Enable-ExchangeCertificate

La cmdlet est disponible uniquement dans Exchange en local.

Utilisez l’applet de commande Enable-ExchangeCertificate pour activer un certificat existant sur le serveur Exchange pour les services Exchange tels que IIS (Internet Information Services), SMTP, POP, IMAP et messagerie unifiée (UM). Une fois que vous avez activé un certificat pour un service, vous ne pouvez pas le désactiver.

Pour afficher les certificats existants utilisés pour les services Exchange, utilisez Get-ExchangeCertificate.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Enable-ExchangeCertificate
      [-Thumbprint] <String>
      -Services <AllowedServices>
      [-Confirm]
      [-DomainController <Fqdn>]
      [-DoNotRequireSsl]
      [-Force]
      [-NetworkServiceAllowed]
      [-Server <ServerIdParameter>]
      [-WhatIf]
      [<CommonParameters>]
Enable-ExchangeCertificate
      [[-Identity] <ExchangeCertificateIdParameter>]
      -Services <AllowedServices>
      [-Confirm]
      [-DomainController <Fqdn>]
      [-DoNotRequireSsl]
      [-Force]
      [-NetworkServiceAllowed]
      [-WhatIf]
      [<CommonParameters>]

Description

L’applet de commande Enable-ExchangeCertificate active les certificats en mettant à jour les métadonnées stockées avec le certificat. Pour permettre à un certificat existant de fonctionner avec d’autres services Exchange, utilisez cette applet de commande pour spécifier les services.

Après avoir exécuté l’applet de commande Enable-ExchangeCertificate, vous devrez peut-être redémarrer iis (Internet Information Services). Dans certains scénarios, Exchange peut continuer à utiliser le certificat précédent pour chiffrer et déchiffrer le cookie utilisé pour l’authentification Outlook sur le web (anciennement Appelée Outlook Web App). Nous vous recommandons de redémarrer IIS dans des environnements qui utilisent l’équilibrage de charge des couches de niveau 4.

De nombreux facteurs sont à prendre en considération lorsque vous configurez des certificats pour les services TLS (Transport Layer Security) et SSL (Secure Sockets Layer). Vous devez avoir compris la manière dont ces facteurs peuvent affecter votre configuration globale. Pour plus d’informations, consultez Certificats numériques et chiffrement dans Exchange Server.

Le protocole SSL (Secure Sockets Layer) est remplacé par le protocole TLS (Transport Layer Security) comme protocole utilisé pour chiffrer les données envoyées entre des systèmes informatiques. Ils sont si étroitement liés que les termes « SSL » et « TLS » (sans versions) sont souvent utilisés indifféremment. En raison de cette similitude, les références à « SSL » dans les rubriques concernant Exchange, dans le Centre d'administration Exchange et dans l'Environnement de ligne de commande Exchange Management Shell recouvrent souvent les protocoles SSL et TLS. En règle générale, « SSL » fait référence au véritable protocole SSL uniquement lorsqu’une version est également fournie (par exemple, SSL 3.0). Pour plus d’informations, consultez Exchange Server bonnes pratiques en matière de configuration TLS.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

Enable-ExchangeCertificate -Thumbprint 5113ae0233a72fccb75b1d0198628675333d010e -Services POP,IMAP,SMTP,IIS

Cet exemple active un certificat pour les services POP, IMAP, SMTP et IIS.

Paramètres

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DomainController

Le paramètre DomainController spécifie le contrôleur de domaine qui est utilisé par cette cmdlet pour lire ou écrire les données dans Active Directory. Vous identifiez le contrôleur de domaine par son nom de domaine complet (FQDN). Par exemple : « dc01.contoso.com ».

Les serveurs de transport Edge ne prennent pas en charge le paramètre DomainController. Un serveur de transport Edge utilise l’instance locale des services AD LDS (Active Directory Lightweight Directory Services) pour lire et écrire des données.

Type:Fqdn
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-DoNotRequireSsl

Le commutateur DoNotRequireSsl empêche la commande d’activer le paramètre « exiger SSL » sur le site web par défaut lorsque vous activez le certificat pour IIS. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Si vous n’utilisez pas ce commutateur et que vous utilisez le paramètre Services pour activer le certificat pour IIS, la commande active le paramètre « exiger SSL » pour le site web par défaut dans IIS.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Force

Le commutateur Force masque les messages d’avertissement ou de confirmation. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Vous pouvez utiliser ce commutateur pour exécuter des tâches par programme, lorsqu’une intervention administrative est inappropriée.

Par défaut, lorsque vous activez un certificat pour SMTP, la commande vous invite à remplacer le certificat existant activé pour SMTP, qui est probablement le certificat auto-signé Exchange par défaut.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Identity

Le paramètre Identity spécifie le certificat que vous souhaitez configurer. Les valeurs valides sont les suivantes :

  • ServerNameOrFQDN\Thumbprint
  • Thumbprint

Vous pouvez rechercher la valeur d’empreinte numérique à l’aide de la cmdlet Get-ExchangeCertificate.

Vous ne pouvez pas utiliser ce paramètre avec le paramètre Server.

Le paramètre Thumbprint, et non le paramètre Identity, est le paramètre de position de cette cmdlet. Par conséquent, lorsque vous spécifiez une valeur d’empreinte de manière isolée, la commande utilise cette valeur pour le paramètre Thumbprint.

Type:ExchangeCertificateIdParameter
Position:1
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-NetworkServiceAllowed

Le commutateur NetworkServiceAllowed donne au compte de service réseau intégré l’autorisation de lire la clé privée du certificat sans activer le certificat pour SMTP. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Server

Le paramètre Server définit le serveur Exchange sur lequel vous souhaitez exécuter cette commande. Vous pouvez utiliser n’importe quelle valeur qui identifie uniquement le serveur. Par exemple :

  • Nom
  • FQDN
  • Nom unique
  • DN Exchange hérité

DN Exchange hérité

Vous ne pouvez pas utiliser ce paramètre avec le paramètre Identity, mais vous pouvez l’utiliser avec le paramètre Thumbprint.

Type:ServerIdParameter
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Services

Le paramètre Services spécifie les services Exchange pour ant ant le certificat. Les valeurs valides sont les suivantes :

  • Fédération : n’utilisez pas cette commande pour activer un certificat pour la fédération. La création ou la modification d’une approbation de fédération active ou modifie l’utilisation des certificats pour la fédération. Vous gérez les certificats utilisés pour les approbations de fédération avec les applets de commande New-FederationTrust et Set-FederationTrust.
  • IIS : par défaut, lorsque vous activez un certificat pour IIS, le paramètre « exiger SSL » est configuré sur le site web par défaut dans IIS. Pour éviter cette modification, utilisez le commutateur DoNotRequireSsl.
  • IMAP : n’activez pas de certificat générique pour le service IMAP4. Utilisez plutôt l’applet de commande Set-ImapSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service IMAP4.
  • POP : n’activez pas de certificat générique pour le service POP3. À la place, utilisez la cmdlet Set-PopSettings pour configurer le nom de domaine complet que les clients utilisent pour se connecter au service POP3.
  • SMTP : lorsque vous activez un certificat pour SMTP, vous êtes invité à remplacer le certificat auto-signé Exchange par défaut utilisé pour chiffrer le trafic SMTP entre exchange interne. En règle générale, vous n’avez pas besoin de remplacer le certificat par défaut par un certificat provenant d’une autorité de certification commerciale pour chiffrer le trafic SMTP interne. Si vous souhaitez remplacer le certificat par défaut sans l’invite de confirmation, utilisez le commutateur Forcer.
  • Messagerie unifiée : vous ne pouvez activer un certificat pour le service de messagerie unifiée que lorsque le paramètre UMStartupMode sur l’applet de commande Set-UMService est défini sur TLS ou Double. Si le paramètre UMStartupMode est défini sur la valeur par défaut TCP, vous ne pouvez pas activer le certificat pour le service de messagerie unifiée.
  • UMCallRouter : vous ne pouvez activer un certificat pour le service Routeur d’appel de messagerie unifiée que lorsque le paramètre UMStartupMode sur l’applet de commande Set-UMCallRouterService est défini sur TLS ou Double. Si le paramètre UMStartupMode est défini sur la valeur par défaut TCP, vous ne pouvez pas activer le certificat pour le service routeur d’appel de messagerie unifiée.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Les valeurs que vous spécifiez avec ce paramètre sont additives. Lorsque vous activez un certificat pour un ou plusieurs services, tous les services existants restent dans la propriété Services et vous ne pouvez pas supprimer les services existants. Au lieu de cela, configurez un autre certificat pour les services, puis supprimez le certificat que vous ne souhaitez pas utiliser.

Les différents services ont différentes exigences de certificat. Par exemple, certains services peuvent nécessiter un nom de serveur dans les champs Nom de l’objet ou Autre nom de l’objet du certificat, mais d’autres services peuvent nécessiter un nom de domaine complet. Vérifiez que le certificat prend en charge les services que vous souhaitez configurer.

Type:AllowedServices
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-Thumbprint

Le paramètre Thumbprint spécifie le certificat que vous souhaitez configurer. Vous pouvez rechercher la valeur d’empreinte numérique à l’aide de la cmdlet Get-ExchangeCertificate.

Le paramètre Thumbprint, et non le paramètre Identity, est le paramètre de position de cette cmdlet. Par conséquent, lorsque vous spécifiez une valeur d’empreinte de manière isolée, la commande utilise cette valeur pour le paramètre Thumbprint.

Type:String
Position:1
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

-WhatIf

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Server 2010, Exchange Server 2013, Exchange Server 2016, Exchange Server 2019

Entrées

Input types

Pour visualiser les types d'entrées acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type d'entrée pour une cmdlet est vide, la cmdlet n'accepte pas les données d'entrée.

Sorties

Output types

Pour visualiser les types de retours, également appelés types de sorties, acceptés par cette cmdlet, consultez la rubrique Types d'entrée et de sortie de la cmdlet d'Exchange Management Shell. Si le champ Type de sortie est vide, la cmdlet ne renvoie pas de données.