Problématique de mise en uvre des fonctionnalités dauto découverte et Certificat Communication unifiés
INTRODUCTION
La migration vers les plates formes Windows 2003 et Exchange 2007 implique un certain nombre de changement notamment en ce qui concerne certains services de base comme les règles d’absence et la nouvelle fonctionnalité d’auto découverte incluse dans le couple Exchange 2007 et Outlook 2007.
Si vous l’avez déjà vécu, vous constaterez assez vite qu’un client Outlook 2007 accédant à un serveur Exchange 2000/2003 ne réagit pas de la même façon des que sa boite aux lettres est migrée vers un serveur Exchange 2007. Une fois migré, le client Outlook 2007 utilisera des services Web intégrés aux serveurs d’Accès Client via le protocole Https.
Pour faciliter certaines opérations de configuration, Microsoft à mis en place lors de l’installation des certificats auto signés qui sous certaines conditions dispensent les administrateurs de procéder à certaines configuration. Cependant des lors que vous allez vouloir mettre en place un accès Https externe pour OWA ou pour le protocole RPCOverHttp, les choses vont se complexifier légèrement. Compte tenu du fait que vous ne pourrez pas positionner deux certificats sur le même site web, et que dans certains cas l’URL interne pour accéder à l’OWA et l’Url Externe est différente on se rend bien compte que la configuration ne va pas être tout a fait automatisable…
PRINCIPE DE FONCTIONNEMENT
Lorsque l’on installe un serveur ayant le rôle CAS l’installation d’exchange 2007 vérifie la présence d’un certificat sur le serveur en question. Si aucun certificat n’a été installé sur ce dernier alors le programme d’installation créé un certificat auto signé sur le site Web IIS. Ce certificat auto signé inclut le nom NetBIOS du serveur en question mais également le nom de domaine pleinement qualifié (FQDN) stocké dans le champ Subject Alternate Name (SAN). Cette configuration permet au client du domaine de se connecter au service d’auto découverte sans recevoir des erreurs de certificats.
Cependant puisqu’il s’agit d’un certificat auto signé le client n’est pas capable de valider ce certificat auprès d’une autorité de certification mais si le client fait partie du domaine cette condition ne remonte pas d’erreur.
Le champ « Subject Alternative Name » permet donc d’avoir plusieurs noms attachés à un seul certificat. Microsoft recommande de supprimer l’usage de ce certificat privé au profit d’un certificat privé dit de communication unifiée. Cependant comme nous le verrons par la suite, la mise place de ces certificats risques d’être relativement onéreuse si vous possédez plusieurs serveurs CAS.
La figure ci-dessous illustre le champ SAN présent dans les certificats auto signés installés par le service d’installation de Microsoft Exchange 2007