Délivrer des certificats aux services Exchange 2016Assign certificates to Exchange 2016 services

Résumé: Découvrez comment assigner des certificats pour les services Exchange dans Exchange 2016.Summary: Learn how to assign certificates to Exchange services in Exchange 2016.

Lorsque vous venez d'installer un certificat sur un serveur Exchange Server 2016, vous devez affecter le certificat à un ou plusieurs services Exchange avant que le serveur Exchange soit en mesure d'utiliser le certificat pour le chiffrement. Vous pouvez affecter des certificats à des services dans le Centre d'administration Exchange (CAE) ou dans l'Environnement de ligne de commande Exchange Management Shell. Une fois un certificat affecté à un service, vous ne pouvez plus supprimer l'affectation. Si vous ne souhaitez plus utiliser un certificat pour un service spécifique, vous devez affecter un autre certificat au service, puis supprimer le certificat que vous ne souhaitez plus utiliser.After you install a certificate on an Exchange Server 2016 server, you need to assign the certificate to one or more Exchange services before the Exchange server is able to use the certificate for encryption. You can assign certificates to services in the Exchange admin center (EAC) or in the Exchange Management Shell. Once you assign a certificate to a service, you can't remove the assignment. If you no longer want to use a certificate for a specific service, you need to assign another certificate to the service, and then remove the certificate that you don't want to use.

Les services Exchange disponibles sont décrits dans le tableau suivant.The available Exchange services are described in the following table.


ServiceService UtiliseUses
Services Internet (IIS)IIS
Chiffrement TLS pour les connexions client internes et externes qui utilisent le protocole HTTP. Notamment :TLS encryption for internal and external client connections that use HTTP. This includes:
Découverte automatiqueAutodiscover
Exchange ActiveSyncExchange ActiveSync
Centre d'administration ExchangeExchange admin center
Services Web ExchangeExchange Web Services
Distribution de carnet d'adresses en mode hors connexionOffline address book (OAB) distribution
Outlook Anywhere (RPC sur HTTP)Outlook Anywhere (RPC over HTTP)
Outlook MAPI sur HTTPOutlook MAPI over HTTP
Outlook sur le webOutlook on the web
IMAPIMAP
Chiffrement TLS pour les connexions client IMAP4.TLS encryption for IMAP4 client connections.
N'affectez pas de certificat de caractère générique au service IMAP4. À la place, utilisez la cmdlet Set-ImapSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service IMAP4. Don't assign a wildcard certificate to the IMAP4 service. Instead, use the Set-ImapSettings cmdlet to configure the fully qualified domain name (FQDN) that clients use to connect to the IMAP4 service.
POPPOP
Chiffrement TLS pour les connexions client POP3.TLS encryption for POP3 client connections.
N'affectez pas de certificat de caractère générique au service POP3. À la place, utilisez la cmdlet Set-PopSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service POP3. Don't assign a wildcard certificate to the POP3 service. Instead, use the Set-PopSettings cmdlet to configure the FQDN that clients use to connect to the POP3 service.
SMTPSMTP
Chiffrement TLS pour les connexions client et serveur SMTP externes.TLS encryption for external SMTP client and server connections.
Authentification TLS mutuelle entre Exchange et d'autres serveurs de messagerie.Mutual TLS authentication between Exchange and other messaging servers.
Lorsque vous attribuez un certificat pour SMTP, vous êtes invité à remplacer le certificat auto-signé par défaut Exchange qui est utilisé pour chiffrer les communications SMTP entre les serveurs Exchange internes. En règle générale, vous n’avez pas besoin de remplacer le certificat SMTP par défaut.When you assign a certificate to SMTP, you're prompted to replace the default Exchange self-signed certificate that's used to encrypt SMTP communication between internal Exchange servers. Typically, you don't need to replace the default SMTP certificate.
Messagerie unifiée (UM)Unified Messaging (UM)
Chiffrement TLS pour les connexions client au service de messagerie unifiée principal sur les serveurs de boîtes aux lettres.TLS encryption for client connections to the backend UM service on Mailbox servers.
Vous pouvez uniquement affecter un certificat au service de messagerie unifiée lorsque le mode de démarrage de messagerie unifiée du service est défini sur TLS ou Double. Si le mode de démarrage de messagerie unifiée est défini sur TCP (valeur par défaut), vous ne pouvez pas affecter le certificat au service de messagerie unifiée. Pour plus d'informations, voir Configure the Startup Mode on a Mailbox Server. You can only assign a certificate to the UM service when the UM startup mode property of the service is set to TLS or Dual. If the UM startup mode is set to the default value TCP, you can't assign the certificate to the UM service. For more information, see Configure the Startup Mode on a Mailbox Server.
Routeur d’appels de messagerie unifiée (UMCallRouter)Unified Messaging Call Router (UMCallRouter)
Chiffrement TLS pour les connexions client au service routeur des appels de messagerie unifiée dans les services d'accès au client sur les serveurs de boîtes aux lettres.TLS encryption for client connections to the UM Call Router service in the Client Access services on Mailbox servers.
Vous pouvez uniquement affecter un certificat au service routeur des appels de messagerie unifiée lorsque le mode de démarrage de messagerie unifiée du service est défini sur TLS ou Double. Si le mode de démarrage de messagerie unifiée est défini sur TCP (valeur par défaut), vous ne pouvez pas affecter le certificat au service routeur des appels de messagerie unifiée. Pour plus d'informations, voir Configure the Startup Mode on a Client Access Server. You can only assign a certificate to the UM Call Router service when the UM startup mode property of the service is set to TLS or Dual. If the UM startup mode is set to the default value TCP, you can't assign the certificate to the UM Call Router service. For more information, see Configure the Startup Mode on a Client Access Server.

