[Exchange 2003] Outlook Web Access et SSL [Résolu]

[arnaud_verlaine]

Bonjour à tous !

Voici ma question :

J'en ai marre que chaque fois qu'on se connecte sur un SBS 2003 (OWA) pour les mails à distance il nous dise qu'il y a un soucis de certificat.

Ca fonctionne mais ça me pompe. J'ai ça avec 10 SBS 2003 installés par défaut.

Donc j'ai essayé ceci : http://www.msexchange.org/tutorials/..._OWA_2003.html

à savoir :

- j'ai créé un certificat
- j'ai installé le service ce certificat du SBS via Ajout/Supp de programmes (et CD 1 de SBS 2003)
- j'ai bien été dans http://serveur/certsrv pour demander la certification etc.

Tout ça fonctionne;

Ensuite, j'ai bien été dans les services IIS, propriétés du site par défaut, j'ai mis "SSL requis" etc.

Bref, tout comme expliqué sur le lien.

Ca DEVRAIT fonctionner...

Oui sauf que ça ne fonctionne pas !

J'ai toudi le même message d'erreur...

Comment supprimer ce message ?

D'avance, Merci !

[Michaël]

salut,
en fait c'est ton navigateur qui te prévient que le certificat est non valide. il y a plusieurs causes possibles mais pour un certificat non acheté chez verisign&co, il ne sort pas d'une autorité de confiance (par défaut, on ne fait confiance à personne) donc il ne peut pas être approuvé.

il faut donc que tu distribues le certificat de ton autorité (via gpo). tu continueras d'avoir le problème pour les clients se connectant depuis un pc n'étant pas dans ton domaine (internet quoi). la seule et unique solution est d'acheter un certificat chez verisign, thawte ou d'autres (le prix annuel varie selon ce que tu veux comme garanties)

[arnaud_verlaine]

Bonjour et merci de ta réponse.

C'est bien ce qui me semblait !

Je vais donc désactiver le SSL et donc le mode HTTPS et mettre du HTTP simple. Ca devrait fonctionner. Parce que pour écrire un mail si il faut cliquer 4 fois que un message d'avertissement c'est lourd !

Bien à toi,

[Michaël]

fais bien attention quand même !
ça veut dire que les logins/mot de passe vont transiter en clair et les mails+pièces jointes également. c'est donc un gros (pour ne pas dire énorme) trou de sécurité.

je pense que la sécurité de ta messagerie vaut bien 100 à 200€ par année

[arnaud_verlaine]

je pense comme toi !

Mais pas mes clients qui ne veulent pas passer par un certificat payant.. !

N'y a-t-il pas moyen sous Internet Explorer 8 de demander de ne plus avoir de message d'erreur de ce type pour un site de confiance ? Je l'ai ajouté dans les sites de confiance mais rien à faire...

[Michaël]

il faut ajouter le certificat de ton autorité dans les autorités de confiance de chaque pc qui va aller sur ton owa

facile à faire pour les pc d'un domaine AD, impossible pour les autres postes.

pour tes clients qui refusent d'acheter un certificat : dis-leur que tu ne garantit plus la sécurité des données s'il n'y a plus de certificat juste pour leur confort.
demande-leur s'ils sont prêts à se faire voler des données ou voir leur identité usurpée : imagine j'ai ton mot de passe+login... je me connecte sur owa, j'envoie un mail pas très sympathique aux fournisseurs (grâce au carnet d'adresse) et en plus j'envoie un mail de démission à ton patron. ce sera bien toi qui a envoyé ce mail puisque le mail sera parti de ton owa vu sous cet angle, ils risquent de changer d'avis.

[arnaud_verlaine]

Voilà j'ai enfin trouvé ce que je cherchais !
Nous utilisons Firefox ici mais l'affichage n'est vraiment pas bon avec OWA à cause des ActiveX.
J'ai donc installé Firefox + le composant IE Tab et là !! Miracle ! ça passe vraiment comme sous IE sans les message d'erreur de IE !! et je garde ma sécurité SSL.

Encore merci à toi ! :-)

[Michaël]

ton owa est que pour des clients que tu connait (je pensais que cet owa était également pour un accès externe) ? juste déployer le certificat par gpo aurait été plus simple

[arnaud_verlaine]

Le Owa est pour les accès externe.

En interne on a Outlook 2003/2007.

MAIS même en déployant le certificat par GPO ce qui est fait, ça fonctionne quand on est en interne sans prob (sur le domaine) via OWA mais pas en externe.

Même si je me connecte en VPN (via le serveur VPN de SBS 2003), le serveur me donne bien une IP j'ai accès aux ressources réseau mais je ne suis pas dans le domaine et donc c'est pour cela que le certificat ne passe pas.

Au moins la soluce, c'est que avec FF, ben certificat ou pas on s'en fou, il ne nous embête pas à chaque fois avec ça ! Voili Voilou... :-)