Professional Documents
Culture Documents
http://aprendiendoexchange.com/certificados-en-exchange-2013
Con la instalacin de Exchange 2013 se genera automticamente un certificado auto
firmado (self signed) habilitado para IIS, POP, IMAP y SMTP: Microsoft Exchange.
Los errores indicados varan dependiendo del cliente, en caso de Outlook 2013 y OWA
encontraramos los siguientes:
Outlook:
El certificado de seguridad ha sido emitido por una compaia que no es de
confianza. Vea el certificado para determinar si desea que esta entidad
emisora de certificados sea de confianza
The security certificate was issued by a company you have not chosen to trust.
View the certificate to determine whether you want to trust the certifying
authority.
OWA:
There is a problem with this websites security certificate
Certificados en Exchange 2013 Cul es la recomendacin?
http://aprendiendoexchange.com/certificados-en-exchange-2013/2
Como alternativa podramos utilizar uno emitido por una CA interna y si esta se
encuentra integrada con Active Directory los clientes internos confiaran de forma
predeterminada, pero qu pasa con dispositivos que no se encuentran dentro de la
red o unidos al dominio? En el caso de estos clientes el escenario sera muy similar
a utilizar el certificado predeterminado.
A tener en cuenta que esto tambin sucede con certificados emitidos por algunas CA
pblicas, por este motivo es importante seleccionar una CA que sea lo ms
confiable posible en el sentido de que venga predeterminada en los principales
sistemas.
Nota: El certificado auto firmado con el que interactan los clientes es el que se llama
Microsoft Exchange. Los otros 2 se recomienda no modificarlos.
3. Hacer clic en + y seleccionar Crear una solicitud para un certificado desde una
entidad de certificacin:
5. Especificar un nombre descriptivo y hacer clic en Siguiente:
4. Abrir con el bloc de notas el archivo con extensin REQ y copiamos todo el texto
(este proceso se realiza en el servidor de exchange 2013)
5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request
pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y
hacemos clic en Submit
2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensin puede
variar) utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar
Certificados en Exchange 2013 Parte 2.3
http://aprendiendoexchange.com/certificados-en-exchange-2013-parte-2/3
2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si nuestros clientes
utilizan nicamente OWA, Outlook Anywhere y Activesync con seleccionar IIS es
suficiente. Guardar los cambios.
2. Utilizar certificados con atributo de SAN (Subject Alternative Names). Esto nos
permite utilizar un nombre principal en el certificado por ejemplo
webmail.contoso.com y agregar otros en el campo de SAN como por ejemplo
autodiscover.contoso.com, etc. Algunos proveedores lo comercializan como UCC
(Unified Communications Certificate)
5. Utilizar el mismo certificado en todos los servidores con el rol de CAS. Se realiza el
procedimiento de solicitud, procesamiento, etc en uno de los servidores y
posteriormente se exporta junto a su llave privada y se importa en el resto de los
servidores
1. Dejar los servicios con URLs interna by default. Esto implica que utilizan el nombre
de servidor en lugar de un nombre comn como por ejemplo
webmail.contoso.com.
The name of the security certificate is invalid or does not match the name of the
site
The security certificate was issued by a company you have not chosen to trust.
View the certificate to determine whether you want to trust the certifying
authority.
Error de confianza
Si el tipo de error incluye informacin en relacin a que el certificado no es
confiable debemos comenzar con el siguiente flujo:
Error de Validez
Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar
el flujo de validez:
Error de nombres
Si el error del certificado indica que el nombre del certificado de seguridad no es
vlido o alguna variacin seguir el flujo de nombres:
Qu nombres y URLs esta usando el cliente?
En los diagramas anteriores en algn punto se pide relevar la configuracin de
directorios virtuales y autodiscover, esto idealmente se hara desde el shell de
Exchange, de cualquier modo puede resultar de utilidad ver que informacin
recibe el cliente Outlook del servicio de Autodiscover:
4. Probar Configuracin
En resultados podremos ver las URLs internas y externas en uso y si hacemos clic
en el tab de Registro si el proceso fue exitoso.
Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos
clic derecho sobre el icono de Outlook, seleccionando Estado de la conexin. En
esta ventana se nos va a presentar a que servidores esta conectado el Outlook.
Informacin de configuracin de directorios
virtuales
Para relevar la informacin de las URLs configuradas en los directorios virtuales
de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:
Get-ClientAccessServer | FL *uri
Configurar las URL internas y externas con el mismo valor usando split DNS.
Este sera el escenario ideal. Ver artculo de Split DNS para entender mejor el
funcionamiento.
https://technet.microsoft.com/en-us/library/aa997231.aspx
http://blogs.technet.com/b/exchange/archive/2010/07/26/emc-and-certificates-
with-failed-revocation-checks-in-exchange-2010.aspx
https://technet.microsoft.com/es-
es/library/aa998327%28v=exchg.150%29.aspx
http://www.bujarra.com/como-renovar-los-certificados-autofirmados-de-
exchange-2007/