Descarga el nuevo ebook de Exchange 2013 / 2016

  • Acceso a material exclusivo del sitio
  • Actualizaciones y novedades
  • Ebooks, tutoriales y mucho más!
 
 

Certificados en Exchange 2013 / 2016

Con la instalación de Exchange 2013 / 2016 se genera automáticamente un certificado auto firmado (self signed) habilitado para IIS, POP, IMAP y SMTP:  “Microsoft Exchange”.


Por qué motivo cambiaríamos el certificado predeterminado?

El motivo principal es que los clientes no confían en el certificado y esto deriva en ventanas y carteles molestos.

Los errores indicados varían dependiendo del cliente, en caso de Outlook 2013 y OWA encontraríamos los siguientes:

Outlook:

El certificado de seguridad ha sido emitido por una compañia que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificados sea de confianza

The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.

Error de certificado en outlook

OWA:

There is a problem with this website´s security certificate

Error de certificado en OWA

Certificado inválido


Cuál es la recomendación?

En general, la recomendación es utilizar un certificado emitido por una entidad certificadora (CA) pública como Godaddy, Digicert, Comodo, etc.

Como alternativa podríamos utilizar uno emitido por una CA interna y si esta se encuentra integrada con Active Directory los clientes internos confiarían de forma predeterminada, pero qué pasa con dispositivos que no se encuentran dentro de la red o unidos al dominio?  En el caso de estos clientes el escenario sería muy similar a utilizar el certificado predeterminado.

Un ejemplo típico es el de los dispositivos móviles con ActiveSync, estos equipos no confiarían de forma predeterminada en el certificado emitido por nuestra CA y la realidad es que dependiendo del sistema operativo esto puede ser un simple clic para el usuario o podría requerir esfuerzo administrativo.

A tener en cuenta que esto también sucede con certificados emitidos por algunas CA públicas, por este motivo es importante seleccionar una CA que sea lo más “confiable” posible en el sentido de que venga predeterminada en los principales sistemas.

Pasos a seguir para generar un nuevo certificado para Exchange 2013 / 2016

Independientemente de la opción seleccionada el procedimiento es muy similar en todos los casos:

En la parte 2 vemos en detalle el procedimiento a seguir para cada uno de los casos y por último en la parte 3 mejores prácticas y errores típicos a nivel de configuración de certificados.

Por información sobre respaldo y restauración de certificados en Exchange 2013 / 2016 ver los siguientes artículos:

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

8 Responses to Certificados en Exchange 2013 / 2016

  1. Marco says:

    Hola Daniel, si yo creo una entidad emisora de certificados interna, puedo tener problemas para conectarme via outlook fuera de mi dominio, yo genere mi propio certificado, y tengo problemas con los equipos que estan fuera del dominio para que se conecten a outlook 2013, es un exchange 2013.

    Gracias.

    • Daniel Núñez Banega says:

      Hola Marco, asumiendo que la CA interna sea de tipo Enterprise los equipos unidos al dominio van a confiar en los certificados emitidos por la CA, pero no así en el caso de equipos externos. En este ultimo caso lo que habría que hacer es importar la llave pública de la CA en el contenedor de raíces emisoras de confianza en cada equipo, esto mismo aplicaría al caso de dispositivos móviles que se conectan por Activesync (aunque la mayoría hoy por hoy te permitirían conectar dando la advertencia y aceptando la instalación del certificado de la CA).

      Independientemente de todo esto tendrías que tener configurados los registros en DNS y los directorios virtuales de Exchange con las URLs que correspondan. Contame si te queda alguna duda.

      saludos

  2. Marco says:

    Hola Daniel, Garcias por tu ayuda, después de analizar lo que me comentaste, realice la exportación de la clave privada de la CA que emitió mi certificado, esto no me funciono así que revise que tenían de diferente los repositorios de certificados de los equipos dentro del dominio, y allí estaban los certificados de la entidad emisora es decir mi CA privada en las pestana de “Entidades de Certificación Intermedias” y pestaña “Entidades de Certificación de raíz de Confianza” así que los exporte de ese equipo y los importe al equipo fuera del dominio y así funciono, y cuando se configura la cuenta para el Outlook 2013, se crea la clave privada en la pestaña “Personal”, gracias a tu ayuda lo resolvi.

    Marco

    • Daniel Núñez Banega says:

      Hola Marco, me alegra que te haya sido de utilidad.

      Un comentario a tener en cuenta, siempre que exportamos la llave de la CA (independientemente del tipo) es la parte pública (que no genere confusión el hecho de que la CA sea privada o interna).

      saludos!
      daniel

  3. Andrés Gabriel says:

    Hola Daniel! Antes que nada te felicito por todo el trabajo que haces, créeme que me parece genial!
    Actualmente se me presenta el siguiente problema con mi Exchange 2010, tengo dos certificados, el local (dominiolocal.local) y el externo (el externo lo tengo con COMODO: mail.dominio.com), hasta el 31 de octubre me funcionaba perfecto, luego de esa fecha me notificaron los de soporte de COMODO que ya no podia colocar mi nombre de dominio local en el certificado (yo colocaba el nombre del dominio local en el certificado de entidad externa de COMODO), me sugirieron reemplazarlo sin aquel nombre local, lo realicé sin problemas generando un nuevo CSR y siguiendo los pasos del proveedor.
    Ahora a lo que ingreso a mi microsoft outlook me aparece el mensaje: Alerta de Seguridad: dominiolocal.local (El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio, desea continuar?) , esto me sale en todos los equipos de los usuarios, solo aparece una vez, de ahi recibo y envio mails sin problemas.
    Adicional a esto cuando intento entrar por via owa por nombre de dominio local y externo obtengo lo sgte:
    https://dominiolocal.local/owa (me aparece el mensaje de alerta de seguridad de certificado)
    https://mail.dominio.com/owa (entra sin problemas al https).

    Cual puede ser el problema?

    Un abrazo.
    AIV.

  4. Roy Camacho Arroyo says:

    Hola Daniel,

    tengo Exchange server 2013 y se venció el certificado, ya se creo uno nuevo que vence en el 2021, sin embargo, he estado instalándolo manualmente ya que no he logrado enviarlo a través de una directiva de grupo. La pregunta es: puedo hacer algo para enviar este certificado a los clientes del dominio en el que estoy trabajando y así no tener que instalarlo uno por uno? De hecho no sé exactamente donde está ubicado este certificado, solo sé que si abro el Outlook en alguno de los clientes lo puedo instalar, luego ingreso al certmgr.msc y lo exporto para tratar de enviarlo como una directiva de grupo, pero al momento no lo logro.

    Gracias por tu ayuda.

    • Daniel Núñez Banega says:

      Hola Roy, en principio depende del tipo de certificado, asumo que no es uno público por lo que podría ser auto firmado o emitido por una CA interna. Si la CA es Enterprise los clientes unidos al dominio al actualizar la política confiarían de forma predeterminada, si es una CA no integrada con AD o un cert auto firmado tendrías que tomar la llave pública de la CA (o del cert si es auto firmado) y distribuirlo mediante una GPO para que se instale en el contenedor de Trusted Root Certification Authorities (raíces emisoras de confianza) de los equipos. La alternativa manual implicaría contar con esta llave pública, abrir la mmc en el cliente, agregar la consola de certificados (local computer), expandir la sección de raíces de confianza e importar el certificado. Este procedimiento manual también aplicaría a clientes no unidos al dominio.

      saludos

Responder a Daniel Núñez Banega Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse