Installer un certificat SSL sur Exchange 2007

Le serveur de messagerie Microsoft Exchange est renouvelé tous les trois ans environ : Exchange 2000, 2003, 2007, 2010, 2013, 2016. Bien sûr, il est conseillé d’utiliser la dernière version en date mais il n’est pas simple de migrer un serveur de production aussi sensible que celui qui gère les mails en entreprise. L’utilisation d’un cluster qui regroupe plusieurs Exchange n’est pas plus facile à mettre à jour, c’est pour cette raison que de nombreuses organisations tournent encore avec Exchange 2010 voire 2007, bien que le support officiel Microsoft soit terminé sur cette version du système d’exploitation serveur. Et puisqu’il faut continuer de protéger les flux, l’installation d’un certificat SSL est toujours possible sur Internet Information Services (IIS) afin de sécuriser Exchange ou un site web.

Ce tutoriel décrit comment installer un (nouveau) certificat SSL pour Exchange 2007 sur un Windows Server avec IIS. Bien sûr, la procédure est quasiment équivalente avec les autres versions de Microsoft Exchange.

 

Microsoft Exchange 2007 : mettre en place un certificat SSL / TLS

1. Une fois le certificat téléchargé sur le compte Symantec, Digicert, GoDaddy ou autre, copier les fichiers (p7b, pxf…) sur le disque dur du serveur Microsoft Exchange.

2. Démarrer Exchange Management Shell (menu Démarrer, Programmes, Microsoft Exchange Server 2007).

3. Copier coller cette commande en adaptant le chemin et nom de fichier :

Import-ExchangeCertificate -Path C:\certificatssl.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS" 

Adapter également les services sur lesquels installer le nouveau certificat SSL, selon l’usage fait de ce serveur Exchange.

4. La commande exécutée, le certificat est en place. Vérifier sa prise en compte par une autre commande PowerShell :

Get-ExchangeCertificate -DomainName webmail.entreprise.com

En modifiant le nom de domaine (après DomainName).

5. La colonne Services indique ce qui a été configuré :

 

Thumbprint

Si le certificat n’est pas correctement installé, on peut relancer la commande Enable-ExchangeCertificate en indiquant le thumbprint du certificat, à retrouver dans les détails du fichier de certificat.

Enable-ExchangeCertificate -ThumbPrint [empreinte] -Services "SMTP, IMAP, POP, IIS"

Où [empreinte] est la longue série de chiffres et de lettres, sans les espaces.

 

Tester le certificat SSL / TLS

On peut utiliser un service comme Symantec CryptoReport pour valider le nouveau certificat SSL / TLS :

https://cryptoreport.websecurity.symantec.com/checker/

Quitter la version mobile