Sesiones de entrenamiento en Exchange 2013

  • Interfaces Administrativas
  • Base de datos / Buzones
  • Respaldo / Recuperación
  • Alta masiva de objetos desde el Shell
 
 

Outlook: El nombre del certificado de seguridad no es válido

Encontrarse con alertas de seguridad y errores de certificados en Exchange no es algo inusual.

En general estos errores entran dentro de alguna de las siguientes categorías:

  • Certificado firmado por el propio servidor Exchange (self signed)
  • Entidad certificadora no confiable
  • El Certificado no es válido o se encuentra expirado
  • El nombre utilizado por el cliente no coincide con ninguno de los incluídos en el certificado

Si bien el proceso de resolución puede ser complejo, en esta entrada vamos a seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting del error de certificado:

Flujo de resolución de problemas de alerta de seguridad en Outlook


Introducción

Las versiones de Outlook a partir de 2007 utilizan servicios web de Exchange para obtener información de autodiscover, disponibilidad (free / busy) y fuera de oficina (oof) entre otros. Independientemente de si el cliente es interno o externo siempre se utilizan conexiones HTTPS (dependiendo del escenario esto sería en adición a lo que es RPC/TCP).

Nota: A partir de Exchange 2013 los clientes Outlook ya no usan RPC/TCP, siempre se encapsula dentro de HTTPS.

Esto no sucedía en versiones anteriores y para acceder a mucha de esta información se utilizaban carpetas de sistema (base pública) y otros servicios como Autodiscover no existían (por esta razón muchos clientes reportan el problema luego de migrar a Exchange 2007, 2010 o Exchange 2013).

El tema de utilizar HTTPS es que si no se cuenta con un certificado configurado de forma apropiada o se utiliza el predeterminado de Exchange se pueden presentar varios inconvenientes como vemos en el curso de Exchange 2013, por ejemplo que hayan servicios que no funcionen u otros que si lo hagan pero presentando alertas y otras advertencias.

“El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio”

“El certificado de seguridad ha sido emitido por una compañia que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificado sea de confianza.”

“The name of the security certificate is invalid or does not match the name of the site”

“The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.”

alerta de seguridad - El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio | certificado del servidor no valido


Cómo eliminar la alerta de seguridad?

Lo primero sería analizar el porque se presenta la alerta de seguridad en Outlook. Para esto vamos a utilizar el diagrama de flujo de troubleshooting de certificados.

Dado el tamaño de la imágen vamos a ir segmentando por categoría, si desean descargar el diagrama completo en formato PDF pueden hacerlo haciendo clic en descargar:

Descargar


Error de confianza

Si el tipo de error incluye información en relación a que el certificado no es confiable debemos comenzar con el siguiente flujo:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de confianza de certificado


Error de Validez

Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar el flujo de validez:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Certificado vencido | certificado del servidor no valido


Error de nombres

Si el error del certificado indica que el nombre del certificado de seguridad no es válido o alguna variación seguir el flujo de nombres:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de nombre de certificado | certificado del servidor no valido

 


Qué nombres y URLs esta usando el cliente?

En los diagramas anteriores en algún punto se pide relevar la configuración de directorios virtuales y autodiscover, como vemos en el curso de Exchange 2013 idealmente esto se haría desde el shell, de cualquier modo puede resultar de utilidad ver que información recibe el cliente Outlook del servicio de Autodiscover:

  1. Presionando la tecla control, hacemos clic derecho sobre el icono de Outlook (a la derecha en la barra de tareas).
  2. Seleccionamos Probar configuración automática del correo electrónico
  3. Ingresamos usuario y contraseña y dejamos seleccionado únicamente Usar Autodetección
  4. Probar Configuración

En resultados podremos ver las URLs internas y externas en uso y si hacemos clic en el tab de Registro si el proceso fue exitoso.

Detección automática Outlook 2010

Opcionalmente también podríamos ver a que servidor específico nos estamos conectando en caso de tener más de uno.

Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos clic derecho sobre el icono de Outlook, seleccionando Estado de la conexión. En esta ventana se nos va a presentar a que servidores esta conectado el Outlook.

Ver estado de conexión presionando la tecla control y clic derecho sobre icono de outlook | certificado del servidor no valido

Estado de conexión - Connection Status | certificado del servidor no valido


Información de configuración de directorios virtuales

Para relevar la información de las URLs configuradas en los directorios virtuales de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:

Get-OWAVirtualDirectory |FL internalurl,externalurl

Get-ECPVirtualDirectory |FL internalurl,externalurl

Get-WebServicesVirtualDirectory |FL internalurl,externalurl

Get-ActiveSyncVirtualDirectory |FL internalurl,externalurl

Get-OABVirtualDirectory |FL internalurl,externalurl

Get-ClientAccessServer | FL *uri


Cómo interpretar el resultado de los diagramas?

Los diagramas tienen como objetivo el asistir en el proceso de troubleshooting de la alerta de seguridad de Outlook, el resultado obtenido no necesariamente es acorde a las mejores prácticas de Microsoft (esto dependería de la configuración específica en primera instancia).

La recomendación oficial implica utilizar certificados públicos de tipo SAN, minimizar la cantidad de nombres y no incluir el nombre del servidor en el certificado. Para esto pueden utilizar Split DNS o Pinpoint DNS.

Por más info sobre certificados pueden descargar el siguiente recurso:

Guía de certificados en Exchange 2013

Dicho esto, los resultados podrían derivar en las siguientes recomendaciones:

  • Distribuir llave pública de quién emitió el certificado. Si el certificado es autofirmado o interno (privado) sería necesario asegurarse que la raiz emisora este instalada en el contenedor local de certificados especificamente raices de confianza o incluso dependiendo del escenario también intermedias
  • Incluir el nombre de servidor en el certiticado. Si el entorno esta configurado con el nombre del servidor (predeterminado), el acceso es solo interno y se cuenta con una entidad certificadora instalada emitir un certificado con el nombre del servidor sería una posibilidad
  • Configurar las URL internas y externas con el mismo valor usando split DNS. Este sería el escenario ideal. Ver artículo de Split DNS para entender mejor el funcionamiento.
  • Validar nombres incluidos en el certificado o adaptar configuración. Dependiendo del caso específico podría ser necesario reconfigurar los directorios virtuales utilizando nombres ya incluidos en el certificado (en adición se debe considerar la resolución DNS).
  • Solicitar certificado público. Si el acceso al correo es interno y externo la recomendación es instalar un certificado público
  • Validar con RCA. Remote Connectivity Analyzer es un sitio de Microsoft dedicado a testear la configuración del acceso a Exchange. En el sitio se pide información necesaria para validar la conectividad.

Descargar diagrama!

 

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange y Active Directory. Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Exchange 2000 / 2003 / 2007 / 2010 / 2013

11 Responses to Outlook: El nombre del certificado de seguridad no es válido

  1. jesus says:

    Hola Daniel, te escribo porque he actualizado recientemente en un cliente su Exchange 2010 a 2013 cu8. Al acceder por owa a los clientes que ya se han migrado de la B.D antigua a la nueva, se accede sin problema. El problema viene cuando trato de agregar una cuenta en Outlook 2007, que es uno de prueba. No reconoce el nombre del servidor, y por lo tanto no me deja agregar la cuenta. No se porque sucede, te escribo este comentario por si puedes echarme una mano.
    Gracias.
    Felicidades por la WEB.

    • Daniel Núñez Banega says:

      Hola Jesus, a diferencia del caso de OWA, los clientes Outlook dependen del servicio de Autodiscover para obtener información de configuración de perfil y otros servicios web por ejemplo para descargar libreta de direcciones sin conexión y fuera de oficina entre otros. En definitiva, si todo esta bien configurado el Outlook tendría que configurarse de forma automática.

