New-ExchangeCertificate

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Dernière rubrique modifiée : 2009-05-11

La cmdlet New-ExchangeCertificate permet de créer un certificat auto-signé ou une demande d'un nouveau certificat pour les services TLS (Transport Layer Security) et SSL (Secure Sockets Layer).

Important :
Vous devez prendre en considération un grand nombre de variables lors de la configuration de certificats pour des services SSL et TLS. Vous devez avoir compris la manière dont ces variables peuvent affecter votre configuration globale. Avant de poursuivre, lisez la rubrique Utilisation de certificats dans un serveur Exchange 2007.

Syntaxe

New-ExchangeCertificate [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

Description détaillée

La cmdlet New-ExchangeCertificate utilise plusieurs paramètres de type SwitchParameter. Pour plus d’informations sur l’utilisation de ce type, consultez la section « Paramètres booléens » dans la rubrique Paramètres.

Pour exécuter la cmdlet New-ExchangeCertificate, vous devez utiliser un compte auquel ont été délégués :

• le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible.

Pour exécuter la cmdlet New-ExchangeCertificate sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Microsoft Exchange Server 2007, consultez la rubrique Considérations relatives aux autorisations.

Paramètres

Paramètre	Obligatoire	Type	Description
BinaryEncoded	Facultatif	System.Management.Automation.SwitchParameter	Ce paramètre booléen permet de spécifier la manière dont le fichier exporté est codé. Par défaut, cette cmdlet crée un fichier utilisant le code Base64. Pour créer un fichier codé DER, définissez ce paramètre sur $True.
Confirm	Facultatif	System.Management.Automation.SwitchParameter	Le paramètre Confirm suspend le traitement par la commande et vous demande de confirmer les actions que la commande va exécuter avant de continuer le traitement. Il n'est pas nécessaire de spécifier une valeur pour le paramètre Confirm.
DomainController	Facultatif	System.String	Pour spécifier le nom de domaine complet (FQDN) du contrôleur de domaine qui extrait des données du service d'annuaire Active Directory, incluez le paramètre DomainController dans la commande. Le paramètre DomainController n'est pas pris en charge sur les ordinateurs qui exécutent le rôle serveur de transport Edge. Le rôle serveur de transport Edge écrit uniquement sur l'instance Active Directory ADAM locale.
DomainName	Facultatif	Microsoft.Exchange.Data.MultiValuedProperty	Ce paramètre permet de renseigner un ou plusieurs noms de domaine complet (FQDN) ou noms de serveurs dans la demande de certificat obtenue. Les noms de domaine sont restreints aux caractères « a-z », « 0-9 » et le trait d'union (« - »). Chaque nom de domaine peut contenir jusqu'à 255 caractères. Pour entrer plusieurs noms de domaine ou noms de serveur, vous devez entrer les noms, séparés par des virgules.
Force	Facultatif	System.Management.Automation.SwitchParameter	Ce paramètre booléen permet de remplacer un fichier de demande de certificat existant correspondant au chemin de fichier spécifié dans cette cmdlet. Par défaut, cette cmdlet ne remplace pas des fichiers existants.
FriendlyName	Facultatif	System.String	Ce paramètre permet de spécifier un nom convivial pour le certificat obtenu. Le nom convivial doit compter moins de 64 caractères. Le nom convivial par défaut est « Microsoft Exchange ».
GenerateRequest	Facultatif	System.Management.Automation.SwitchParameter	Ce paramètre permet de spécifier le type d'objet de certificat à créer. Par défaut, ce paramètre crée un certificat auto-signé dans un magasin de certificats de l'ordinateur local. Pour créer une demande de certificat pour un certificat PKI (PKCS #10) dans la banque de demande locale, définissez ce paramètre sur $True.
IncludeAcceptedDomains	Facultatif	System.Management.Automation.SwitchParameter	Ce paramètre permet d'inclure tous les domaines acceptés définis dans le champ des noms de domaine. Vous pouvez également spécifier un paramètre DomainName dans la demande. Le certificat ou la demande obtenue contient l'ensemble des deux valeurs.
IncludeAutoDiscover	Facultatif	System.Management.Automation.SwitchParameter	Ce paramètre permet d'ajouter le préfixe « autodiscover » à chaque nom de domaine généré pour le certificat obtenu. Vous pouvez seulement spécifier ce paramètre lorsque vous exécutez cette cmdlet sur un serveur Exchange exécutant le rôle serveur d'accès au client. Remarque : ce paramètre n'ajoute pas le préfixe « autodiscover » si le nom contient déjà un préfixe.
Instance	Facultatif	System.Security.Cryptography.X509Certificates.X509Certificate2	Ce paramètre permet de transmettre un objet entier à la commande à traiter. Le paramètre Instance est principalement utilisé dans les scripts où un objet entier doit être transmis à la commande.
KeySize	Facultatif	System.Int32	Ce paramètre permet de spécifier la taille (en octets) de la clé publique RSA associée au certificat que vous créez. Les valeurs acceptées sont 4096, 2048 et 1024. La valeur par défaut est 2048.
Path	Facultatif	System.String	Ce paramètre permet de spécifier un chemin d’accès pour le fichier de demande PKCS #10 obtenu. Ce paramètre est valide uniquement si le paramètre GenerateRequest est défini sur $true. La cmdlet New-ExchangeCertificate génère une demande de certificat dans la banque des certificats locaux si le paramètre Path est spécifié. La demande de certificat générée dans le magasin de certificats locale contient les clés du certificat obtenu. Vous devez spécifier le nom du fichier de demande lorsque vous utilisez ce paramètre. Le nom doit se terminer avec l'extension .req, par exemple : -Path c:\certificates\request.req Le fichier .req est utilisé par l'autorité de certification pour générer un certificat.
PrivateKeyExportable	Facultatif	System.Boolean	Ce paramètre permet de spécifier si le certificat résultant dispose une clé privée exportable. Par défaut, toutes les demandes de certificat créées par cette cmdlet n'autorisent pas l'exportation de la clé privée. Vous devez comprendre que si vous ne pouvez pas exporter la clé privée, le certificat lui-même ne peut être ni exporté ni importé. Définissez ce paramètre sur $true pour autoriser l'exportation de la clé privée à partir du certificat obtenu.
Services	Facultatif	Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices	Ce paramètre permet de spécifier les services qui utiliseront le certificat obtenu. Vous ne pouvez pas spécifier les services si vous avez défini la valeur GenerateRequest sur $true. Les entrées valides comprennent une combinaison des éléments suivants : IMAP POP UM IIS SMTP None Pour créer un certificat auto-signé pour plusieurs services, insérez les valeurs entre guillemets et séparez-les par des virgules comme dans l'exemple suivant : -Services "IMAP, POP, IIS" Pour créer un certificat désactivé afin de l'exporter vers un autre ordinateur, définissez ce paramètre sur None. La valeur par défaut est SMTP.
SubjectName	Facultatif	System.Security.Cryptography.X509Certificates.X500DistinguishedName	Ce paramètre permet de spécifier le nom de l'objet pour le certificat obtenu. Le nom du sujet d'un certificat est le champ utilisé par les services prenant en charge DNS. Le nom du sujet lie un certificat à un serveur particulier ou à un nom de domaine. Un nom de sujet est un nom unique X.500 comprenant un ou plusieurs noms uniques relatifs (également appelés RDN). Par défaut, le nom d'hôte du serveur sur lequel est exécutée la cmdlet est utilisé comme nom commun (CN) dans le certificat obtenu. Par exemple, si la cmdlet est exécutée sur le serveur EXMBX01, le nom de sujet CN=EXMBX01 sera utilisé.
WhatIf	Facultatif	System.Management.Automation.SwitchParameter	Le paramètre WhatIf donne pour instruction à la commande de simuler les actions qu'elle va appliquer à l'objet. Grâce au paramètre WhatIf, vous pouvez afficher des changements potentiels sans devoir les appliquer. Il n'est pas nécessaire de spécifier une valeur pour le paramètre WhatIf.

