Configurer des certificats pour l'interface externe
Dernière rubrique modifiée : 2009-01-25
Après avoir configuré les certificats pour l'interface interne, vous pouvez configurer les certificats pour l'interface externe.
Pour obtenir la liste des exigences liées aux certificats de l'interface externe de vos serveurs de périphérie, consultez Certificats requis pour l’accès des utilisateurs externes. Pour obtenir la liste des autorités de certification publiques fournissant des certificats conformes aux exigences des communications unifiées et ayant conclu un partenariat avec Microsoft afin de garantir la compatibilité de leurs certificats avec l'Assistant Certificat d'Office Communications Server, consultez l'article 929395 de la Base de connaissances Microsoft, « Partenaires de certification de messagerie unifiée pour Microsoft Exchange 2007 et Office Communications Server 2007 », à l'adresse https://go.microsoft.com/fwlink/?LinkId=140898.
Configuration des certificats sur les interfaces externes
Vous devez configurer deux certificats sur l'interface externe de chaque serveur de périphérie, à savoir un certificat pour le service Edge d'accès sur ce serveur et un second pour le service Edge de conférence Web. Pour cela, utilisez les procédures décrites dans cette section :
Étape 1 : Créer la demande de certificat pour l'interface externe du serveur de périphérie.
Étape 2 : Envoyer la demande à votre autorité de certification publique.
Étape 3 : Importer le certificat pour l'interface externe de chaque serveur de périphérie.
Étape 4 : Assigner le certificat pour l'interface externe de chaque serveur de périphérie.
.gif "Dd441368.note(fr-fr,office.13).gif")
Remarque :Pour demander un certificat à une autorité de certification externe, vos informations d'identification doivent présenter certains droits. Chaque autorité de certification dispose d'une stratégie de sécurité qui définit les informations d'identification (noms d'utilisateur et de groupe spécifiques) et par conséquent les autorisations nécessaires pour demander, émettre, gérer ou lire des certificats.
Pour créer la demande de certificat pour l'interface externe du serveur de périphérie
Sur le serveur de périphérie, dans la page Déployer un serveur de périphérie de l'Assistant Déploiement, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.
Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.
Dans la page Tâches disponibles, cliquez sur Créer un certificat, puis sur Suivant.
Dans la page Demande mise en attente ou immédiate, activez la case à cocher Préparer la demande maintenant, mais l'envoyer ultérieurement, puis cliquez sur Suivant.
Dans la page Nom et paramètres de sécurité, tapez un nom convivial pour le certificat, spécifiez la longueur en bits (la valeur par défaut est généralement 1 024), vérifiez que la case à cocher Rendre le certificat exportable est activée, puis cliquez sur Suivant.
Dans la page Informations relatives à l'organisation, tapez le nom de l'organisation et de l'unité d'organisation (par exemple, une division ou un service), puis cliquez sur Suivant.
Dans la page Nom du sujet de votre serveur, tapez ou sélectionnez le nom du sujet et l'autre nom du sujet du serveur de périphérie :
- Le nom du sujet doit correspondre au nom de domaine complet (FQDN) du serveur publié par le pare-feu externe de l'interface externe sur laquelle vous configurez le certificat. Pour l'interface externe du serveur Edge d'accès, le nom du sujet du certificat doit être sip.<domaine>.
- S'il existe plusieurs noms de domaine SIP (Session Initiation Protocol) et qu'ils n'apparaissent pas dans la zone Autre nom du sujet, tapez le nom de chaque domaine SIP supplémentaire sous la forme sip.<domaine>, en séparant les noms par une virgule. Les domaines entrés lors de la configuration du serveur Edge d'accès sont automatiquement ajoutés à cette zone.
Remarque :Pour l'autre nom de sujet, l'utilisation de caractères génériques est autorisée. Le caractère générique est valable pour un niveau de domaine dans le nom. Par exemple, si vous tapez *.contoso.com dans le champ Autre nom du sujet, des noms tels que a.contoso.com et b.contoso.com sont validés, mais pas a.a.contoso.com.
L'utilisation de caractères génériques pour l'affectation de noms est prise en charge uniquement pour les domaines de partenaire autorisés et détectés, et non pour la fédération des fournisseurs de messagerie instantanée.Cliquez sur Suivant.
Dans la page Informations géographiques, tapez les informations sur l'emplacement, puis cliquez sur Suivant.
Dans la page Nom de fichier de la demande de certificat, tapez le chemin d'accès complet et le nom du fichier dans lequel la demande doit être enregistrée, puis cliquez sur Suivant.
Dans la page Résumé de la demande, cliquez sur Suivant.
Dans la page Fin de l'Assistant Certificat, vérifiez que tout s'est déroulé correctement, puis cliquez sur Terminer.
Copiez le fichier de sortie à un emplacement à partir duquel il peut être envoyé à l'autorité de certification publique.
Pour envoyer une demande à une autorité de certification publique
Ouvrez le fichier de sortie.
Copiez et collez le contenu de la demande de signature de certificat (CSR) dans la zone de texte appropriée commençant par :
-----BEGIN NEW CERTIFICATE REQUEST-----et se terminant par :
-----END NEW CERTIFICATE REQUESTSi vous y êtes invité, spécifiez les éléments suivants :
- Microsoft en tant que plateforme serveur ;
- IIS comme version ;
- Serveur Web comme type d'utilisation ;
- PKCS7 comme format de réponse.
Une fois que l'autorité de certification publique a vérifié vos informations, vous recevez un message électronique contenant le texte requis pour votre certificat.
Copiez le texte du message électronique et enregistrez-le dans un fichier texte (.txt) sur votre ordinateur local.
Téléchargez la chaîne d'autorités de certification racines de l'autorité de certification publique, puis installez-la sur le magasin de l'ordinateur local de chaque serveur de périphérie.
Pour importer le certificat destiné à l'interface externe du serveur de périphérie
Connectez-vous au serveur de périphérie en tant que membre du groupe Administrateurs.
Dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.
Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.
Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Traiter la demande en attente et importer le certificat, puis sur Suivant.
Tapez le chemin d'accès complet et le nom du certificat que vous avez demandé pour l'interface externe du serveur de périphérie, puis cliquez sur Suivant.
Cliquez sur Terminer.
Renouvelez cette procédure pour chacun des serveurs de périphérie de votre déploiement exigeant un certificat sur l'interface externe.
Pour assigner le certificat destiné à l'interface externe du serveur de périphérie
Dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.
Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.
Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Assigner un certificat existant, puis sur Suivant.
Dans la page Certificats disponibles, sélectionnez le certificat que vous avez demandé pour l'interface externe du serveur de périphérie, puis cliquez sur Suivant.
Dans la page Assignations de certificat disponibles, sélectionnez l'interface externe sur laquelle vous souhaitez installer le certificat, puis cliquez sur Suivant.
Passez en revue les paramètres définis, puis cliquez sur Suivant pour assigner le certificat.
Dans la page de fin de l'Assistant, cliquez sur Terminer.
Renouvelez cette procédure pour chacun des serveurs de périphérie de votre déploiement exigeant un certificat sur l'interface externe.