Dans la troisième partie, nous avons administré et créé des bases de données Exchange que nous avons stockées dans des disques virtuels cibles iSCSI. Dans ce chapitre mes amis, nous allons mettre en place une autorité de certification autonome pour notre infrastructure Exchange Server. Ensuite, nous allons configurer l’accès à Outlook via le protocole HTTPS.
En entreprise, il est conseillé d’acheter un certificat valide chez une CA.
Machine virtuelle nécessaire pour ce chapitre :
- AD-SERVER
- EX-SERVER1
- PC-PIXEL (Outlook 2016)
- Création de machine virtuelle Windows : machine-virtuelle-pixelabs/
Mais aussi :
- Nom de domaine : pixelabs.fr
Test domaine Tools :
- MX test : mxtoolbox.com
- SMTP Test : testconnectivity.microsoft.com
Autorité de certification autonome
Une autorité de certification est chargée d’attester l’identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Après l’installation du rôle Services de certificats Active Directory, on peut choisir entre deux autorités de certification :
- Autorité de certification d’entreprise
- Autorité de certification autonomes
Les autorités de certification d’entreprise sont intégrées aux services AD DS. Elles publient les certificats et les listes de révocation de certificats sur AD DS. Les autorités de certification d’entreprise utilisent les informations stockées dans AD DS, y compris les comptes d’utilisateur et les groupes de sécurité, pour approuver ou refuser les demandes de certificat.
Les autorités de certification autonomes ne nécessitent pas les services AD DS et n’utilisent pas les modèles de certification. Si vous utilisez les autorités de certification autonomes, toutes les informations sur le type de certificat demandé doivent être incluses dans la demande de certificat.
Source : technet.microsoft.com
Installation Rôle Services de certificat Active Directory
Certains services d’accès client que nous allons mettre en place dans le prochain chapitre (5e), nécessite la configuration d’un certificat pour Exchange Server, notamment MAPI/HTTP. Alors je vous propose de mettre en place une autorité de certification autonome.
Nous allons procéder depuis le contrôleur de domaine AD-SERVER. Connectez-vous à votre serveur AD avec votre compte administrateur et lancez le Gestionnaire de serveur > Gérer > Ajouter des rôles et fonctionnalités.
- Cliquez sur Suivant
- Installation basée sur un rôle ou une fonctionnalité <Suivant>
- Sélectionnez votre serveur dans la liste Pool de serveurs <Suivant>
- Cochez la case Services de certificats Active Directory
- Cliquez sur Ajouter des fonctionnalités <Suivant>
- Cliquez sur Suivant trois fois
- On arrive à la page des Services de rôle, sélectionnez :
- Autorité de certification
- Inscription de l’autorité de certification via le Web
- Cliquez sur Ajouter des fonctionnalités <Suivant>
- Cliquez sur Suivant trois fois
- Cliquez sur Installer
Une fois terminé, cliquez sur Fermer. Passons maintenant à la configuration.
Configuration Rôle Services de certificat Active Directory
Cliquez sur l’icône de notification (triangle jaune) puis Configurer les services de certificats Active Directory.
- Page Informations d’identification : cliquez sur Suivant
- Page Services de rôle : cochez les deux composants
- Autorité de certification
- Inscription de l’autorité de certification via le Web
- Cliquez sur Suivant
- Page Type d’installation : choisir Autorité de certification autonome
- Cliquez sur Suivant
- Page Type d’autorité de certification : laissez Autorité de certification racine <Suivant>
- Page Clé privée : laissez par défaut (Créer une clé privée) <Suivant>
- Page Chiffrement pour l’autorité de certification : laissez les paramètres par défaut
- Cliquez sur Suivant
- Page Nom de l’autorité de certification : mettez un nom et cliquez sur Suivant :
- Page période de validité : j’ai laissé 5 années par défaut <Suivant>
- Page Base de données : de l’autorité de certification : laissez par défaut <Suivant>
- Enfin, cliquez sur Configurer
Cliquez sur Fermer.
Configuration de l’autorité de certification pour Exchange
Nous allons ajouter l’autorité de certification dans les autorités racines de confiance. Connectez-vous sur votre serveur Exchange : EX-SERVER1
Lancez une invite de commande (CMD) et tapez la commande suivante :
C:\Users\Administrateur.PIXELABS#> gpupdate /force /logoff /boot Mise à jour de la stratégie... ... La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur. La mise à jour de la stratégie utilisateur s'est terminée sans erreur.
