Erreur de certificat de sécurité SSL non valide sur Outlook 2007 et 2010

8
Outlook 2007 2010 certificat SSL erreur securite Microsoft Exchange

Lorsque l’on installe un certificat SSL sur un serveur Microsoft Exchange 2007 ou 2010 pour offrir des possibilités de webmail et/ou de Outlook Anywhere dans son entreprise, il se peut que les clients Outlook 2007 et 2010 fassent apparaitre une alerte de sécurité indiquant que le nom de certificat n’est pas valide. Derrière cette erreur alarmante se cache un petit problème de configuration. Voici un tutoriel pour le résoudre.

Le problème

Même en ayant acheté un certificat SSL chez une entreprise sérieuse (Verisign, SSL247), l’installation de ce nouveau certificat pour Microsoft Exchange nécessite quelques lignes de commande supplémentaires pour palier à cette alerte de sécurité quui apparait une ou deux fois à chaque ouverture d’un logiciel Outlook 2007 et 2010 connecté sur le serveur Exchange en question.

  • Le nom sur le certificat de sécurité n’est pas valide ou ne correspond pas au nom de ce site.

ou

  • The name on the security certificate is invalid or does not match the name of the site.

Outlook 2007 2010 certificat SSL erreur securite Microsoft Exchange

La cause

L’explication tient du fait que le certificat SSL s’applique à une URL publique (exemple webmail.entreprise.com) alors que les clients Outlook 2007 et 2010 appellent le nom interne au domaine (exemple exchange.entreprise.local).
Les clients MAPI Outlook 2007 et 2010 utilisent le Client Access Servers for the Autodiscover service alors que les Outlook 2003 ne tirent pas profit des SCP (Service Connection Point) de Exchange 2007-2010 et ne sont donc pas concernés.

La solution

Pour que les utilisateurs n’aient plus cette alerte à chaque ouverture d’Outlook, il faut saisir ces commandes dans le Exchange Management Shell du serveur de messagerie. On suppose ici que le serveur IIS est installé sur la même machine.

Set-ClientAccessServer -Identity EXCHANGESRV -AutoDiscoverServiceInternalUri https://webmail.entreprise.com/autodiscover/autodiscover.xml
Set-WebServicesVirtualDirectory -Identity "EXCHANGESRV\EWS (Default web site)" -InternalUrl https://webmail.entreprise.com/ews/exchange.asmx
Set-OABVirtualDirectory -Identity "EXCHANGESRV\oab (Default web site)" -InternalUrl https://webmail.entreprise.com/oab
Set-UMVirtualDirectory -Identity "EXCHANGESRV\unifiedmessaging (Default web site)" -InternalUrl https://webmail.entreprise.com/unifiedmessaging/service.asmx

Remarque : Remplacer EXCHANGESRV et webmail.entreprise.com par le nom interne du serveur exchange et l’URL d’accès au webmail (la même que le certificat acheté).


Ensuite, recycler MSExchangeAutodiscoverAppPool comme ceci :

  • Dans IIS, développer le conteneur Pools d’applications
  • Clic droit sur MSExchangeAutodiscoverAppPool, Recycler
  • (il n’y a aucune notification visuelle suite à cette manipulation)

Les utilisateurs peuvent maintenant ouvrir leurs clients logiciels Outlook 2007 et 2010 sans l’alerte de sécurité.

Sources : TechNet ; MicrosoftNow ; Gonzo
Aller plus loin : Get-OutlookAnywhere