Cómo solicitar un certificado en Exchange 2010

De forma predeterminada al instalar el rol de Client Access de Exchange 2010 se crea un certificado auto firmado (self signed) que incluye el nombre de host y FQDN del servidor. Si bien este certificado nos puede ser útil para validar el funcionamiento general, este no es el ideal para un entorno productivo.

La recomendación es la utilización de un certificado público, es decir emitido por una entidad certificadora (CA) externa como por ejemplo Godaddy o Digicert. La ventaja principal de esto es que los clientes (incluyendo dispositivos móviles) normalmente ya confiarían en el certificado. Como alternativa se podría utilizar una CA interna, el tema acá es que si bien los equipos internos no tendrían problemas, los dispositivos móviles o equipos no unidos al dominio requerirían intervención adicional.

Independientemente del tipo de entidad certificadora, ya sea interna o externa, el proceso de instalación de un nuevo certificado en Exchange es el mismo:

  1. Crear una nueva solicitud de certificado
  2. Procesar la solicitud con una entidad certificadora
  3. Completar la solicitud pendiente en Exchange

En este caso en particular vamos a procesar la solicitud con una CA interna instalada según se describe en una entrada anterior.

En cuanto a los nombres a utilizar en el ejemplo:

  • Webmail.contoso.com
  • Autodiscover.contoso.com
  • Autodiscover.adatum.com

Si tienen dudas sobre que nombres solicitar les recomiendo ver el siguiente artículo.


Cómo generar la solicitud de nuevo certificado en Exchange 2010?

El procedimiento de solicitud de nuevo certificado es más sencillo utilizando el asistente por lo que vamos a abrir la EMC (Exchange Management Console):

  1. Dentro de la EMC seleccionar Server Configuration -> Mail01 (o el nombre del servidor con el rol de CAS que tengamos)

    Asistente de creación de certificado en Exchange 2010

  2. Hacemos clic en New Exchange Certificate
  3. Especificamos un nombre descriptivo, ej:“Certificado Exchange
  4. Si no precisamos un certificado de tipo wildcard («*«), dejamos sin marcar la opción
  5. El asistente nos va a solicitar un nombre para cada uno de los servicios diferenciando el caso interno del externo. En nuestro escenario vamos a utilizar únicamente servicios web (OWA, OA, ActiveSync, OAB, EWS, Autodiscover).
  6. En la ventana de Certificate Domains marcar webmail.contoso.com como Common Name (este sería el nombre principal, el resto se incluyen en el atributo de SAN)

    Common Name en el certificado de Exchange

  7. En caso de ser necesario, agregar nombres adicionales
  8. Completar los datos de organización y hacer clic en Browse para guardar el archivo con la solicitud (archivo.req).

Procesar la solicitud de certificado

El próximo paso sería procesar la solicitud con una CA pública o una interna, en cualquiera de los casos se debe enviar el contenido de la solicitud (req) a la CA.

Por ejemplo, en el caso de proveedores externos es muy común que den la opción de subir el archivo o se pegue directamente el CSR (Certificate Signing Request) en un campo específico. Para obtener el CSR simplemente debemos abrir el archivo con extensión REQ y copiar el texto (seleccionar todo):

Nueva solicitud de certificado en Exchange 2010 - CSR

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. Richard Mendoza says

    Como seria realizar este paso por power shell? lo he visto en varios foros de microsoft pero no estoy muy claro del proceso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *