 12/30/2027 2:39:08 PM) Replace it with certificate: '<NewCertificateThumbprint>' (expires 1/5/2028 9:04:48 AM) [Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): NConfigurez le certificat d’authentification pour qu’il devienne le nouveau certificat actif dans 49 heures au plus tôt :
Set-AuthConfig -NewCertificateThumbprint $newAuthCertificate.Thumbprint -NewCertificateEffectiveDate (Get-Date).AddHours(49)
Selon la taille de votre organisation Exchange, le déploiement du nouveau certificat d’authentification sur tous les serveurs Exchange peut prendre un certain temps. Nous vous recommandons de planifier au moins 48 heures avant que le certificat d’authentification nouvellement généré ne devienne actif. Dans un environnement Exchange volumineux, cela peut prendre encore plus de temps.
Une référence au certificat d’authentification est mise en cache par le pool d’applications MSExchangeOWAAppPool et MSExchangeECPAppPool . Vous pouvez recycler ces pools d’applications pour actualiser cette référence. Pour ce faire, exécutez les commandes suivantes à partir d’une fenêtre PowerShell avec élévation de privilèges :
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
Le servicelet Exchange AuthAdmin, qui fait également partie du MSExchangeServiceHost processus, est responsable du processus final de publication du certificat d’authentification. Le servicelet est exécuté immédiatement si le MSExchangeServiceHost service est redémarré. Ensuite, il est exécuté toutes les 12 heures et s’il détecte que le NewCertificateEffectiveDate est atteint, il publie ensuite le nouveau certificat d’authentification pour en faire le nouveau certificat actif.
Pour vous assurer que le servicelet AuthAdmin peut démarrer, vous devez activer lorsque AuthAdminReadSession vos serveurs Exchange sont installés dans un domaine enfant et que la boîte aux lettres système se trouve dans le domaine racine. Sinon, le servicelet AuthAdmin ne peut pas démarrer. Exécutez l’applet de commande PowerShell suivante si vos serveurs Exchange sont installés dans la constellation décrite :
Set-OrganizationConfig -EnableAuthAdminReadSession:$true
Vous pouvez interroger le dernier runtime du servicelet AuthAdmin en exécutant les applets de commande PowerShell suivantes :
[xml]$xml = Get-ExchangeDiagnosticInfo -Process "Microsoft.Exchange.ServiceHost"
$xml.Diagnostics.Components.AnchorApplication.AnchorServiceComponents.CacheScheduler.lastRunTime
Chaque exécution du servicelet AuthAdmin est journalisée dans le répertoire suivant : <ExchangeInstallPath>\Logging\AuthAdminLogs
Le servicelet génère une nouvelle entrée de journal des événements lorsque la rotation du certificat d’authentification est terminée :
Log Name: Application
Source: MSExchange AuthAdmin
Date: 12/29/2022 5:56:13 AM
Event ID: 2014
Task Category: General
Level: Information
Keywords: Classic
User: N/A
Description: The current signing certificate for Exchange has been updated to certificate with thumbprint <NewExchangeCertificateThumbprint>.
Foire aux questions
Question: Est-il nécessaire de réexécuter l’Assistant Configuration hybride (HCW) après le remplacement du certificat d’authentification ?
Répondre: Oui, nous vous recommandons vivement d’exécuter l’Assistant Configuration hybride (HCW) après le remplacement du certificat d’authentification actif.
Question: Que dois-je faire si le nouveau certificat d’authentification est manquant sur un serveur Exchange dans un autre site Active Directory (AD) ?
Répondre: Vous pouvez exporter le certificat à l’aide de l’applet de commande Export-ExchangeCertificate et l’importer via Import-ExchangeCertificate sur un serveur dans l’autre site AD. Le servicelet de certificat s’occupe de la réplication vers les serveurs Exchange restants situés dans le site AD.