Types d'entrées

Types de retours

Erreurs

Erreur	Description

Exceptions

Exceptions	Description

Exemple

Le premier exemple présente l'exécution de la cmdlet sans arguments. Lorsque vous exécutez la cmdlet New-ExchangeCertificate sans arguments, un certificat auto-signé est généré pour SMTP SSL/TLS. Le certificat dispose du nom de domaine complet de l'ordinateur local comme Nom de l'objet. Ce certificat de transport interne peut être utilisé, tel quel, pour le chiffrement et l'authentification de confiance directe entre les serveurs de transport Edge et de transport Hub. Le groupe de sécurité local des Services du réseau dispose également de l'accès en lecture à la clé privée associée au certificat. En outre, le certificat est publié sur Active Directory de sorte que la confiance directe Exchange Server puisse être utilisée pour valider l'authenticité du serveur pour le TLS mutuel.

Le deuxième exemple présente l'exécution de la cmdlet pour qu'une demande de certificat soit générée et copiée vers un chemin sur l'ordinateur local. Les attributs suivants sont associés au certificat obtenu :

• nom de l'objet : c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com ;

• noms alternatifs de l'objet : woodgrove.com et example.com ;

• une clé privée exportable.

Pour d'autres exemples, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS et les entrées du billet de l'équipe Exchange Serveur suivantes :

• Leçons apprises : Génération d'un certificat avec une autorité de certification tierce

• Découverte automatique et certificats Exchange 2007

• Informations supplémentaires sur Exchange 2007 et les certificats, avec un scénario basé sur la réalité

  Notes

  UNRESOLVED_TOKEN_VAL(exBlog)

Pour plus d'informations, consultez la page relative au livre blanc sur la fonction de sécurité du domaine.

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true