La commande permet simplement de forcer les GPO pour télécharger le certificat.
Nous allons maintenant créer une demande de certificat Exchange depuis l’ECP.
- Connectez-vous au Centre d’administration Exchange : https://ex-server1/ecp
- Sur la colonne de gauche
- Cliquez sur serveurs puis certificats
- Cliquez sur le symbole +
- Cliquez sur Suivant
- Choisir un nom convivial de ce certificat : mailhost.pixelabs.fr <Suivant>
- Cliquez encore sur suivant (ne pas cocher la case)
- Cliquez sur le bouton Parcourir…
- Sélectionnez votre serveur Exchange : EX-SERVER1
- Cliquez sur Suivant
- Ici, je vais configurer mon domaine public.
- Faire un double clic pour modifier une entrée :
- Pour Outlook Web App (si accessible à partir d’Internet) : mailhost.pixelabs.fr (Enregistrement MX de mon domaine pixelabs.fr)
- Pour Outlook Web App (si accessible à partir d’Intranet) : ex-server1.pixelabs.lan
- Autodiscover
- Découverte automatique (lors de l’accès à partir d’Intranet) : autodiscover.pixelabs.lan (mettez autodiscover)
- Si vous souhaitez également utiliser ce service depuis Internet, il faut rajouter un enregistrement de type SRV dans la zone DNS de votre hébergeur.
- Répétez les étapes pour les autres :
- Internet = votre domaine MX : mailhost.pixelabs.fr (Enregistrement MX de mon domaine pixelabs.fr)
- Intranet = Serveur Exchange : ex-server1.pixelabs.lan
- Cliquez sur Suivant
- Sélectionnez le nom : mailhost.pixelabs.fr
- Cliquez (une fois) sur le symbole tout à droite (icone Check = Définir en tant que nom commun)
- Cliquez sur Suivant
- Renseignez les informations de l’organisation
- Cliquez sur Suivant
- Enregistrer le certificat, tapez :\\localhost\C$\CertRequest.req
- Cliquez sur Terminer.
- Dans la colonne STATUT : la demande est en attente…
Demande de certificat à l’autorité de certification
Il faut maintenant envoyer la demande à l’autorité de certification, c’est à dire, notre serveur AD (AD-SERVER).
Toujours depuis le serveur Exchange, ouvrir Internet Explorer et allez à cette adresse : http://ad-server.pixelabs.lan/certsrv
- Cliquez sur demander un certificat
- Cliquez sur le lien demande de certificat avancée
- Cliquez sur le lien Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64
- Allez dans C:\ et ouvrir le fichier CertRequest.req avec Bloc-notes (Clic droit > Ouvrir avec > Essayer une application sur ce PC > Bloc-notes)
- Sélectionnez le texte [Ctrl+A] et copier [Ctrl+C]
- Retourner dans Internet Explorer
- Collez le texte dans le champ : demande enregistrée
- Cliquez sur Envoyer
- Le message suivant d’affiche :
Votre demande de certificat est toujours en attente. Vous devez attendre qu’un administrateur émette le certificat demandé. Consultez ce site Web à nouveau dans un jour ou deux afin de récupérer votre certificat. Remarque : vous devez revenir sur ce site avec le même navigateur Web au plus tard dans 10 jours afin de récupérer votre certificat
- En haut à droite, cliquez sur Accueil
- Ne fermer la page
Remarque : On peut déjà télécharger le certificat, mais nous allons voir comment délivrer/révoquer une demande. Visualisez la demande de certificat depuis votre contrôleur de domaine : AD-SERVER
- Gestionnaire de serveur > Outils > Autorité de certification
- Développez PIXELABS-CA
- Puis allez dans : Demandes en attente
- Faire un clic droit sur la demande > Toutes les tâches > Délivrer
- Le certificat est placé maintenant dans : Certificats délivrés
- Si vous êtes une autorité de certification, c’est à partir d’ici que vous pouvez faire chier le monde…Allons…restez sage.