Ce qu’il faut savoir avant de commencerWhat do you need to know before you begin?

  • Durée d'exécution estimée : 5 minutes.Estimated time to complete: 5 minutes.

  • Après avoir effectué les procédures décrites dans cette rubrique, vous devrez peut-être redémarrer Internet Information Services (IIS). Dans certains scénarios, Exchange peut continuer à utiliser le certificat précédent pour chiffrer et déchiffrer le cookie qui est utilisé pour Outlook sur l’authentification web (anciennement appelé Outlook Web App). Nous vous recommandons de redémarrer IIS dans les environnements que l’équilibrage de charge utiliser couche 4.After you do the procedures in this topic, you might need to restart Internet Information Services (IIS). In some scenarios, Exchange might continue to use the previous certificate for encrypting and decrypting the cookie that's used for Outlook on the web (formerly known as Outlook Web App) authentication. We recommend restarting IIS in environments that use Layer 4 load balancing.

  • Si vous renouvelez ou remplacez un certificat émis par une autorité de certification sur un serveur de transport Edge abonné, vous devez supprimer l'ancien certificat, puis supprimer et recréer l'abonnement Edge. Pour plus d'informations, consultez la section Processus d'abonnement Edge.If you renew or replace a certificate that was issued by a CA on a subscribed Edge Transport server, you need to remove the old certificate, and then delete and recreate the Edge Subscription. For more information, see Edge Subscription process.

  • Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.To learn how to open the Exchange Management Shell in your on-premises Exchange organization, see Open the Exchange Management Shell.

  • Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l'entrée « Sécurité des services d'accès au client » dans la rubrique Autorisations des clients et des périphériques mobiles.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Client Access services security" entry in the Clients and mobile devices permissions topic.

  • Pour obtenir des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, reportez-vous à l’article Raccourcis clavier dans dans le Centre d’administration Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Conseil

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at: Exchange Server, Exchange Online, or Exchange Online Protection.

Utiliser le CAE pour affecter un certificat à des services ExchangeUse the EAC to assign a certificate to Exchange services

  1. Ouvrez le CAE et accédez à Serveurs > Certificats.Open the EAC, and navigate to Servers > Certificates.

  2. Dans la liste Sélectionner le serveur, sélectionnez le serveur Exchange contenant le certificat.In the Select server list, select the Exchange server that holds the certificate.

  3. Sélectionnez le certificat que vous souhaitez configurer, puis cliquez sur Modifier icône Modifier. Le certificat doit avoir la valeur d’état valide.Select the certificate that you want to configure, and then click Edit Edit icon. The certificate needs to have the Status value Valid.

  4. Sous l’onglet Services , dans la section spécifier les services que vous souhaitez attribuer ce certificat , sélectionnez les services. N’oubliez pas, vous pouvez ajouter des services, mais vous ne pouvez pas les supprimer. Lorsque vous avez terminé, cliquez sur Enregistrer.On the Services tab, in the Specify the services you want to assign this certificate to section, select the services. Remember, you can add services, but you can't remove them. When you're finished, click Save.

Utiliser l'Environnement de ligne de commande Exchange Management Shell pour affecter un certificat à des services ExchangeUse the Exchange Management Shell to assign a certificate to Exchange services

Pour affecter un certificat à des services Exchange, utilisez la syntaxe suivante :To assign a certificate to Exchange services, use the following syntax:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

Cet exemple montre comment affecte le certificat qui a la valeur de l’empreinte numérique 434AC224C8459924B26521298CE8834C514856AB pour les services POP, IMAP, IIS et SMTP.This example assigns the certificate that has the thumbprint value 434AC224C8459924B26521298CE8834C514856AB to the POP, IMAP, IIS, and SMTP services.

Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP

Vous pouvez rechercher la valeur d'empreinte numérique du certificat à l'aide de la cmdlet Get-ExchangeCertificate.You can find the certificate thumbprint value by using the Get-ExchangeCertificate cmdlet.

Comment savoir si cela a fonctionné ?How do you know this worked?

Pour vérifier qu'un certificat a bien été affecté à un ou plusieurs services Exchange, appliquez l'une des procédures suivantes :To verify that you have successfully assigned a certificate to one or more Exchange services, use either of the following procedures:

  • Dans le CAE, dans Serveurs > Certificats, vérifiez que le serveur où le certificat est installé est sélectionné. Sélectionnez le certificat, puis dans le volet d'informations, vérifiez que la propriété Assignés aux services contient les services que vous avez sélectionnés.In the EAC at Servers > Certificates, verify the server where you installed the certificate is selected. Select the certificate, and in the details pane, verify that the Assigned to services property contains the services that you selected.

  • Dans l'Environnement de ligne de commande Exchange Management Shell du serveur où le certificat est installé, exécutez la commande suivante pour vérifier que les services Exchange associés au certificat :In the Exchange Management Shell on the server where you installed the certificate, run the following command to verify the Exchange services for the certificate:

    Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services