Afin d'accéder à notre serveur en toute sécurité et éviter les messages d'erreurs de certificats, il va falloir s'adresser à une autorité de certification (CA). 

Si vous souhaitez synchroniser un téléphone Windows Mobile, un IPhone ou tout autre appareil compatible ActiveSync, il est préférable de choisir une CA dont le certificat racine est déjà installé dans votre appareil mobile (essayez www.godaddy.com/france ). A défaut vous pouvez installer votre certificat, ou de préference le certificat racine de votre certificat sur le mobile (voir l'article sur Exchange et l'iPhone).

Vous aurez alors le choix entre plusieurs types de certificats, les simples, les wildcard afin de securiser tous vos sous domaines, ou encore les certificats SAN (ou UCC) qui sont valables pour plusieurs noms de domaines.

En ce qui concerne notre serveur exchange, nous nous contenterons d'utiliser un certificat simple, sachant qu'il présente un coût en général bien plus faible que les autres types de certificats, mais qui nous obligera à configurer notre serveur afin de ne pas émettre d'avertissements lors de la consultation de mails à partir du sous-réseau si votre nom de domaine interne et externe ne coincident pas.

Nous allons faire notre demande de certificat SSL avec le Gestionnaire de services internet ISS. Cliquez sur le nom de votre serveur ISS, puis cliquez sur Certificats de Serveur dans le volet du milieu. Dans le volet de droite, cliquer sur Créer une demande de certificat.

Choississez bien le nom commun de votre certificat, il doit refléter le FQDN (comprennez le Fully Qualified Domain Name) à partir duquel votre serveur sera accessible depuis internet. Dans notre exemple, notre nom commun sera mail.badministrateur.com. Si nom commun et FQDN ne coincident pas, vous aurez droit à de multiples messages d'erreurs disant que votre certificat n'est pas valide pour l'adresse spécifiée.

Quand au type de certificat, en général Microsoft RSA 1024 bits est une valeur sûre.
Enfin, envoyez le contenu du fichier de demande obtenu à votre CA qui vous renverra un fichier .crt que vous pourrez insérér dans ISS à l'aide de la commande Terminer une demande de certificat.

Il est vivement conseillé de verifier que le site Exchange (Default Web Site) est configuré pour exiger SSL, pour cela cliquez sur le site puis dans le volet du milieu double cliquez sur Parametres SSL et verifiez que les cases Exiger SSL et Exiger SSL 128 bits soient cochées.

Il faut maintenat spécifier à Exchange l'utilisation de votre nouveau certificat. Ouvrez la Exchange Management Console et adaptez la commande suivante. Dans notre exemple, notre certificat badmin.crt est stocké dans le dossier c:\certs.

Import-ExchangeCertificate -path c:\certs\badmin.crt -friendlyname "Certificat SSL Badministrateur" | enable-exchangecertificate -services "IIS,POP,IMAP"

Il va maintenant falloir configurer Exchange afin d'utiliser la même adresse pour les accès externes et internes.
Sous Exchange Management Console, tapez les commandes suivantes en pensant à remplacer les noms de serveurs et adresses par les votres:

Set-ClientAccessServer -Identity BadminExchange -AutodiscoverServiceInternalUri
https://mail.badministrateur.com/autodiscover/autodiscover.xml

Set-WebServicesVirtualDirectory -Identity
"BadminExchange\EWS (Default Web Site)" -InternalUrl
https://mail.badministrateur.com/ews/exchange.asmx

Set-OABVirtualDirectory -Identity
"BadminExchange\oab (Default Web Site)" -InternalUrl
https://mail.badministrateur.com/oab

Set-UMVirtualDirectory -Identity
"BadminExchange\unifiedmessaging (Default Web Site)" -InternalUrl
https://mail.badministrateur.com/unifiedmessaging/service.asmx

Enfin, pour valider ces changements, rendez-vous dans le Gestionnaire des services internet ISS, developpez le pool d'application de l'ordinateur local puis cliquez droit sur MSExchangeAutodiscoverAppPool et cliquez sur Recycle.

Derniere opération, il faut créer une zone de recherche DNS dans notre réseau local afin que les ordinateurs de l'intranet puissent accèder au serveur par l'adresse mail.badministrateur.com

Dans les outils d'administration, ouvrez l'outil DNS (ou executez la commande dnsmgmt.msc en ligne de commandes).

Créez une nouvelle zone de recherche directe, non integrée à Active Directory, que vous enregistrez dans un nouveau fichier. N'autorisez pas les mises à jours dynamiques.

Dans cette zone de recherche, il va falloir les deux enregistrements suivants:

- Un enregistrement de type A qui pointe vers l'adresse IP de votre serveur Exchange (laissez le nom de l'enregistrement vide, ne créez pas de pointeur associé)

- Un enregistrement de type SRV : dont le nom du service sera  _autodiscover, et le port 443, pour l'hote offrant le service mettez mail.badministrateur.com

Vous pouvez des lors tester votre configuration au sein de votre réseau local avec OWA. Pour cela il suffira de naviguer vers l'adresse suivante:

https://mail.badministrateur.com/owa

Si tout est correctement configuré, vous pouvez autoriser les clients Outlook d'un site externe à se connecter à votre serveur Exchange.