Exchange INTENSIVO. 10 días de entrenamiento

  • Implementación de Exchange
  • Administración de la plataforma
  • Mantenimiento del servidor
 
 

Certificados en Exchange 2013 / 2016 – Parte 3

En esta entrada vemos mejores prácticas y errores comunes a nivel de configuración de certificados en Exchange.

Partes anteriores:

Mejores prácticas a nivel de certificados para Exchange

1. Adquirir un certificado de una entidad certificadora (CA) externa. De las recomendadas para Exchange encontramos Godaddy, Digicert y Comodo entre otras.

2. Utilizar certificados con atributo de SAN (Subject Alternative Names). Esto nos permite utilizar un nombre principal en el certificado por ejemplo webmail.contoso.com y agregar otros en el campo de SAN como por ejemplo autodiscover.contoso.com, etc. Algunos proveedores lo comercializan como UCC (Unified Communications Certificate)

3. Si dentro del asistente de solicitud de certificado se sugieren nombres internos para el certificado es porque probablemente algún servicio no este correctamente configurado, en este caso editar los nombres a incluir y verificar que servicio esta utilizando un nombre incorrecto (en general el FQDN del servidor).

4. Minimizar la cantidad de nombres a utilizar en el certificado. Para esto podemos utilizar un Split DNS. La idea acá sería que en lugar de incluir nombres internos y externos en el certificado utilicemos un espacio de nombre unificado y que dependiendo de donde se consulte a nivel de DNS si se devuelve una IP privada (interna) o una pública (externa).

5. Utilizar el mismo certificado en todos los servidores con el rol de CAS. Se realiza el procedimiento de solicitud, procesamiento, etc en uno de los servidores y posteriormente se exporta junto a su llave privada y se importa en el resto de los servidores.

Certificados en Exchange


Por último algunos errores típicos de configuración

1. Dejar los servicios con URLs interna by default. Esto implica que utilizan el nombre de servidor en lugar de un nombre común como por ejemplo webmail.contoso.com.

2. Incluir el nombre netbios y FQDN de cada servidor Exchange en el certificado. Esto no es necesario, tendríamos que incluir únicamente los nombres asociados a los distintos servicios en uso.

3. Configuración de Autodiscover. Dependiendo del mecanismo seleccionado de autodiscover si es necesario afectar los certificados en uso cuando agregamos un nuevo dominio o no. Por ejemplo si utilizamos registros SRV no es necesario modificar el certificado, pero si deseamos que usuarios de un nuevo dominio utilicen “autodiscover.nuevodominio.com”, si lo es. El tema de autodiscover es bastante extenso y daría para una entrada entera en sí mismo por lo que dejo el link a un white paper de Microsoft que si bien fue hecho para Exchange 2010 la mayoría de los conceptos aplican a Exchange 2013 / 2016.

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

4 Responses to Certificados en Exchange 2013 / 2016 – Parte 3

  1. Daniel says:

    Saludos, tengo un problema como remuevo un certificado que importe en Exchange 2013 por error, al importarlo directamente no aparece como disponible. Gracias

    • Aprendiendo Exchange says:

      Hola Daniel, en el EAC de Exchange 2013 no aparece entonces?
      De ser así lo que podrías hacer es lo siguiente:

      1. Abrir el shell de Exchange
      2. Obtener información de los certificados en uso:

      Get-ExchangeCertificate | fl

      3. Copiar el Thumbprint del certificado a eliminar (asegurarse de tomar el correcto)
      4. Eliminar el certificado:

      Remove-ExchangeCertificate -Thumbprint “Pegar valor obtenido en paso 3”

      Contame como te fue.

      saludos!

      • daniel says:

        Gracias, lo solucione eliminandolo por el iis y pude crear una nueva solicitud e instalar el certificado correcto, tengo ahorita es un problema respecto que me muestra el analizador de Microsoft evaluando outlook anywhere el mensaje dice que el
        servidor necesita cifrado”

        • Aprendiendo Exchange says:

          Hola Daniel, excelente que lo hayas resuelto. Te cuento para futuro que las tareas que tengan relación con certificados en gral se deben realizar con las herramientas de Exchange, de lo contrario se pueden generar varios temas.

          Respecto a lo de outlook anywhere, tendrías que tener en cuenta lo siguiente:
          Certificado válido (llave privada, nombres incluidos, confiable, etc)
          Configuración SSL
          Autenticación
          Autodiscover en gral

          Te dejo un link de configuración de Client Access donde se indican los comandos especificos para Outlook Anywhere en Exchange 2013:
          http://technet.microsoft.com/en-us/library/hh529912%28v=exchg.150%29.aspx

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse