Mise en place de Certificat Client sur terminaux ActiveSync dans un environnement Exchange 2010 SP1

Que ce soit avec Windows Phone 7, Windows Mobile, iPhone ou Android, il est conseillé de sécuriser vos synchronisations ActiveSync surtout dans un contexte où la tendance est que de plus en plus de terminaux mobiles de tous types essaieront de se connecter à votre environnement de messagerie.

Une manière de sécuriser ces communications est d’utiliser un certificat client propre à chaque utilisateur se synchronisant, afin d’authentifier de façon unique cet utilisateur et lui permettre l’accès à sa boîte aux lettres. Cette méthode est connue sous le nom de Certificate Based Authentication

 

 

Exemple de squelette d’infrastructure

 

- Terminaux mobiles avec ActiveSync intégré

- 2 forêts sous Windows 2008 R2, une de comptes (AD) et une de ressources (Exchange), plus complexe à mettre en œuvre que dans une forêt unique mais plus complet aussi.

- 2 serveurs Exchange 2010 SP1 RUx, CAS et Mailbox sous Windows 2008 R2 ou SP2
Cela devrait aussi fonctionner si les boîtes aux lettres des utilisateurs ActiveSync sont sur Exchange 2003 ou Exchange 2007, pourvu que les CAS soient en Exchange 2010, mais je n’ai pas testé.

 

Voici les principales étapes à suivre, cela peut paraître fastidieux mais vous êtes guidé pas à pas :

 

1. Génération des certificats pour les serveurs Exchange 2010 à partir de sa propre PKI

https://unifiedit.wordpress.com/2009/12/03/exchange-2010-et-la-gestion-des-certificats/

 Il est recommandé que la PKI soit configurée pour générer des certificats avec un algorithme de signature avec du SHA1. En effet il semble dans la pratique qu'il puisse y avoir des soucis avec les terminaux Windows Mobile et des certificats serveur avec un algorithme de signature avec du SHA512.

 

 2. Configuration de CBA pour Exchange 2010

https://blogs.technet.com/b/exchange/archive/2012/11/28/configure-certificate-based-authentication-for-exchange-activesync.aspx

 

3. Mise en en œuvre de la réplication des certificats inter forêt

Cross-forest Certificate Enrollment with Windows Server 2008 R2

https://technet.microsoft.com/en-us/library/ff955842(v=ws.10).aspx

Au niveau de l’AD dans le domaine de compte, pour chaque utilisateur autorisé à synchroniser avec ses terminaux mobiles, il faut ajouter son certificat client associé dans l’onglet Certficats X.509 sur clic droit à Mappage de Noms

 

 4. Installation des certificats sur les terminaux mobiles

La partie la plus facile.
Pour un Windows Phone 7, il n’y a pas pour le moment de possibilité de gérer les certificats. Cependant ils sont gérés.
Le plus simple est d’envoyer un email avec les certificats (racine, serveur et client) en pièces jointes et d’ouvrir ces certificats pour les installer.

 

Quel que soit le terminal mobile utilisé pour ActiveSync, l’implémentation des certificats dépend non pas de Microsoft mais de l’OS du terminal.
Pour avoir une référence, utilisez un terminal Windows Mobile ou Windows Phone ou l’émulateur WM https://blogs.technet.com/b/exchange/archive/2007/09/17/3403937.aspx

 

5. Tests

Une fois les étapes précédentes effectuées, les tests de synchronisation peuvent commencer.

 

Pensez à regarder les enregistrements Microsoft-Server-ActiveSync des fichiers de logs IIS sur le CAS. Si vous voyez des erreurs 403 xx, il y a de fortes chances que cela concerne les certificats. Cf. https://support.microsoft.com/kb/943891/en-us

2011-04-19 15:08:44 10.168.4.216 OPTIONS /Microsoft-Server-ActiveSync/default.eas - 443 - 80.172.220.173 Apple-iPhone2C1/802.117 403 13 2148081683 1499

Un symptôme typique de mauvaise configuration est lorsqu’il vous est demandé de vous authentifier en boucle sur votre terminal mobile.

Si vous rencontrez des problèmes côté certificat, pensez à regarder le fichier d’évènement CAPI2 qui est très bavard et vous sera bien utile.
Et si vous ne vous en sortez pas, vous pouvez toujours ouvrir un incident au Support J