- Retourner à votre navigateur IE sur le serveur Exchange : EX-SERVER1
- Cliquez sur : Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats
- Cliquez sur : Télécharger un certificat de l’autorité de certification
- Enregistrez le fichier dans C:\
Attribuer le certificat aux services Exchange
Toujours depuis votre serveur Exchange, connectez-vous au Centre d’administration Exchange : https://ex-server1/ecp/
- Cliquez sur serveurs
- Cliquez sur Certificats
- Sélectionnez votre domaine public par défaut : mailhost.pixelabs.fr
- Sur la partie à droite, cliquez le lien : Terminé
- Fichier à importer à partir de : \\localhost\C$\certnew.cer
- Valider pour importer le certificat
- Effectuez un double clic sur le nom : mailhost.pixelabs.fr
- Allez dans services
- Cochez la case : IIS et SMTP
- Cliquez sur Enregistrer
Installation du certification sur les clients
Nous allons maintenant faire un test en HTTPS sur le poste client sans installer le certificat pour voir le résultat.
Je me connecte sur OWA via HTTPS sur le poste : PC-PIXEL : https://ex-server1.pixelabs.lan/owa
Remarque : pour information, sur le poste client PC-PIXEL, le certificat été déjà installé (AD-GPO), j’ai dû supprimer le certificat pour vous montrer la procédure de validation.
Résultat :
On peut bien sûr accéder à la page en cliquant sur Informations > Accéder à la page web…mais ce n’est pas ce qu’on cherche justement, on veut que ça marche directement SANS PRISE DE TÊTE pour le client !!!
Nous allons maintenant installer le certificat manuellement sur le poste client PC-PIXEL (Windows 10). Télécharger le certificat comme nous l’avons fait pour Exchange depuis l’URL : http://ad-server.pixelabs.lan/certsrv
- Cliquez sur : Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats
- Cliquez sur : Télécharger un certificat de l’autorité de certification
- Enregistrez le fichier dans C:\
- Touche Windows + R et tapez certmgr.msc <Entrée>
- Développez la ligne Autorités de certification racines de confiance
- Faire un clique droit sur Certificats > Toutes les tâches > Importer…
- Cliquez sur Suivant
- Cliquez sur Parcourir… et sélectionnez le fichier dans C:\
- Laissez les paramètres par défaut :
- Placer tous les certificats dans le magasin suivant
- Magasin de certificats : Autorités de certification racines de confiance
- Cliquez sur Suivant puis Terminer.
Tester maintenant l’accès via HTTPS : https://ex-server1.pixelabs.lan/owa ou actualiser simplement la page.
La page de connexion Outlook s’affiche directement et sans message d’erreur. C’est beau !
Nous verrons la suite dans le prochain chapitre. A très bientôt pour la 5e partie.
Bonne journée !
Bonjour Monsieur, permettez moi de vous envoyer ce mail, en fait, je suis en formation chez Doranco Multimédia à Bagnolet, est ce que je peux vous soumettre ma demande de stage qui débute le 7 Juin jusqu’au 19 Juillet de cette année. Merci pour votre retour
Bonjour, désolé mais, je ne forme pas, je n’ai pas d’entreprise.
Bonjour, j’ ai soucis de certificat quand je veux attribuer le certificat aux services Exchange. quand je clique sur le lien “terminer” et que j’importe le certificat, celui-ci reste en status “Demande en attente”.
J’ai repris l’ opération plusieurs fois en suivant pas à pas le tuto mais ça me fait toujours le même problème!
Avez une idée du problème que je rencontre?
Salut,
as-tu autoriser le certificat depuis le serveur AD ?
Gestionnaire de serveur > Outils > Autorité de certification > Demandes en attente > Faire un clic droit sur la demande > Toutes les tâches > Délivrer.
Bonjour. Merci pour ce super tuto ! De mon côté j’ai aussi un problème lors de l’attribution du certificat aux services Exchange, quand je fais importer : j’ai le message « Une erreur RPC spéciale s’est produite sur le serveur **MonServeur** : Impossible d’importer le certificat avec l’empreinte xxxxxxxxxxx existe déjà. ». Je précise que mon architecture est différente de celle du tuto : j’ai un unique serveur pour Exchange et l’AD (sur une VM Windows Server 2016), et j’ai une 2e VM (sous Win10) pour mon client Outlook, sur le même domaine. Mon problème en bout de chaine est que je n’arrive pas à faire communiquer Outlook avec Exchange en interne (sur le même domaine) alors que ça fonctionne bien depuis le poste client en owa, j’ai cependant une erreur de certificat alors je me dis que le problème Outlook vient de là, d’où la tentative de générer un certificat.
