Déploiement Exchange Server 2016 (Partie 4)

Dans la troisième partie, nous avons administré et créé des bases de données Exchange que nous avons stockées dans des disques virtuels cibles iSCSI. Dans ce chapitre mes amis, nous allons mettre en place une autorité de certification autonome pour notre infrastructure Exchange Server. Ensuite, nous allons configurer l’accès à Outlook via le protocole HTTPS.

En entreprise, il est conseillé d’acheter un certificat valide chez une CA.

Machine virtuelle nécessaire pour ce chapitre :

• AD-SERVER
• EX-SERVER1
• PC-PIXEL (Outlook 2016)
• Création de machine virtuelle Windows : machine-virtuelle-pixelabs/

Mais aussi :

• Nom de domaine : pixelabs.fr

Test domaine Tools :

• MX test : mxtoolbox.com
• SMTP Test : testconnectivity.microsoft.com

Autorité de certification autonome

Une autorité de certification est chargée d’attester l’identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Après l’installation du rôle Services de certificats Active Directory, on peut choisir entre deux autorités de certification :

• Autorité de certification d’entreprise
• Autorité de certification autonomes

Les autorités de certification d’entreprise sont intégrées aux services AD DS. Elles publient les certificats et les listes de révocation de certificats sur AD DS. Les autorités de certification d’entreprise utilisent les informations stockées dans AD DS, y compris les comptes d’utilisateur et les groupes de sécurité, pour approuver ou refuser les demandes de certificat.

Les autorités de certification autonomes ne nécessitent pas les services AD DS et n’utilisent pas les modèles de certification. Si vous utilisez les autorités de certification autonomes, toutes les informations sur le type de certificat demandé doivent être incluses dans la demande de certificat.

Source : technet.microsoft.com

Installation Rôle Services de certificat Active Directory

Certains services d’accès client que nous allons mettre en place dans le prochain chapitre (5e), nécessite la configuration d’un certificat pour Exchange Server,  notamment MAPI/HTTP. Alors je vous propose de mettre en place une autorité de certification autonome.

Nous allons procéder depuis le contrôleur de domaine AD-SERVER. Connectez-vous à votre serveur AD  avec votre compte administrateur et lancez le Gestionnaire de serveur > Gérer > Ajouter des rôles et fonctionnalités.

• Cliquez sur Suivant
• Installation basée sur un rôle ou une fonctionnalité <Suivant>
• Sélectionnez votre serveur dans la liste Pool de serveurs <Suivant>
• Cochez la case Services de certificats Active Directory
• Cliquez sur Ajouter des fonctionnalités <Suivant>
• Cliquez sur Suivant trois fois
• On arrive à la page des Services de rôle, sélectionnez :
  • Autorité de certification
  • Inscription de l’autorité de certification via le Web
  • Cliquez sur Ajouter des fonctionnalités <Suivant>
• Cliquez sur Suivant trois fois
• Cliquez sur Installer

Une fois terminé, cliquez sur Fermer. Passons maintenant à la configuration.

Configuration Rôle Services de certificat Active Directory

Cliquez sur l’icône de notification (triangle jaune) puis Configurer les services de certificats Active Directory.

• Page Informations d’identification : cliquez sur Suivant
• Page Services de rôle : cochez les deux composants
  • Autorité de certification
  • Inscription de l’autorité de certification via le Web
• Cliquez sur Suivant
• Page Type d’installation : choisir Autorité de certification autonome

• Cliquez sur Suivant 
• Page Type d’autorité de certification : laissez Autorité de certification racine <Suivant>
• Page Clé privée : laissez par défaut (Créer une clé privée) <Suivant>
• Page Chiffrement pour l’autorité de certification : laissez les paramètres par défaut

• Cliquez sur Suivant
• Page Nom de l’autorité de certification : mettez un nom et cliquez sur Suivant :

• Page période de validité : j’ai laissé 5 années par défaut <Suivant>
• Page Base de données : de l’autorité de certification : laissez par défaut <Suivant>
• Enfin, cliquez sur Configurer

Cliquez sur Fermer.

Configuration de l’autorité de certification pour Exchange

Nous allons ajouter l’autorité de certification dans les autorités racines de confiance. Connectez-vous sur votre serveur Exchange : EX-SERVER1

Lancez une invite de commande (CMD) et tapez la commande suivante :

C:\Users\Administrateur.PIXELABS#> gpupdate /force /logoff /boot
Mise à jour de la stratégie...
...
La mise à jour de la stratégie d'ordinateur s'est terminée sans erreur.
La mise à jour de la stratégie utilisateur s'est terminée sans erreur.

La commande permet simplement de forcer les GPO pour télécharger le certificat.

Nous allons maintenant créer une demande de certificat Exchange depuis l’ECP.

• Connectez-vous au Centre d’administration Exchange : https://ex-server1/ecp
• Sur la colonne de gauche
  • Cliquez sur serveurs puis certificats
  • Cliquez sur le symbole + 

• Cliquez sur Suivant 
• Choisir un nom convivial de ce certificat : mailhost.pixelabs.fr <Suivant>
• Cliquez encore sur suivant (ne pas cocher la case)
• Cliquez sur le bouton Parcourir…
  • Sélectionnez votre serveur Exchange : EX-SERVER1
  • Cliquez sur Suivant
• Ici, je vais configurer mon domaine public.

