Nous allons voir comment installer les services Active Directory Certificate Services sur un windows server 2016 avec un exchange 2016 pour éviter aux utilisateurs d’avoir des erreurs de certificat sur Outlook
Il faut commencer par se connecter au serveur exchange pour créer un nouveau certificat SERVEURS > certificats
L’Assistant Nouveau certificat Exchange s’ouvre. Sur la page Cet Assistant créera un nouveau certificat ou un fichier de demande de certificat, vérifiez que la case Créer une demande de certificat auprès d’une autorité de certification est sélectionnée, puis cliquez sur Suivant.
Sur la page Nom convivial de ce certificat, entrez un nom descriptif pour votre certificat, puis cliquez sur Suivant
Sur la page Demander un certificat de caractère générique, choisissez l’une des options suivantes :
- Si vous souhaitez demander un certificat de caractère génériqueSélectionnez Demander un certificat de caractère générique, puis spécifiez le caractère générique (*) et le domaine dans le champ Domaine racine. Par exemple, contoso.com ou *.eu.contoso.com. Lorsque vous avez terminé, cliquez sur Suivant.
- Si vous souhaitez demander un certificat SAN (autre nom de l’objet)N’effectuez aucune sélection sur cette page, puis cliquez sur Suivant.
- Si vous souhaitez demander un certificat pour un seul hôte N’effectuez aucune sélection sur cette page, puis cliquez sur Suivant.
Sur la page Enregistrer la demande de certificat sur ce serveur, cliquez sur Parcourir et sélectionnez le serveur Exchange où vous souhaitez enregistrer la demande de certificat (et installer le certificat), cliquez sur OK, puis cliquez sur Suivant.
La page Spécifiez les domaines que vous souhaitez inclure dans votre certificat est une feuille de calcul qui vous permet de définir les noms des hôtes internes et externes requis dans le certificat pour les services Exchange suivants :
- Outlook sur le web
- Génération de carnet d’adresses en mode hors connexion
- Services Web Exchange
- Exchange ActiveSync
- Découverte automatique
- POP
- IMAP
- Outlook Anywhere
Si vous entrez une valeur pour chaque service en fonction de son emplacement (interne ou externe), l’Assistant détermine les noms d’hôte requis dans le certificat, et les informations sont affichées sur la page suivante. Pour modifier une valeur d’un service, cliquez sur Modifier (), puis entrez le nom d’hôte que vous souhaitez utiliser (ou supprimez-le). Lorsque vous avez terminé, cliquez sur Suivant.
Si vous avez déjà déterminé les noms d’hôte requis dans le certificat, vous n’avez pas besoin de remplir les informations sur cette page. À la place, cliquez sur Suivant pour entrer manuellement les noms d’hôte sur la page suivante.
La page D’après vos sélections, les domaines suivants seront inclus dans le certificat répertorie les noms d’hôte qui seront inclus dans la demande de certificat. Le nom d’hôte utilisé dans le champ Subject du certificat est affiché en gras, ce qui est difficilement visible si ce nom d’hôte est sélectionné. Vous pouvez vérifier les noms d’hôte requis dans le certificat selon les sélections effectuées sur la page précédente. Ou alors, vous pouvez ignorer les valeurs de la dernière page et ajouter, modifier ou supprimer des noms d’hôte.
Sur la page Spécifiez les informations relatives à votre organisation, entrez les valeurs suivantes :
Sur la page Enregistrer la demande de certificat dans le fichier suivant, entrez le chemin d’accès UNC et le nom du fichier de la demande de certificat. Par exemple, \\FileServer01\Data\ExchCertRequest.req Lorsque vous avez terminé, cliquez sur Terminer
La demande de certificat s’affiche dans la liste des certificats Exchange avec l’état En attente
Le fichier suivant va se créer dans le répertoire que vous avez choisi
Maintenant nous allons voir comment installer les services Active Directory Certificate Services à l’aide de l’assistant « ajout/suppression de rôle » sur un des serveurs du domaine ou même sur le serveur exchange
Suivant
Cliquez sur Services de certificats Active Directory. Cliquez sur Suivant à deux reprises
Dans « fonctionnalité » cliquez sur « suivant »
Dans « services de rôle », l’option « autorité de certification » est coché par défaut. Nous allons ajouter l’option « inscription de l’autorité de certification via le Web ». Cette option crée un site Web sur IIS permettant à l’utilisateur de demander manuellement des certificats à partir d’un navigateur.