Merci
Bonjour,
Il est FORTEMENT déconseillé d’installer un serveur Exchange sur un DC…trop de problème, de sécurité, de mise à jour…)
Pour ton problème de certificat, Exchange ne voit pas le certificat, pourtant il doit être présent dans le magasin des certificats. Supprime le et recommence l’opération. Pour générer un nouveau certificat, utilise Firefox ou la console MMC.
(Si ta machine n’a pas assez de ressource pour tourner Exchange + AD, cela peut créer des problèmes de démarrage des services Exchange).
Pour ton problème d’Outlook (si ce n’est pas un problème de certificat), vérifie que le service Outlook Web App est bien configuré dans exchange. Vérifie les services Exchange (voir la partie 5 / service RPC/HTTP)
Le certificat doit être également délivré pour les services IMAP,POP,IIS,SMTP
Voir également le journal d’événement Windows, tu dois avoir des alertes critical exchange avec des infos.
Il a le même problème que toi ici (hésite pas à lire les commentaires aussi) : https://supertekboy.com/2015/10/23/a-certificate-with-the-thumbprint-already-exists/
Bon courage.
-Pixel
Bonjour. Merci pour ta réponse. Désolé pour les délais j’ai été pris par un autre projet. Ayant mis un peu le bazar en supprimant trop de certificats je pense, j’ai fini par faire un reset complet de ma machine EX+AD. J’en ai profité pour augmenter la RAM car j’avais peur que certains services démarrent mal comme tu énonçais (en passant de 8 à 12Go). Au début j’étais revenu au même point d’avancement : envoi de mails vio OWA fonctionnant mais config Outlook impossible. Suite à l’activation de l’autodiscover, Outlook fonctionne enfin ! J’ai toujours des erreurs de certificat mais ça n’empêche pas l’envoi des mails. Je laisse donc comme ça car il s’agit simplement d’une maquette pour tester des produits internes communiquant avec Outlook ; tout est factice (domaine et utilisateurs) d’où l’utilisation d’une seule VM pour EX et AD.
Au final je ne sais pas d’où venait le problème. C’est la combinaison du clean + augmentation RAM.
Merci encore pour ce super tuto et pour ton investissement et réactivité dans la résolution des problèmes des visiteurs !
Salut,
Tu as bien fait de recommencer ton projet au propre. Dés fois, il vaut mieux reprendre de zero que de perdre beaucoup de temps à chercher.
Y a pas de quoi, merci également pour ton message.
Bonne journée.
-Pixel.
salut
en essayant d installer le certificat.
sur exchange ma demande reste constamment en statut « demande en attente » as tu une idée
Merci
Salut,
Vous êtes deux à rencontrer le même problème et franchement, je sais pas du tout ce qui cloche…
J’ai recommencé l’opération de mon côté (sans rien changer) et tout fonctionne bien après avoir autorisé le certificat depuis le serveur AD.
que veux tu dire autorise le certicat depuis l ‘AD?
sinon super tuto
Depuis le contrôleur de domaine (AD) :
Gestionnaire de serveur > Outils > Autorité de certification > Demandes en attente > Faire un clic droit sur la demande > Toutes les tâches > Délivrer.
Il faut que les deux serveurs (AD et exchange) communiquent ensemble pour délivrer le certificat.
oui ca je l ai fait c est pas grave merci de ton investissement
Bonjour,
merci pour le tuto.
Mais j’ai un problème quand je veux attribuer le certificat aux services Exchange. quand je clique sur le lien « terminer » et que j’importe le certificat, celui-ci reste en status « Demande en attente ».
J’ai recommencer plusieurs fois l’opération en suivant pas à pas ton tuto mais ça me fait toujours le même problème!
Avez une idée du problème que je rencontre?
Bonjour David,
as-tu bien autorisé le certificat depuis la console Certsrv (depuis le serveur AD) ?
Il faut aussi vérifier que ton domaine fonctionne correctement (ici, mailhost.pixelabs.fr).
Je n’ai pas eu ce problème, normalement, la demande de certificat et l’autorisation depuis le serveur AD, se fait rapidement et sans attendre.
-Pixel.