Exchange 2016 : Sécurisation des accès à l’infrastructure Exchange

1. Mise en place des communications sécurisées à l’aide d’une PKI

De plus en plus de services de communication s’appuient sur des systèmes de chiffrement liés à une PKI. Exchange Server 2016 implémente différents services comme Outlook Anywhere, MAPI/HTTP, EWS (Exchange Web Services), les API REST, OAB (Offline Address Book), ActiveSync, … qui s’appuient sur l’encapsulation SSL.

Afin de mettre en place la sécurisation de ces services, la configuration s’appuie sur l’architecture d’IIS, le serveur web natif de Windows qui héberge les services. Aussi même si la plupart des paramètres de configuration se font via les outils d’administration d’Exchange Server 2016, les paramètres sont configurés au sein d’IIS.

Pour mettre en place les composants nécessaires à la sécurisation des communications des services, il est possible d’utiliser une PKI publique, donc payante, ou d’implémenter une autorité privée sous la forme d’une autorité de certification autonome ou d’une autorité de certification d’entreprise.

2. Déploiement d’une autorité de certification autonome

Installation de l’autorité de certification autonome

L’installation d’une autorité de certification va empêcher la modification du nom de la machine. Il ne sera plus possible de la rajouter ou de la retirer facilement à un domaine Active Directory ou même de la renommer.

Lancez l’outil d’administration Gestionnaire de serveur à partir de la barre des tâches.

Ouvrez le menu Gérer et cliquez sur Ajouter des rôles et fonctionnalités.

Dans la page Avant de commencer, cliquez sur le bouton Suivant.

Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis cliquez sur Suivant.

Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurspuis cliquez sur Suivant.

Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur Suivant.

images/10CE03.png

Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.

Dans la page Fonctionnalités, cliquez sur Suivant.

Dans la page AD CS, cliquez sur Suivant.

Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de l’autorité de certification via le Web puis cliquez sur Suivant.

images/10CE04.png

Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.

images/10CE05.PNG

Dans la page Confirmation, cliquez sur Installer.

Dans la page Résultats, cliquez sur Fermer.

Dans l’outil d’administration Gestionnaire de serveur, ouvrez le menu de notification puis cliquez sur le lien Configurer les services de certificats Active Directory.

images/10CE06.PNG

Dans la fenêtre Configuration des services de certificats Active Directory cliquez sur Suivant.

Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de l’autorité de certification via le Web puis cliquez sur Suivant.

images/10CE07.PNG

Dans la fenêtre Type d’installation, laissez les paramètres par défaut puis cliquez sur Suivant.

images/10CE08.PNG

Dans la page Type d’AC, laissez les paramètres par défaut puis cliquez sur Suivant.

images/10CE09.PNG

Dans la page Clé privée, laissez les paramètres par défaut puis cliquez sur Suivant.

images/10CE10.PNG

Dans la page Chiffrement, laissez les paramètres par défaut puis cliquez sur Suivant.

images/10CE11.PNG

Dans la page Nom de l’AC, tapez le nom choisi pour votre autorité de certification dans le champ Nom commun de cette AC puis cliquez sur Suivant.

images/10CE12.PNG

Dans la page Période de validité, indiquez la période de validité dans le champ Sélectionnez la période de validité du certificat généré pour cette autorité de certification puis cliquez sur Suivant.

Vous devrez renouveler le certificat de l’autorité à chaque fin de période de validité et réapprouver ce nouveau certificat sur tous les clients.

images/10CE13.PNG

Dans la page Base de données de certificats, laissez les paramètres par défaut puis cliquez sur Suivant.

images/10CE14.PNG

Dans la page Confirmation, vérifiez que la configuration de votre choix est bien affichée et cliquez sur Configurer.

images/10CE15.PNG

Dans la page Résultats, vérifiez que la configuration s’est bien déroulée puis cliquez sur Fermer.

images/10CE16.PNG

3. Mise en place d’une autorité de certification d’entreprise

Une autorité de certification d’entreprise permet d’automatiser le déploiement des certificats à partir d’Active Directory.

