Saturday, January 14, 2017

Exchange 2016 (3) : certificats - seconde partie

English summary: I submitted a request for a certificate to a certificate authority and obtained two "intermediate certificates" and the actual certificate I requested for Exchange. I did not outline this process since it would vary from authority to authority. I then installed the certificates and assigned the Exchange certificate to certain mail-related services (SMTP and IIS).

***

Dans mon précédent billet de blogue, j'ai créé une demande pour un certificat et l'ai soumise à une autorité de certification (comme Verisign, Digicert or Comodo). Je n'ai pas présenté les détails de cette dernière partie dans la mesure où elle varie d'autorité en autorité. En revanche, j'ai fait le survol de certains aspects généraux qui pourraient guider le lecteur dans ce processus. Le plus sage serait de consulter le service d'assistance technique de l'autorité en cas de difficulté. Dans ce nouveau billet, je suppose que, d'une façon ou d'une autre, nous avons obtenu notre certificat de l'autorité de certification, avec sans doute des certificats dit "intermédiaires", et que nous sommes prêts à installer tous ces certificats sur notre serveur Exchange 2016.

***

La première étape consiste à installer les certificats intermédiaires. A cette fin, nous créons une console de gestion (MMC) pour le magasin de certificats de l'ordinateur local.

Note : si "créer une console MMC" ne vous dit rien, veuillez faire une recherche avec ces mots pour vous procurer des instructions. Quand vous ajoutez l'enfichable "Certificats", assurez-vous que vous ciblez l'ordinateur local plutôt que l'utilisateur ou un service.

Cela accompli, nous naviguons jusqu'au répertoire "Autorités de certification intermédiaires", puis "Certificats" et nous faisons un clic-droite pour afficher le menu dans lequel nous choisissons l'option "Toutes les tâches | Importer" :




L'Assistant Importation du certificat s'ouvre :



Nous naviguons jusqu'à l'emplacement où nous avons mis les certificats téléchargés du site de l'autorité de certification et nous choisissons le fichier .p7b contenant les certificats intermédiaires : 


Note : il est possible que ces certificats soient empaquetés de façon différente ou se présentent de façon différente chez une autre autorité.


Nous indiquons qu'il faut placer les certificats dans le magasin (répertoire) des "Autorités de certification intermédiaires" :



Nous cliquons sur "Terminer" pour effectuer l'importation :




Si tout va bien, le message suivant devrait s'afficher :




***


La seconde étape consiste à installer le certificat que nous avons demandé et obtenu de l'autorité de certification. Nous revenons donc à l'EAC (j'utilise le sigle en version originale - il s'agit bien entendu du Centre d'adminstration Exchange), section  "serveurs", puis "certificats". Je sélectionne la demande en attente et je clique sur "Terminé" :


Note : il aurait sans doute fallu traduire par "Terminer".


Je désigne le certificat en utilisant le chemin UNC (avec les deux barres obliques pour le partage) :



Note : comme ailleurs, je clique ensuite sur "Suivant", etc., pour passer à la prochaine étape.


Le certificat vient d'être installé et le statut est "Valide" :




Si nous cliquons sur l'icône du stylo...



Nous pouvons voir les propriétés du certificat et en particulier les noms de domaine que nous avions choisis (section "general") :




Dans la section "services", nous avons encore une chose à faire  - choisir les services qui utiliseront le nouveau certificat. Dans mon cas, je choisis SMTP et IIS :



Le certificat par défaut est associé au service SMTP et nous devons donc confirmer que nous voulons utiliser plutôt notre nouveau certificat (il suffit de cliquer sur "Oui") :




A un moment (à peu près celui où je changeais de certificat), un message d'erreur s'est affiché et je n'avais plus accès à l'EAC :



Il faut fermer le navigateur (Internet Explorer ou Chrome, par exemple) et le rouvrir. Si cela ne suffit pas, faites redémarrer le serveur.

Mais nous ne sommes pas encore sortis de l'auberge, selon l'expression familière. Malgré notre tout nouveau certificat, nous rencontrons encore des messages d'erreur :



Qu'est-ce qui ne va pas ?

Le raccourci par défaut vers l'EAC utilise le nom "localhost", un nom qui ne figure pas sur le certificat. La solution consiste à saisir un Url avec un nom qui se trouve parmi les noms inscrits sur le certificat, par exemple "mail.machlinkit.biz" :



Et ensuite à créer un raccourci avec cet Url. Dans l'exemple ci-dessous, je fais de l'EAC ma page de démarrage :



Il suffit de cliquer sur l'icône d'Internet Explorer (épinglée à la barre de tâches ci-dessous)...




Et l'EAC s'ouvre, nous invitant à ouvrir une session :



Bien entendu, il aura fallu créer un enregistrement DNS pour "mail" (avec l'adresse IP qui convient) afin que le navigateur arrive à trouver le serveur Exchange (et cela même si on se trouve au serveur lui-même).


***

Voici donc les étapes à suivre pour demander un certificat à une autorité de certification et l'installer pour Exchange. Nos connexions accès client (OWA, Outlook Anywhere, Outlook (mapi/http) et autres) seront désormais validées et chiffrées. Par défaut, les communications SMTP entre nos serveurs Exchange seront chiffrées mais aussi avec les serveurs de messagerie externes si ceux-ci l'acceptent ("opportunistic TLS"). Si nous voulons imposer le chiffrement de ces communications SMTP, nous devrons effectuer d'autres opérations qui débordent le cadre de ce billet de blogue.

No comments:

Post a Comment