Bonjour à tous,
Pour des raisons de sécurité vos certificats SSL (web) expirent régulièrement, et proche du renouvèlement c’est souvent la panique, car c’est un sujet souvent mis de côté et qui finit par devenir obscur !
NOTE : Vous pouvez renouveler vos certificats à tous moment.
Voici une procédure pas à pas pour le renouvellement de vos certificats dans Exchange 2010 (marche aussi pour Exchange 2013).
Vérifier l’état de vos certificats
Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services
Ici on constate que le certificat que nous utilisons pour les web services va expirer.
Nous allons le renouveler.
Get-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4 | New-ExchangeCertificate -GenerateRequest:$True -PrivateKeyExportable:$True
Maintenant une request est en cours pour son renouvellement, le CSR est visible ici :
Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest
Attention les balises :
—–BEGIN NEW CERTIFICATE REQUEST—–
—–END NEW CERTIFICATE REQUEST—–
Sont importantes !
Nous allons générer le certificat sur la PKI qui les émet dans votre organisation :
http://NomDeVotreServeurPKI/certsrv
Ici le web enrolement
Advanced certificate request
Submit a certificate request
Ne pas oublier les balises de début et de fin
Certificat de type Web Server (template par defaut)
Nous utiliserons le format DER
La différence est au niveau de l’encodage
Nous allons importer le nouveau certificat sur le serveur Exchange
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\Users\costeseque\Documents\certnewDER.cer » -Encoding Byte -ReadCount 0))
Mon nouveau certificat porte le Thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A
Nous allons maintenant activer les services dessus.
Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP
Nous pouvons maintenant supprimer l’ancien certificat
Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4
Get-ExchangeCertificate | fl FriendlyName,Thumbprint,Subject,NotAfter,Services,CertificateRequest
Pour vérifier que tout est OK
S’il ne s’agit pas du certificat local de votre serveur (utilisé pour les connecteurs SMTP de réception en général) il vous faudra exporter ce nouveau certificat pour l’importer sur tous vos serveurs fronteaux (CAS/HUB).
$Datas = Export-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -BinaryEncoded:$true -Password:(Get-Credential).password
Set-Content -path « C:\Users\costeseque\Documents\ExchangeCert2015.pfx » -Value $Datas.FileData -Encoding Byte
Nous allons maintenant l’importer sur les serveurs cibles
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path « C:\temp\ExchangeCert2015.pfx » -Encoding Byte -ReadCount 0)) -Password:(Get-Credential).Password
Le certificat porte la thumprint : 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A (la même que sur le serveur source)
Nous pouvons maintenant activer les services dessus :
Enable-ExchangeCertificate -Thumbprint 543A35FFB394D1CF08E61DB577BA65C7E4C2F65A -Services SMTP,IIS,POP,IMAP
Puis supprimer l’ancien certificat :
Remove-ExchangeCertificate -Thumbprint 3DB12FB569ADCA8C4CCFB6EBC8A68393D196A2F4
Cette opération sera à réaliser sur chaque serveur cible.
Bonne lecture
Pour toutes questions n’hésitez pas.
Bonnes fêtes de fin d’année à tous.
Anthony Costeseque