Installation de l’autorité de certification d’entreprise

L’autorité de certification d’entreprise doit être installée sur une machine membre d’un domaine Active Directory.

Lancez l’outil d’administration Gestionnaire de serveur à partir de la barre des tâches.

Ouvrez le menu Gérer et cliquez sur Ajouter des rôles et fonctionnalités.

Dans la page Avant de commencer, cliquez sur le bouton Suivant.

Dans la page Type d’installation, cliquez sur Installation basée sur un rôle ou une fonctionnalité puis cliquez sur Suivant.

Dans la page Sélection du serveur, sélectionnez votre serveur dans la liste Pool de serveurspuis cliquez sur Suivant.

Dans la page Rôles de serveurs, sélectionnez Services de certificats Active Directory puis cliquez sur Suivant.

Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.

Dans la page Fonctionnalités, cliquez sur Suivant.

Dans la page AD CS, cliquez sur Suivant.

Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de l’autorité de certification via le Web puis cliquez sur Suivant.

Si la page Serveur Web (IIS) apparaît, cliquez sur Suivant.

Cliquez sur Ajouter des fonctionnalités pour valider l’installation des composants nécessaires.

Dans la page Confirmation, cliquez sur Installer.

Dans la page Résultats, cliquez sur Fermer.

Dans l’outil d’administration Gestionnaire de serveur, ouvrez le menu de notification puis cliquez sur le lien Configurer les services de certificats Active Directory.

Dans l’assistant Configuration des services de certificats Active Directory, dans la page Informations d’identification, cliquez sur Suivant.

Dans la page Services de rôle, sélectionnez les composants Autorité de certification et Inscription de l’autorité de certification via le Web puis cliquez sur Suivant.

Dans la page Type d’installation, sélectionnez l’option Autorité de certification d’entreprisepuis cliquez sur Suivant.

images/10CE17.png

Dans la page Type d’AC, laissez les paramètres par défaut puis cliquez sur Suivant.

Dans la page Clé privée, laissez les paramètres par défaut puis cliquez sur Suivant.

Dans la page Chiffrement, laissez les paramètres par défaut puis cliquez sur Suivant.

Dans la page Nom de l’AC, tapez le nom choisi de votre autorité de certification dans le champ Nom commun de cette AC puis cliquez sur Suivant.

Dans la page Période de validité, indiquez la période de validité dans le champ Sélectionnez la période de validité du certificat généré pour cette autorité de certification puis cliquez sur Suivant.

Vous devrez renouveler le certificat de l’autorité à chaque fin de période de validité et réapprouver ce nouveau certificat sur tous les clients.

Dans la page Base de données de certificats, laissez les paramètres par défaut puis cliquez sur Suivant.

Dans la page Confirmation, vérifiez que la configuration de votre choix est bien affichée et cliquez sur Configurer.

images/10CE18.png

Dans la page Résultats, vérifiez que la configuration s’est bien déroulée puis cliquez sur Fermer.

4. Création et déploiement d’un certificat pour Exchange

Implémentation à l’aide de la console Centre d’administration Exchange

La demande d’un certificat répondant aux besoins d’une infrastructure peut être facilitée par l’utilisation de l’assistant fourni au sein de la console Centre d’administration Exchange en réalisant les manipulations suivantes :

Dans la console d’administration Centre d’administration Exchange, dans l’espace serveurs, cliquez sur certificats.

Cliquez sur le symbole +, dans l’assistant nouveau certificat Exchange, cliquez sur l’option Créez une demande de certificat d’une autorité de certification.

images/10CE19.png

Sélectionnez le serveur Exchange à qui est destiné le certificat.

images/10CE22.png

Entrez les URL correspondant à vos domaines de messagerie publics et privés.

images/10CE23.png

Vérifiez la liste des domaines qui vont être inclus dans le certificat, puis validez la synthèse.

images/10CE24.png

Tapez les informations de l’entreprise qui va faire la demande de certificat.

images/10CE25.png

Entrez un chemin réseau dans lequel la demande sera sauvegardée.

images/10CE26.png

Vérifiez le contenu de la requête en ouvrant le fichier nouvellement créé.

