Partager via


New-ExchangeCertificate (RTM)

 

S’applique à : Exchange Server 2007

Dernière rubrique modifiée : 2007-09-13

La cmdlet New-ExchangeCertificate permet de créer un certificat auto-signé ou une demande d'un nouveau certificat pour les services TLS (Transport Layer Security) et SSL (Secure Sockets Layer).

importantImportant :
Vous devez prendre en considération un grand nombre de variables lors de la configuration de certificats pour des services SSL et TLS. Vous devez avoir compris la manière dont ces variables peuvent affecter votre configuration globale. Avant de poursuivre, consultez la rubrique Utilisation de certificats dans un serveur Exchange 2007.

Syntaxe

New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]

Description détaillée

La cmdlet New-ExchangeCertificate utilise plusieurs paramètres de type SwitchParameter. Pour plus d’informations sur l’utilisation de ce type, consultez la section « Paramètres booléens » dans la rubrique Paramètres.

Pour exécuter la cmdlet New-ExchangeCertificate, vous devez utiliser un compte auquel ont été délégués :

  • le rôle Administrateur de serveur Exchange et le groupe Administrateurs local pour le serveur cible.

Pour exécuter la cmdlet New-ExchangeCertificate sur un ordinateur sur lequel le rôle serveur de transport Edge est installé, vous devez ouvrir une session en utilisant un compte membre du groupe Administrateurs local sur cet ordinateur.

Pour plus d'informations sur les autorisations, la délégation de rôles et les droits requis pour administrer Microsoft Exchange Server 2007, consultez la rubrique Considérations relatives aux autorisations.

Paramètres

Paramètre Obligatoire Type Description

BinaryEncoded

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre booléen permet de spécifier la manière dont le fichier exporté est codé. Par défaut, cette cmdlet crée un fichier utilisant le code Base64.

Pour créer un fichier codé DER, définissez ce paramètre sur $True.

DomainController

Facultatif

System.String

Pour spécifier le nom de domaine complet (FQDN) du contrôleur de domaine qui extrait des données du service d'annuaire Active Directory, incluez le paramètre DomainController dans la commande. Le paramètre DomainController n'est pas pris en charge sur les ordinateurs qui exécutent le rôle serveur de transport Edge. Le rôle serveur de transport Edge écrit uniquement sur l'instance Active Directory Application Mode (ADAM) locale.

DomainName

Facultatif

Microsoft.Exchange.Data.MultiValuedProperty

Ce paramètre permet de renseigner un ou plusieurs noms de domaine complet (FQDN) ou noms de serveurs dans la demande de certificat obtenue.

Les noms de domaine sont restreints aux caractères « a-z », « 0-9 » et le trait d'union (« - »). Chaque nom de domaine peut contenir jusqu'à 255 caractères.

Pour entrer plusieurs noms de domaine ou noms de serveur, vous devez entrer les noms, séparés par des virgules.

Force

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre booléen permet de remplacer un fichier de demande de certificat existant correspondant au chemin de fichier spécifié dans cette cmdlet.

Par défaut, cette cmdlet ne remplace pas des fichiers existants.

FriendlyName

Facultatif

System.String

Ce paramètre permet de spécifier un nom convivial pour le certificat obtenu. Le nom convivial doit compter moins de 64 caractères.

Le nom convivial par défaut est « Microsoft Exchange ».

GenerateRequest

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre permet de spécifier le type d'objet de certificat à créer.

Par défaut, ce paramètre crée un certificat auto-signé dans un magasin de certificats de l'ordinateur local.

Pour créer une demande de certificat pour un certificat PKI (PKCS #10) dans la banque de demande locale, définissez ce paramètre sur $True.

IncludeAcceptedDomains

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre permet d'inclure tous les domaines acceptés définis dans le champ des noms de domaine.

Vous pouvez également spécifier un paramètre DomainName dans la demande. Le certificat ou la demande obtenue contient l'ensemble des deux valeurs.

IncludeAutoDiscover

Facultatif

System.Management.Automation.SwitchParameter

Ce paramètre permet d'ajouter le préfixe « autodiscover » à chaque nom de domaine généré pour le certificat obtenu. Vous pouvez seulement spécifier ce paramètre lorsque vous exécutez cette cmdlet sur un serveur Exchange exécutant le rôle serveur d'accès au client. Remarque : ce paramètre n'ajoute pas le préfixe « autodiscover » si le nom contient déjà un préfixe.

Instance

Facultatif

System.Security.Cryptography.X509Certificates.X509Certificate2

Ce paramètre permet de transmettre un objet entier à la commande à traiter. Le paramètre Instance est principalement utilisé dans les scripts où un objet entier doit être transmis à la commande.

KeySize

Facultatif

System.Int32

Ce paramètre permet de spécifier la taille (en octets) de la clé publique RSA associée au certificat que vous créez.

Les valeurs acceptées sont 4096, 2048 et 1024. La valeur par défaut est 2048.

Path

Facultatif

System.String

Ce paramètre permet de spécifier un chemin d’accès pour le fichier de demande PKCS #10 obtenu.

Ce paramètre est valide uniquement si le paramètre GenerateRequest est défini sur $true.

La cmdlet New-ExchangeCertificate génère une demande de certificat dans la banque des certificats locaux si le paramètre Path est spécifié. La demande de certificat générée dans le magasin de certificats locale contient les clés du certificat obtenu.

Vous devez spécifier le nom du fichier de demande lorsque vous utilisez ce paramètre. Le nom doit se terminer avec l'extension .req, par exemple :

-Path c:\certificates\request.req

Le fichier .req est utilisé par l'autorité de certification pour générer un certificat.

PrivateKeyExportable

Facultatif

System.Boolean

Ce paramètre permet de spécifier si le certificat résultant dispose une clé privée exportable.

Par défaut, toutes les demandes de certificat créées par cette cmdlet n'autorisent pas l'exportation de la clé privée.

Vous devez comprendre que si vous ne pouvez pas exporter la clé privée, le certificat lui-même ne peut être ni exporté ni importé.

Définissez ce paramètre sur $true pour autoriser l'exportation de la clé privée à partir du certificat obtenu.

Services

Facultatif

Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices

Ce paramètre permet de spécifier les services qui utiliseront le certificat obtenu. Vous ne pouvez pas spécifier les services si vous avez défini la valeur GenerateRequest sur $true.

Les entrées valides comprennent une combinaison des éléments suivants :

  • IMAP

  • POP

  • UM

  • IIS

  • SMTP

  • None

Pour créer un certificat auto-signé pour plusieurs services, insérez les valeurs entre guillemets et séparez-les par des virgules comme dans l'exemple suivant :

-Services "IMAP, POP, IIS"

Pour créer un certificat désactivé afin de l'exporter vers un autre ordinateur, définissez ce paramètre sur None.

La valeur par défaut est SMTP.

SubjectName

Facultatif

System.Security.Cryptography.X509Certificates.X500DistinguishedName

Ce paramètre permet de spécifier le nom de l'objet pour le certificat obtenu.

Le nom du sujet d'un certificat est le champ utilisé par les services prenant en charge DNS. Le nom du sujet lie un certificat à un serveur particulier ou à un nom de domaine.

Un nom de sujet est un nom unique X.500 comprenant un ou plusieurs noms uniques relatifs (également appelés RDN).

Par défaut, le nom de domaine complet du serveur où la cmdlet est exécutée est utilisé comme nom commun (CN) dans le certificat obtenu.

Types d'entrées

Types de retours

Erreurs

Erreur Description

 

Exceptions

Exceptions Description

 

Exemple

Le premier exemple présente l'exécution de la cmdlet sans arguments. Lorsque vous exécutez la cmdlet New-ExchangeCertificate sans arguments, un certificat auto-signé est généré pour SMTP SSL/TLS. Le certificat dispose du nom de domaine complet de l'ordinateur local comme Nom de l'objet. Ce certificat de transport interne peut être utilisé, tel quel, pour le chiffrement et l'authentification de confiance directe entre les serveurs de transport Edge et de transport Hub. Le groupe de sécurité local des Services du réseau dispose également de l'accès en lecture à la clé privée associée au certificat. En outre, le certificat est publié sur Active Directory de sorte que la confiance directe Exchange Server puisse être utilisée pour valider l'authenticité du serveur pour le certificat Mutual TLS.

Le deuxième exemple présente l'exécution de la cmdlet pour qu'une demande de certificat soit générée et copiée vers un chemin sur l'ordinateur local. Les attributs suivants sont associés au certificat obtenu :

  • nom de l'objet : c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com ;

  • noms alternatifs de l'objet : woodgrove.com et example.com ;

  • une clé privée exportable.

Pour d'autres exemples, consultez la rubrique Création d’un certificat ou demande de certificat pour TLS et les entrées du billet de l'équipe Exchange Serveur suivantes :

Pour plus d'informations, consultez la page relative au livre blanc sur la fonction de sécurité du domaine.

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true