• Faire un double clic pour modifier une entrée :
  1. Pour Outlook Web App (si accessible à partir d’Internet) : mailhost.pixelabs.fr (Enregistrement MX de mon domaine pixelabs.fr)
  2. Pour Outlook Web App (si accessible à partir d’Intranet) : ex-server1.pixelabs.lan
• Autodiscover
  1. Découverte automatique (lors de l’accès à partir d’Intranet) : autodiscover.pixelabs.lan (mettez autodiscover)
  2. Si vous souhaitez également utiliser ce service depuis Internet, il faut rajouter un enregistrement de type SRV dans la zone DNS de votre hébergeur.
• Répétez les étapes pour les autres :
  • Internet = votre domaine MX : mailhost.pixelabs.fr  (Enregistrement MX de mon domaine pixelabs.fr)
  • Intranet = Serveur Exchange : ex-server1.pixelabs.lan
  • Cliquez sur Suivant
• Sélectionnez le nom : mailhost.pixelabs.fr
• Cliquez (une fois) sur le symbole tout à droite (icone Check = Définir en tant que nom commun)
• Cliquez sur Suivant
• Renseignez les informations de l’organisation

• Cliquez sur Suivant
• Enregistrer le certificat, tapez :\\localhost\C$\CertRequest.req
• Cliquez sur Terminer.
• Dans la colonne STATUT : la demande est en attente…

Demande de certificat à l’autorité de certification

Il faut maintenant envoyer la demande à l’autorité de certification, c’est à dire, notre serveur AD (AD-SERVER).

Toujours depuis le serveur Exchange, ouvrir Internet Explorer et allez à cette adresse : http://ad-server.pixelabs.lan/certsrv

• Cliquez sur demander un certificat
• Cliquez sur le lien demande de certificat avancée
• Cliquez sur le lien Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64
• Allez dans C:\ et ouvrir le fichier CertRequest.req avec Bloc-notes (Clic droit > Ouvrir avec > Essayer une application sur ce PC > Bloc-notes)
• Sélectionnez le texte [Ctrl+A] et copier [Ctrl+C]
• Retourner dans Internet Explorer
• Collez le texte dans le champ : demande enregistrée

• Cliquez sur Envoyer
• Le message suivant d’affiche :

Votre demande de certificat est toujours en attente. Vous devez attendre qu’un administrateur émette le certificat demandé. Consultez ce site Web à nouveau dans un jour ou deux afin de récupérer votre certificat. Remarque : vous devez revenir sur ce site avec le même navigateur Web au plus tard dans 10 jours afin de récupérer votre certificat

• En haut à droite, cliquez sur Accueil
• Ne fermer la page

Remarque : On peut déjà télécharger le certificat, mais nous allons voir comment délivrer/révoquer une demande. Visualisez la demande de certificat depuis votre contrôleur de domaine : AD-SERVER

• Gestionnaire de serveur > Outils > Autorité de certification 
  • Développez PIXELABS-CA
  • Puis allez dans : Demandes en attente
    • Faire un clic droit sur la demande > Toutes les tâches > Délivrer 
    • Le certificat est placé maintenant dans : Certificats délivrés

• Si vous êtes une autorité de certification, c’est à partir d’ici que vous pouvez faire chier le monde…Allons…restez sage.
• Retourner à votre navigateur IE sur le serveur Exchange : EX-SERVER1
• Cliquez sur : Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats
• Cliquez sur : Télécharger un certificat de l’autorité de certification 

• Enregistrez le fichier dans C:\

Attribuer le certificat aux services Exchange

Toujours depuis votre serveur Exchange, connectez-vous au Centre d’administration Exchange : https://ex-server1/ecp/

• Cliquez sur serveurs
• Cliquez sur Certificats
• Sélectionnez votre domaine public par défaut : mailhost.pixelabs.fr
• Sur la partie à droite, cliquez le lien : Terminé
• Fichier à importer à partir de : \\localhost\C$\certnew.cer
• Valider pour importer le certificat

• Effectuez un double clic sur le nom : mailhost.pixelabs.fr
• Allez dans services
• Cochez la case : IIS et SMTP
• Cliquez sur Enregistrer

Installation du certification sur les clients

Nous allons maintenant faire un test en HTTPS sur le poste client sans installer le certificat pour voir le résultat.

Je me connecte sur OWA via HTTPS sur le poste : PC-PIXEL : https://ex-server1.pixelabs.lan/owa

Remarque : pour information, sur le poste client PC-PIXEL, le certificat été déjà installé (AD-GPO), j’ai dû supprimer le certificat pour vous montrer la procédure de validation.

Résultat :

On peut bien sûr accéder à la page en cliquant sur Informations > Accéder à la page web…mais ce n’est pas ce qu’on cherche justement, on veut que ça marche directement SANS PRISE DE TÊTE pour le client !!!

Nous allons maintenant installer le certificat manuellement sur le poste client PC-PIXEL (Windows 10). Télécharger le certificat comme nous l’avons fait pour Exchange depuis l’URL : http://ad-server.pixelabs.lan/certsrv

• Cliquez sur : Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats
• Cliquez sur : Télécharger un certificat de l’autorité de certification 

• Enregistrez le fichier dans C:\
• Touche Windows + R et tapez certmgr.msc <Entrée>
• Développez la ligne Autorités de certification racines de confiance
• Faire un clique droit sur Certificats > Toutes les tâches > Importer…
• Cliquez sur Suivant
• Cliquez sur Parcourir… et sélectionnez le fichier dans C:\
• Laissez les paramètres par défaut :
  • Placer tous les certificats dans le magasin suivant
  • Magasin de certificats : Autorités de certification racines de confiance
• Cliquez sur Suivant puis Terminer.

Tester maintenant l’accès via HTTPS : https://ex-server1.pixelabs.lan/owa ou actualiser simplement la page.

La page de connexion Outlook s’affiche directement et sans message d’erreur. C’est beau !

Nous verrons la suite dans le prochain chapitre. A très bientôt pour la 5e partie.

Bonne journée !