C:\CertWebRequest.txt 
 
-----BEGIN NEW CERTIFICATE REQUEST----- 
 
MIIDYTCCAsoCAQAwbDELMAkGA1UEBhMCRlIxDjAMBgNVBAgMBVBhcmlzMQ4wDAYD 
VQQHDAVQYXJpczEQMA4GA1UECgwHQVZBRURPUzERMA8GA1UECwwITGVhcm5pbmcx 
GDAWBgNVBAMMD3d3dy5hdmFlZG9zLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw 
gYkCgYEAjgGOQ2Pu/SDUwyeToeSBIAf7/6GdhL1spItiKCpcpO1kBNhpRHwfw+QQ 
Fz9Zzg9get5zXh64ebFZtlWZJ7+iFuHYxIbXDiR3inuaSRxJ/C8tBzcIp/IoOrUm 
dGC67hh1NyrnB4vEIZyvyTQ6GeRMAUEPxxZX/SlWVctGhEvEk20CAwEAAaCCAbMw 
GgYKKwYBBAGCNw0CAzEMFgo2LjEuNzYwMS4yME8GCSsGAQQBgjcVFDFCMEACAQUM 
F2lpcy1zcnYuZW5pLWVkaXRpb25zLmZyDBVJSVMtU1JWXEFkbWluaXN0cmF0b3IM 
C0luZXRNZ3IuZXhlMHIGCisGAQQBgjcNAgIxZDBiAgEBHloATQBpAGMAcgBvAHMA 
bwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcA 
cgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDAQAwgc8GCSqGSIb3DQEJDjGB 
wTCBvjAOBgNVHQ8BAf8EBAMCBPAwEwYDVR0lBAwwCgYIKwYBBQUHAwEweAYJKoZI 
hvcNAQkPBGswaTAOBggqhkiG9w0DAgICAIAwDgYIKoZIhvcNAwQCAgCAMAsGCWCG 
SAFlAwQBKjALBglghkgBZQMEAS0wCwYJYIZIAWUDBAECMAsGCWCGSAFlAwQBBTAH 
BgUrDgMCBzAKBggqhkiG9w0DBzAdBgNVHQ4EFgQUVeyoJk14vZgZbL/wF7vCO2H7 
PB8wDQYJKoZIhvcNAQEFBQADgYEAKLX34f++FHiJtlPtAXmd2WCER7Lezf58klCX 
Z7/DUHoAzxg/2KUxktTh9MyKkTDPKFHd1HxoI9xBnj/HsUmPjGFfbWsdVYDNnk/r 
57OlSDtl4BixZXXevluu67Impc+8kx8YJ+nWEj5oacDpB0xGpLWOCanYR49m+nZc 
iLVjTe0= 
 
-----END NEW CERTIFICATE REQUEST-----

Soumission de la requête auprès de l’autorité de certification

À l’aide du navigateur Internet Explorer, ouvrez l’URL http://<serveur de l’autorité de certification>/certsrv.

Dans la page de Bienvenue, cliquez sur le lien Demander un certificat.

images/10CE27.PNG

Dans la page Demander un certificat, cliquez sur demande de certificat avancée.

images/10CE28.PNG

Dans la page Demande de certificat avancée, cliquez sur le lien Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.

images/10CE29.PNG

Dans la page Soumettre une demande de certificat ou de renouvellement, collez le contenu du fichier de requête précédemment obtenu dans le champ Demande enregistrée. Ensuite, sélectionnez Serveur Web dans le menu Modèle de certificat (dans le cas d’une requête auprès d’une autorité de certification autonome), puis cliquez sur Envoyer.

images/10CE30.PNG

Dans le cas d’une requête auprès d’une autorité de certification autonome, passez directement à la section Téléchargement du certificat délivré.

