Exchange 2007 : Certificats, Iphone et OWA

Avec Exchange 2007, si vous rencontrez un problème de certificat lors de la connexion à l’ Outlook Web Access de Exchange 2007 et lorsque vous configurez un compte Exchange 2007 / Pushmail / ActiveSync avec vos appareils IPhone (2.2.1) et Windows Mobile, voici la procédure que j’ai utilisé pour résoudre ce problème.

 

Le message d’avertissement OWA n’est pas bloquant car vous pouvez continuer et accéder à votre OWA, cependant le problème de certificat gène la connexion du IPhone à Exchange 2007 / ActiveSync. Résoudre le problème OWA résout le problème avec l’IPhone, ou vice versa.

Avec Exchange 2K7 et OWA, lorsque vous vous connectez à votre messagerie par OWA et que votre navigateur internet vous informe qu’il y un problème de certificat avec le message suivant :

 

Le certificat de sécurité de ce site Web présente un problème
Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web

 

Avec votre IPhone ou Windows Mobile, lorsque vous configurez votre compte Exchange, après la vérification d’accès, votre IPhone vous dit que le :

 

Certificat pour le domaine XXXX n’est pas valide

 

L’erreur vient du fait que vous n’avez pas installé de certificat contenant précisément le nom de domaine auquel vous tentez d’accéder.

 

Si votre URL d’accès à OWA est par exemple : https://mail.toto.fr/owa (définie au niveau OWA du CAS pour l’URL d’accès), alors vous devez générer a partir de votre Exchange 2007 un certificat contenant précisément ce nom de domaine

Résumé  des manipulations

Pour résumer les manipulations à faire pour générer un certificat correct vous permettant d’accéder directement à OWA et configurer l’IPhone ou Windows Mobile avec un compte Exchange 2007 :

  • Générez dans le PowerShell de votre Exchange 2007 CAS un nouveau certificat avec l’option : –DomaineName mail.toto.fr
  • Activez le certificat sous powershell avec pour le service IIS
  • Copiez le certificat personnel dans le trusted root certification Authorities de votre Exchange 2007 afin de le valider complètement
  • Exportez-le à partir du trusted root certification Authorities
  • Installez-le sur votre PC pour accéder directement à OWA sans message d’avertissement
  • Installez-le sur votre IPhone ou Windows Mobile pour configurer l’accès à Exchange

Détails des manipulations

Evidemment les ThumbPrint générés et indiqués dans les exemples ci-dessous sont propres à chaque nouveau certificat.

  • A partir du PowerShell de votre Exchange 2007 CAS
  • C’est à ce niveau qu’il faut générer le certificat correct, tapez : new-exchangecertificate -DomainName mail.toto.fr
  • Si le PowerShell vous propose de remplacer le certificat actuel, répondez non

Confirm

Overwrite existing default SMTP certificate, ‘3423EFEE23C8984FFD9AD4E0FC2A0D9BE1F1213B’ (expires 05/01/2010 15:22:58), with certificate ‘ECEF5481D4D72083EFAB466D6A82682DB74B5DEF’ (expires 03/04/201013:55:55)?

[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is “Y”): n

 

Le PowerShell vous affiche maintenant le certificat résultant, contenant le ThumbPrint et le nom de domaine

Thumbprint                        Services   Subject
———-                                ——–   ——-
ECEF5481D4D72083EFAB466D6A82682DB74B5DEF  …..      CN=mail.toto.fr

Afin de vérifier la création du nouveau certificat tapez : get-exchangecertificates s’aperçoit que le certificat est valide avec l’option S qui correspond au service SMTP, il faut donc le changer pour le service IIS

Thumbprint                        Services  Subject

———-                                ——–   ——-

ECEF5481D4D72083EFAB466D6A82682DB74B5DEF  ….S      CN=mail.neoelectra.fr

 

Afin de modifier le type de service autorisé par le certificat, tapez :

 

enable-exchangecertificate -thumbprint ECEF5481D4D72083EFAB466D6A82682DB74B5DEF -services “IIS”

 

Vérifier la modification avec la commande get-ExchangeCertificat, elle apparait avec l’option W en plus de S

 

Thumbprint                       Services   Subject

———-                                ——–   ——-

ECEF5481D4D72083EFAB466D6A82682DB74B5DEF  …WS      CN=mail.toto.fr

 

A partir des MMC Windows de votre Exchange, chargez le composant Certificats pour l’ordinateur local
Dans les certificats personnels, vous devez apercevoir votre certificat généré sous la la forme mail.toto.fr

Effectuez un clique droit sur le certificat, puis copiez-le
Collez-le dans le répertoire Certificates, de Trusted Root Certification Authorities. il apparaît maintenant dans la liste des certificats autorisés

 

Effectuez un clique droit, et exportez le simplement

 

Une fois exporter, à partir de votre PC, double cliquer sur le fichier afin de l’installer
Vous devriez maintenant accéder à votre OWA sans message concernant le certificat


Il faut maintenant transférer le certificat généré sur le IPhone, le plus simple pour moi à été de créer un compte Gmail, de le paramétrer sur le Iphone et d’envoyer en pièce jointe le certificat
Une fois envoyer, touchez la pièce jointe afin de l’installer sur le IPhone
Le certificat apparaît maintenant dans les profils (Paramètres) de votre IPhone, si il a apparaît comme non signé ou non vérifié, ce n’est pas grave
Re-paramétrer le compte Exchange de l’IPhone en suivant la procédure
http://www.businessmobile.fr/actualites/services/0,3800003789,39382450,00.htm
http://www.apple.com/fr/support/iphone/enterprise/

 

Info : Si votre URL est composé comme ceci https://mail.toto.fr/owa (ou plus compliqué) indiquez simplement dans le paramétrage IPhone : mail.toto.fr
Si le message concernant la validité du certificat apparaît une nouvelle fois, appuyez sur accepter, le message ne devrait plus réapparaitre

Ma configuration

ActiveSync et OWA activés pour l’utilisateur IPhone

 

URL OWA extérieur : HTTPS://mail.toto.fr/owa

URL OWA Intérieur : sans importance

 

URL interne ActiveSync par défaut

URL Externe ActiveSync par défaut. Le champ est vide

 

Authentification OWA :

  • Use forms-based authentication
  • Users name only : Domain toto.fr

Authentification IIS :

  • Require secure channel activé
  • Require 128 bits encryption active
  • Client certificats ingnorés