ISA2006 :: Publication Echange 2k7 avec certificat problème

[champblanc49]

Bonjour à tous,

Présentation de la plateforme de test :

1 DC Windows 2008 Server Entreprise 64 bits SP1 (Autorité de certification)
1 Serveur membre Windows 2008 Server Entreprise 64 bits SP1 (Exchange 2007 SP1)
1 Serveur membre Windows 2003 Server R2 SP2 32 bits (ISA Server 2006 SP1)

Problèmes rencontrés au niveau des certificats :

Depuis mon serveur Echange je lance http://DC/certsrv pour télécharger un certificat d'autorité de certification et l'installer (même chose sur mon serveur ISA).
Ensuite depuis mon serveur Exchange http://DC/certsrv pour faire une demande de certificat avancé de type Serveur Web avec comme nom le nom MX de mon hébergeur (mail2.nomdedomaine.fr) et installation de ce certificat sur le serveur
Ensuite exportation de ce certificat pour mon ISA server et installation

Au moment de créer le port d'écoute Web, dans sélectionner un certificat, mon certificat est avec une croix rouge...

Mais à aucun moment on m'a proposer de clé privé (comme dans un autre topic qui a réglé le problème d'ailleurs).

Merci d'avance de vos lumières

N'hésitez pas à me demander plus d'infos...

Bye

Erwan

[alex117]

Hello,

En fait si tes serveurs sont membres du domaine doté d'une autorité de certification racine d'entreprise, il est inutile de télécharger les RootCa depuis le site certsrv car le service D'autoEnrollment le fait automatiquement
Maintenant pour avoir un certificat web digne de ce nom, je te conseillerais de faire différement. En fait le mieux c'est d'utiliser IIS.
La procédure que je te donne est de souvenir pour Windows 2003 (IIS6), mais je pense qu'il n'y a pas de grds changements avec IIS7.

Partie 1/
Tu ouvres IIS, et tu crées un nouveau site temporaire (change le port ou le Host Header pour éviter les conflits).
Ensuite tu fais une demande de certificat directement depuis l'onglet sécurité, Certificats.
Tu peux la soumettre à une autorité en ligne.
Important : Tu indiques surtout en FQDN (www.example.com) le nom du certificat exactement l'url qui sera saisi par les internautes.
Tu valides l'assistant et hop te voilà avec un nouveau et joli certificat. Tu peux procéder à sa suppression et la récréation d'un autre certificat si les FQDN sont différents pour ton Exchange (url interne) et ton ISA (url publique).
A présent que tu as généré les deux certificats, tu peux supprimer le site web temporaire.

Partie 2/
Tu ouvres une MMC et ajoute l e composant logiciel Certificats pour le compte de l'ordinateur locale.
Tu vas à présent apercevoir tes x certificats générés dans la partie 1/ dans le magasin personel.
Tu fais un clic droit export pour chaque certificat souhaité et SURTOUT tu coches exporter la clé privée.
Tu indiques un mot de passe et cela va te générer un fichier pfx.

Partie 3/
Tu te rends sur ton serveur ISA et tu ouvres la même MMC. Tu fais un clic droit sur Personnel et Import.
Tu pointes le fichier pfx. Tu fais la même chose avec Exchange !

Bon courage,
Alex

[champblanc49]

Merci beaucoup Alex,

comme à ton habitude réponse détaillée et rapide, c'est que du bonheur. Je test cela dans la matinée et je te redis...

Encore merci

Erwan

[alex117]

Erwan,

Allez poussons un peu plus loin, j'avais un peu de temps et justement je devais moi aussi créer des certificats avec IIS7 aujourd'hui.
Donc j'ai fait les captures écran et explications : http://www.alexgiraud.net/blog/Lists/Billets/Post.aspx?ID=60

Avec ça tu devrais t'en sortir comme un chef !

Bonne journée,
Alex

[champblanc49]

Merci grand manitou,

ce qui me rassures c'est que j'ai réussi avant que tu envoies tes screens , ça fait cela de + dans la base de connaissances.

Donc problème résolu grâce à mon ami Alex

Bye

Erwan

[alex117]

2 rien avec plaisir, à la prochaine fois !

Bonne continuation,
Alex