Approbation de la demande de certificat

Dans la page Certificat en attente, notez l’identificateur de la requête de certificat.

Sur le serveur de l’autorité de certification, dans l’outil d’administration Autorité de certification, sélectionnez le nœud Demandes en attente sous le nom du serveur.

Cliquez avec le bouton droit sur la ligne correspondant à l’indicateur de requête précédemment noté, puis sur Toutes les taches \ Délivrer.

Cliquez sur le nœud Certificats délivrés et vérifiez la présence du certificat.

images/10CE31.PNG

À l’aide du navigateur Internet Explorer, ouvrez l’URL http://<serveur de l’autorité de certification>/certsrv.

Dans la page de Bienvenue, cliquez sur le lien Afficher le statut d’une requête de certificat en attente.

Dans la page Afficher l’état d’une demande de certificat en attente, cliquez sur votre demande.

Téléchargement du certificat délivré

Dans la page Certificat émis, cliquez sur Télécharger le certificat et enregistrez le fichier sur votre disque dur.

images/10CE32.PNG

Enregistrement du certificat délivré dans la messagerie Exchange Server 2016

Dans la console d’administration Centre d’administration Exchange, dans l’espace serveurs, cliquez sur l’onglet certificats.

Dans l’onglet certificats, sélectionnez le certificat en attente, puis cliquez sur le lien Terminé à droite de la page.

images/10CE33.PNG

Dans l’assistant effectuer la demande en attente, indiquez le chemin du certificat et validez l’import.

images/10CE34.PNG

Dans l’onglet certificats, double cliquez sur le nouveau certificat, puis cliquez sur la page services.

Dans la page services, sélectionnez les protocoles de votre choix, puis cliquez sur le bouton Enregistrer.

images/10CE35.PNG

Approbation de l’autorité de certification sur les clients

Le certificat issu d’une autorité de certification autonome n’étant pas nativement approuvé, il va falloir réaliser cette manipulation ou son équivalent sur l’ensemble des dispositifs devant se connecter à l’infrastructure Exchange de manière fiable.

À partir du client et à l’aide d’Internet Explorer, ouvrez l’URL http://<serveur de l’autorité de certification>/certsrv.

Dans la page de Bienvenue, cliquez sur le lien Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats.

Dans la page Télécharger un certificat d’autorité de certification, une chaîne de certificats ou la liste de révocation des certificats, cliquez sur le lien Télécharger un certificat de l’autorité de certification puis enregistrez le fichier sur votre disque dur.

images/10CE36.PNG

Dans le menu Démarrer de Windows, ouvrez le menu Exécuter….

Dans la fenêtre Exécuter, tapez certmgr.msc dans le champ Ouvrir, puis cliquez sur OK.

Dans la fenêtre certmgr – [Certificats – utilisateur actuel], développez les nœuds Autorités de certification racines de confiance puis Certificats.

Cliquez avec le bouton droit sur Certificats puis sur Toutes les tâches \ Importer….

Dans la page Fichier à importer de l’assistant Assistant Importation du certificat, entrez le chemin vers le fichier du certificat de l’autorité de certification dans le champ Nom du fichier puis cliquez sur Suivant.

images/10CE37.PNG

Dans la page Magasin de certificats, sélectionnez l’option Placer tous les certificats dans le magasin suivant et vérifiez que le champ Magasin de certificats contient bien Autorités de certification racines de confiance puis cliquez sur Suivant.

images/10CE38.PNG

Dans la page de résumé, cliquez sur Terminer.

images/10CE39.PNG

Test de l’accès à Outlook sur le Web

À partir du client et à l’aide d’Internet Explorer, ouvrez l’URL https://<url du site web https>/owa/ et vérifiez que l’accès se fait sans problème de manière sécurisée.

images/10CE40.PNG

Leave a Reply

Your email address will not be published. Required fields are marked *