Wednesday, January 11, 2017

Exchange 2016 (2) : certificats - première partie

English summary: we examine the implementation of SSL certificates on our newly installed Exchange 2016 (CU3) server. We create a request that we submit to a certificate authority. In the blog post that follows this one, we will see how to install the requested certificate.

***

Après l'installation d'Exchange 2016, nous devons nous occuper d'un certain nombre d'aspects dont les certificats SSL. C'est d'autant plus important que l'interface de gestion principale est désormais (depuis Exchange 2013) le Centre d'administration Exchange (ou "EAC" - si nous gardons l'acronyme anglais), c'est-à-dire une interface web.

Les certificats jouent un rôle fondamental dans le système de messagerie Exchange. Ils servent à valider le serveur auquel les clients se connectent quand ceux-ci accèdent à leur boîte aux lettres (via HTTP - à la différence des connexions RPC). Les certificats constituent aussi une des fondations du chiffrement qui protège l'accès au serveur de messagerie et (en option) les communications entre serveurs de messagerie (SMTP/TLS).

Note : toutes les connexions "accès client" se font désormais via HTTP, non seulement pour "OWA" mais aussi pour Outlook.

Ainsi, la gestion du serveur via le Centre d'administration Exchange (EAC), une interface web, nécessite elle aussi un certificat. Un "certificat auto-signé" est déjà associé à ce site par défaut mais si nous ouvrons l'EAC, un avertissement s'affiche : 



Le certificat auto-signé ne convient pas pour un certain nombre de raisons mais je vais me concentrer sur la marche à suivre pour le remplacer au lieu de présenter ces raisons.

***

A la page présentée ci-dessus (plus haut), nous cliquons sur l'option "Poursuivre avec ce site Web" bien que ce soit "non-recommandé". Dès que nous sommes dans l'EAC, je navigue à la section "serveurs" dans le menu à gauche et puis à la section "certificats" (voir la capture d'écran ci-dessous). Je clique sur le signe " + " afin de créer une demande pour un nouveau certificat qui conviendra mieux aux exigences d'un serveur Exchange dans un rôle de production :




La première page de l'Assistant s'ouvre. Nous choisissons l'option pour la création d'une demande de certificat que nous soumettrons plus tard à une autorité de certification (comme Verisign, Digicert, ou Comodo) :




Nous donnons un "nom convivial" au certificat :


Note : le nom convivial sert à distinguer le certificat des autres. Il ne fait pas partie de la liste des noms de domaine compris dans le certificat lui-même. J'ai choisi "E2K16A" mais j'aurais pu faire un autre choix (ABC, XYZ, ou blabla).


Je ne veux pas de certificat "générique" (c'est ainsi qu'on a traduit "wildcard"). Je ne coche donc rien et je clique sur "Suivant" :





Je vais entreposer la demande sur le serveur EX16-3, le seul qui existe dans mon environnement d'essai à ce moment :


Note : selon l'explication, nous pourrions stocker la demande sur un autre serveur de notre organisation, et notamment un "serveur d'accès au client". En fait, ce rôle n'existe plus chez Exchange 2016 en tant que tel.


A l'étape suivante, nous spécifions les "domaines" que nous souhaitons inclure dans le certificat. En fait, ces domaines correspondent aux noms que nous aurons choisis pour les différents répertoires virtuels dans IIS. Dans la plupart des cas, deux domaines suffisent. Si on utilise le nom de mon domaine d'essai pour exemple, cela donne :
  • mail.machlinkit.biz
  • autodiscover.machlinkit.biz
J'ai copié "mail.machlinkit.biz" et collé ce domaine dans chacune des catégories ci-dessous avec l'exception de "autodiscover.machlinkit.biz" et "mapi.machlinkit.biz" :


Note : il n'est pas nécessaire d'indiquer quelque chose pour chacun des types d'accès à condition d'avoir, à la fin, tous les noms qui doivent figurer sur le certificat. C'est ce qu'on voit dans la capture d'écran suivante.

En ce qui concerne "mapi", je n'étais pas certain, au moment de faire la demande, si j'avais besoin d'un nom distinct pour les accès Outlook et Outlook Anywhere. Je vais sans doute utiliser "mail" partout (sauf pour autodiscover) mais dans le cas contraire, j'aurai un autre nom de domaine inclus dans le certificat.

Par contre, il ne faut pas que le nom de domaine pour Outlook Anywhere soit le même que celui pour le "CAS Array" en cas de coexistence avec Exchange 2010.


A ma connaissance, il en serait de même pour une migration Exchange 2010 - Exchange 2016.


Voici donc les domaines que j'ai choisis (et le domaine parent "machlinkit.biz" ajouté par défaut) :




Ensuite, je fournis certains renseignements que l'autorité de certification exige :





Cela fait, nous enregistrons le contenu de la demande dans un fichier à l'emplacement de notre choix, mais avec le chemin d'un partage (\\Serveur\Partage, etc.) :





Et c'est fait. Nous pouvons trouver le fichier à l'emplacement indiqué ci-dessus et la demande est "en attente" :



Nous reviendrons à l'EAC (section "certificats") une fois que nous aurons soumis notre demande à l'autorité de certification et puis reçu notre certificat.


***


Je ne vais pas présenter le processus pour soumettre la demande à l'autorité de certification parce que les étapes à suivre seront différentes pour chaque autorité. En général, il s'agit d'ouvrir le fichier créé plus haut, d'en copier tout le contenu et le coller dans l'endroit prévu à cet effet sur le site web de l'autorité de certification. Dans d'autres cas, il est possible de soumettre le fichier directement. Je conseille au lecteur de consulter la documentation en ligne de l'autorité en question. L'autorité vérifie l'identité du demandeur. Pour ce genre de demande, il s'agit le plus souvent de répondre à un courriel de confirmation. Ensuite, le certificat sera délivré et nous pourrons le télécharger à partir du site de l'autorité. Parfois, il faut télécharger aussi d'autres certificats dits "intermédiaires". Il arrive que tous ces certificats soient réunis en un seul fichier .zip dont on les extrait après téléchargement.

Je vais considérer que tout ce processus a été accompli d'un bout à l'autre et que nous avons tous les certificats nécessaires à notre disposition.

L'installation de ces certificats sera le sujet de mon prochain billet de blogue.

No comments:

Post a Comment