      Outlook internamente (en un equipo unido al dominio) intentaría obtener información de autodiscover mediante Active Directory, externamente depende de la creación de registros específicos en DNS.

      Este problema se te presenta interna o externamente?

  2. Pingback: Certificados en Exchange 2013 - Parte 2 - AprendiendoExchange.com

  3. Tamara says:

    Buenos días Daniel,

    Te escribo porque estoy montando un servidor exchange 2013, tengo problemas con el Outlook desde fuera y a ver si me podias orientar un poco.
    Desde dentro de la organización me funciona el autodiscover para outlook y ya tengo configurado owa para dentro y para fuera y funciona. pero el tema de outlook externamente no me esta funcionando.
    Ya no se si es debido al certificado autofirmando de exchange (todavia no he puesto uno de terceros) o el autodiscover que no resuelve. Tengo que poner un DNS externo llamado autodiscover?
    Si me pudieses echar una mano.
    Gracias.

    • Daniel Núñez Banega says:

      Hola Tamara, seguramente sea una combinación de URLs externas que falten configurar en los directorios virtuales, el certificado que estas utilizando y mecanismo de autodiscover.

      A nivel de autodiscover dependiendo del escenario lo más sencillo podría ser crear un registro DNS “autodiscover” en tu zona externa e incluir este nombre dentro de un certificado emitido por una CA pública.

      Dado que estas usando el certificado autofirmado asumo que la configuración interna apunta al nombre del servidor. Este nombre no lo podrías incluir en un certificado público por lo que te recomiendo antes de avanzar revisar el siguiente artículo:
      http://aprendiendoexchange.com/split-dns-con-exchange

      saludos

  4. miguel says:

    hola buenas. estoy montando en servidor 2012 un exchange 2013, lo he configurado todo. cuando pongo el usuario y contraseña y le doy a intro para entrar me salta el siguiente error: acceso denegado, no tiene permiso para abrir esta pagina, si eres un nuevo usuario o se te asignaron credenciales recientemente vuelve a intentarlo dentro de 15 minuto.
    me dijeron que el error era por el certificado de seguridad pero lo he hecho y me sigue saliendo el error si me puede ayudar por favor

    • Daniel Núñez Banega says:

      Hola Miguel, en principio te diría que no es un error de certificados. Todo apuntaría a justamente un tema de permisos.

  5. miguel says:

    y como le puedo dar permiso a un usuario ??

  6. Alex says:

    Hola estoy migrando un exchange 2007 a 2010 par despues llevarlo a la nube el detalle que ahora estoy presentando cuando migro una cuenta a la nueva base estos clientes su outlook pide constantemente la contraseña eh modificado la autenticacion de forma NTL ai mismo Basica pero no logro hacer que esto se elimine.
    si se cancela el mensaje que solicita contraseña acceden a sus buzon y pueden enviar y recibir email
    pero si cierran y vuelven abrir el cliente de outlook sucede lo mismo solicita contraseña sin que este mensaje desaparezca.
    por favor tu ayuda

    • Daniel Núñez Banega says:

      Hola Alex, aparentemente hay algun servicio específico que esta requiriendo credenciales, para ver cual es una de las posibilidades sería:

      1. Abrir Outlook (si pide credenciales cancelar el cuadro)
      2. Ir abajo a la derecha y haciendo clic derecho sobre el icono de Outlook ver el estado de la conexión (como se indica en el artículo)
      3. Ver que servicio dice conectando o no establecido o algo similar, este seguramente sea el que te esta pidiendo credenciales

      Una vez acotado el servicio revisar la configuración.

      Te paso el link a un asistente para la implementación de Exchange, en este se indica cada paso y seguramente te sirva para corroborar la configuración de autenticación:

      https://technet.microsoft.com/es-ES/exdeploy2013/Checklist?state=2419-W-AgAEAAAAQAAAAAEABAAAAAA~

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share On Facebook
Share On Twitter
Share On Google Plus
Share On Linkedin
Share On Pinterest