Certificat Exchange 2007
// juillet 30th, 2009 // Exchange 2007
Pas de PKI, pas d’argent, c’est pas grave…
Dans l’exemple suivant, on crée une demande de certificat depuis le shell Exchange, on pourra ensuite générer le certificat avec une CA OpenSSL par example.
Le setup est le suivant:
1 serveur Exchange avec tous les roles installés.
Nom d’hote: exchsrv
FQDN interne: exchsrv.mondomaine.ad
FQDN externe: mail.mondomaine.fr
La commande pour générer la demande de certificat dans le shell exchange est :
New-ExchangeCertificate -DomainName mail.mondomaine.fr, exchsrv.mondomaine.ad, exchsrv ` -FriendlyName Cert_Exchange -GenerateRequest:$True -Keysize 1024 -path c:\nouveau-cert.req ` -privatekeyExportable:$true -subjectName "c=FR, DC=fr, DC=mondomaine, o=Mon Entreprise, ` CN=mail.mondomaine.fr, CN=exchsrv.mondomaine.ad"
Pour installer le certificat utiliser le cmdlet ImportExchangeCertificate, puis pour le mettre en place EnableExchangeCertificate en choisissant les rôles pour lesquels affecter le certificat.
Vérifier après le redémarrage de IIS que le certificat a bien été remplacé sinon le faire a la mano dans l’onglet “sécurité du répertoire.”.
Petit rappel sur le création d’une CA OpenSSL et sur le generation de certificats.
Génération de la CA:
#openssl genrsa -des3 -out ca.key 1024 #openssl req -new -x509 -days 365 -key ca.key -out ca.crt
Générer un certificat utilisateur et exporter en PKCS12:
#openssl genrsa -out utilisateur.key 1024 #openssl req -new -key utilisateur.key -out utilisateur.csr #openssl x509 -req -days 182 -in utilisateur.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out utilisateur.crt
openssl pkcs12 -export -inkey utilisateur.key -certfile ca.crt -in utilisateur.crt -out utilisateur.p12
Parfois il peut être utile de generer un certificat avec plusieurs noms d’hotes, dans OpenSSL.cnf il faut faire de la sorte:
0.commonName = Common Name (eg, YOUR name) 0.commonName_default = mail.domaine.no1 0.commonName_max = 64 1.commonName = Common Name (eg, YOUR name) 1.commonName_default = mail.domain.no2 1.commonName_max = 64
Leave a Reply
You must be logged in to post a comment.
My videos. Featured videos.
Articles récents
Catégories
- Actualité (5)
- Exchange 2007 (2)
- Monitoring (2)
- MySQL (3)
- Non classé (11)
- OpenBSD (3)
- Pense-bete (2)
- Python (1)
- VBScript (2)
- Vulnérabilités (3)
- Windev (1)
