Certificat OWA
Certificat OWA - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 19-04-2011 à 19:54:34
Si c'est pour de l'interne, tu peux forcer une GPO à certifier celui-ci, pour de l'externe, pas de chance, il faut une autorité de certification reconnue.
Marsh Posté le 19-04-2011 à 21:27:32
Reply
Marsh Posté le 19-04-2011 à 21:43:44
Autre solution, installer le certificat dans le dossier "Trusted Root Certification Authorities" mais chut... c'est une mauvaise pratique...
Marsh Posté le 19-04-2011 à 22:03:47
| dsy a écrit : Autre solution, installer le certificat dans le dossier "Trusted Root Certification Authorities" mais chut... c'est une mauvaise pratique... |
Ah ben fallait commencer par ça ! 
Je vais essayer de voir comment ça se fait 
---------------
Mon topic de vente - Mon feed-back
Marsh Posté le 19-04-2011 à 22:32:47
Alors, déjà si c'est un certificat autosigné, essaie de passer à un certificat délivré par une vrai autorité de certification interne (que tu peux installer sur un serveur, genre un DC). Si c'est aussi pour publier tous les services exchange à l'extérieur (le but d'OWA c'est qd même de rendre dispo sur le net à des clients chez eux ou non connecté avec un poste du domaine) il faudrait sérieusement penser à prendre un certificat public. Ca va te couter une centaine d'euros/an c'est pas la mer à boire pour une boite qd même 
Mais dans tous les cas, évite les certificats autosignés par le serveur exchange ...., préfère une CA interne publiée dans l'AD
Message édité par Je@nb le 19-04-2011 à 22:33:23
Marsh Posté le 20-04-2011 à 09:24:04
| Je@nb a écrit : Alors, déjà si c'est un certificat autosigné, essaie de passer à un certificat délivré par une vrai autorité de certification interne (que tu peux installer sur un serveur, genre un DC). Si c'est aussi pour publier tous les services exchange à l'extérieur (le but d'OWA c'est qd même de rendre dispo sur le net à des clients chez eux ou non connecté avec un poste du domaine) il faudrait sérieusement penser à prendre un certificat public. Ca va te couter une centaine d'euros/an c'est pas la mer à boire pour une boite qd même |
C'est ce que j'ai fais, j'ai suivi ce tuto très simple :
http://www.msexchange.org/tutorial [...] _2003.html
Petite interrogation annexe :
Mon serveur a un nom en interne (serveur_exchange.domaine.priv).
Son nom en externe, ca va être un truc genre exchange.domaine.fr , avec une simple redirection du port 443 dessus.
On ne peut visiblement attacher qu'un certificat à son OWA (enfin j'imagine à une instance IIS). Donc pour que mon seul certificat soit valable en interne et en externe, il faut qu'il porte sur le nom de domaine "exchange.domaine.fr", et que dans mon AD, ce sous domaine pointe sur serveur_exchange.domaine.priv, c'est bien ca ?
J'imagine que ca se passe au niveau du serveur DNS. Cette opération se nomme comment ? (que je puisse trouver un peu de doc sur le sujet)
---------------
Mon topic de vente - Mon feed-back
Marsh Posté le 20-04-2011 à 18:03:59
Reply
Marsh Posté le 20-04-2011 à 18:20:25
| Je@nb a écrit : Dans ton certificats tu mets plusieurs noms de domaines (les SAN) |
---------------
Mon topic de vente - Mon feed-back
Marsh Posté le 22-04-2011 à 17:40:05
| dsy a écrit : Autre solution, installer le certificat dans le dossier "Trusted Root Certification Authorities" mais chut... c'est une mauvaise pratique... |
Tu me suggère de faire ça ?
http://www.espace-microsoft.com/fr [...] a-gpo.html
Edit : non non, CertMgr j'ai trouve c'est bon 
Message édité par tuxbleu le 22-04-2011 à 18:00:33
---------------
Mon topic de vente - Mon feed-back
Sujets relatifs:
- Win2003 - Option manquante dans certsrv pour générer un certificat
- Certificat PEAP signé
- SIP et certificat x509
- Copier/déplacer certificat IIS - "Classe non enregistrée"
- Certificat SSL 2011
- authentification 802.1x avec certificat PEAP pour pc hors domaine
- Règle de transfert mail dans OWA 2007 ne fonctionne pas
- Ajout d'un Certificat SSL client au sein de TOMCAT
- reverse proxy sur Apache 2 pour OWA 2007
- Résolu : Renouvellement de certificat OWA (IIS6)
Marsh Posté le 19-04-2011 à 18:46:01
Bonsoir
J'ai généré un certificat SSL pour mon OWA.
Ca se passe bien, sauf :
"Ce certificat racine de l'Autorité de certification n'est pas de confiance car il ne fait pas partie du magasin d'autorités de certification de racine de confiance."
J'imagine que je dois payer une autorité "reconnue" pour que mon certificat ne sorte plus en erreur ?
---------------
Mon topic de vente - Mon feed-back