Quelques mots sur les autres options sans rentrer dans les détails :
- répondeur en ligne : permet à un client d’envoyer une requête vers un serveur on-line pour vérifier si un certificat a été révoqué. La vérification est effectuée par le serveur de réponse en ligne.
- Service d’inscription de périphérique réseau : permet aux routeurs logiciels et aux périphériques réseaux d’obtenir des certificats en se basant sur le protocole SCEP (Single Certificate Enrollment Protocole)
- Service Web inscription de certificat et Service Web Stratégie d’inscription de certificats : permet d’utiliser l’inscription automatique en passant par des protocoles https pour des clients non membre d’un domaine ou si l’ordinateur membre du domaine. Cela permet de générer des certificats pour des forêts de partenaire par exemple ou pour des travailleurs mobiles.
Suivant
Installer
Fermer
Une fois l’installation du rôle Active Directory Certificate Services, le gestionnaire de serveur propose d’exécuter l’assistant de configuration.
Une fois l’installation du rôle Active Directory Certificate Services, le gestionnaire de serveur propose d’exécuter l’assistant de configuration.
Une fois l’installation du rôle Active Directory Certificate Services, le gestionnaire de serveur propose d’exécuter l’assistant de configuration.
Vous avez la possibilité de créer 2 types d’autorité de certification :
– Autorité de certification d’entreprise : ce type d’autorité est intégré à Active Directory Domaine Services et nécessite que le serveur soit intégré aux domaines. Une partie des informations de l’autorité sera stocké dans la partition de configuration de la forêt Active Directory. L’intégration à un domaine permet d’ajouter les fonctionnalités d’inscriptions automatiques pour les utilisateurs et les ordinateurs à l’aide de stratégie de groupe. Elle permet également de stocker les clés privées de l’objet (utilisateur ou ordinateur) dans l’annuaire et de gérer des agents de récupération de clés. Une autorité de certification racine d’entreprise diffuse automatiquement son certificat dans le conteneur « autorité de racine de confiance » sur l’ensemble des postes clients Windows lors de la mise à jour des stratégies de groupes.
– Autorité de certification autonome : elle peut être installé sur un serveur en groupe de travail et ne permet pas de stocker les éléments dans Active Directory, ni d’utiliser des fonctionnalités avancées comme l’inscription automatique.
Dans notre exemple nous allons configurer une autorité d’entreprise intégrée à Active Directory.
Nous allons créer une autorité de certification racine qui émettra son propre certificat en tant qu’autorité de certification
Nous créons une nouvelle clé
Laisser les paramètres par défaut
Vous pouvez modifier le nom commun de votre autorité de certification, mais je vous propose de conserver les paramètres par défaut.
Sur la période de validité du certificat de l’autorité de certification nous allons générer un certificat de longue durée (10 ans), cela évitera de devoir renouveler le certificat trop rapidement.
Vous pouvez modifier le chemin de la base de données de l’autorité de certification et du journal. Dans mon exemple je conserve la valeur par défaut.
Enfin il suffit de cliquer sur configurer pour terminer l’installation de notre autorité de certification.
Après quelques minutes l’assistant de configuration indique que les 2 servies ont bien été configuré
Maintenant que la est terminée nous allons ouvrir notre navigateur et nous rendre à l’adresse suivante http://localhost/certsrv/Default.asp
Cliquer sur Demander un certificat
Demande de certificat avancée
Ouvrir le certificat généré par exchange avec notepad
Copier le contenu dans la page web et choisir le modèle de certificat Serveur Web :
Choisir codé en base 64
Télécharger le certificat
Copier le certificat dans le même dossier que le fichier de demande exchange
Maintenant nous pouvons terminer son installation dans exchange.
On clique sur terminer
On entre le chemin UNC du fichier
Une fois terminée il faut faire un GPupdate /force et ou on redémarre les postes
Autodidacte dans la majeure partie de mes compétences et créateur du site gabinhocity.eu, je surf tant bien sur la vague Windows que Linux. Profondément passionné par la découverte, mes loisirs sont partagés entre la photographie et les voyages.
