Descarga gratis el nuevo ebook de Exchange 2013

  • Acceso a material exclusivo del sitio
  • Actualizaciones y novedades
  • Ebooks, tutoriales y mucho más!
 
 

Outlook: El nombre del certificado de seguridad no es válido

Encontrarse con alertas de seguridad y errores de certificados en Exchange no es algo inusual.

En general estos errores entran dentro de alguna de las siguientes categorías:

  • Certificado firmado por el propio servidor Exchange (self signed)
  • Entidad certificadora no confiable
  • El Certificado no es válido o se encuentra expirado
  • El nombre utilizado por el cliente no coincide con ninguno de los incluídos en el certificado

Si bien el proceso de resolución puede ser complejo, en esta entrada vamos a seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting del error de certificado:

Flujo de resolución de problemas de alerta de seguridad en Outlook


Introducción

Las versiones de Outlook a partir de 2007 utilizan servicios web de Exchange para obtener información de autodiscover, disponibilidad (free / busy) y fuera de oficina (oof) entre otros. Independientemente de si el cliente es interno o externo siempre se utilizan conexiones HTTPS (dependiendo del escenario esto sería en adición a lo que es RPC/TCP).

Nota: A partir de Exchange 2013 los clientes Outlook ya no usan RPC/TCP, siempre se encapsula dentro de HTTPS.

Esto no sucedía en versiones anteriores y para acceder a mucha de esta información se utilizaban carpetas de sistema (base pública) y otros servicios como Autodiscover no existían (por esta razón muchos clientes reportan el problema luego de migrar a Exchange 2007, 2010 o Exchange 2013).

El tema de utilizar HTTPS es que si no se cuenta con un certificado configurado de forma apropiada o se utiliza el predeterminado de Exchange se pueden presentar varios inconvenientes como por ejemplo que hayan servicios que no funcionen u otros que si lo hagan pero presentando alertas y otras advertencias.

“El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio”

“El certificado de seguridad ha sido emitido por una compañia que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificado sea de confianza.”

“The name of the security certificate is invalid or does not match the name of the site”

“The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.”

alerta de seguridad - El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio | certificado del servidor no valido


Cómo eliminar la alerta de seguridad?

Lo primero sería analizar el porque se presenta la alerta de seguridad en Outlook. Para esto vamos a utilizar el diagrama de flujo de troubleshooting de certificados.

Dado el tamaño de la imágen vamos a ir segmentando por categoría, si desean descargar el diagrama completo en formato PDF pueden hacerlo haciendo clic en descargar:

Descargar


Error de confianza

Si el tipo de error incluye información en relación a que el certificado no es confiable debemos comenzar con el siguiente flujo:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de confianza de certificado


Error de Validez

Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar el flujo de validez:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Certificado vencido | certificado del servidor no valido


Error de nombres

Si el error del certificado indica que el nombre del certificado de seguridad no es válido o alguna variación seguir el flujo de nombres:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de nombre de certificado | certificado del servidor no valido

 


Qué nombres y URLs esta usando el cliente?

En los diagramas anteriores en algún punto se pide relevar la configuración de directorios virtuales y autodiscover, esto idealmente se haría desde el shell de Exchange, de cualquier modo puede resultar de utilidad ver que información recibe el cliente Outlook del servicio de Autodiscover:

  1. Presionando la tecla control, hacemos clic derecho sobre el icono de Outlook (a la derecha en la barra de tareas).
  2. Seleccionamos Probar configuración automática del correo electrónico
  3. Ingresamos usuario y contraseña y dejamos seleccionado únicamente Usar Autodetección
  4. Probar Configuración

En resultados podremos ver las URLs internas y externas en uso y si hacemos clic en el tab de Registro si el proceso fue exitoso.

Detección automática Outlook 2010

Opcionalmente también podríamos ver a que servidor específico nos estamos conectando en caso de tener más de uno.

Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos clic derecho sobre el icono de Outlook, seleccionando Estado de la conexión. En esta ventana se nos va a presentar a que servidores esta conectado el Outlook.

Ver estado de conexión presionando la tecla control y clic derecho sobre icono de outlook | certificado del servidor no valido

Estado de conexión - Connection Status | certificado del servidor no valido


Información de configuración de directorios virtuales

Para relevar la información de las URLs configuradas en los directorios virtuales de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:

Get-OWAVirtualDirectory |FL internalurl,externalurl

Get-ECPVirtualDirectory |FL internalurl,externalurl

Get-WebServicesVirtualDirectory |FL internalurl,externalurl

Get-ActiveSyncVirtualDirectory |FL internalurl,externalurl

Get-OABVirtualDirectory |FL internalurl,externalurl

Get-ClientAccessServer | FL *uri


Cómo interpretar el resultado de los diagramas?

Los diagramas tienen como objetivo el asistir en el proceso de troubleshooting de la alerta de seguridad de Outlook, el resultado obtenido no necesariamente es acorde a las mejores prácticas de Microsoft (esto dependería de la configuración específica en primera instancia).

La recomendación oficial implica utilizar certificados públicos de tipo SAN, minimizar la cantidad de nombres y no incluir el nombre del servidor en el certificado. Para esto pueden utilizar Split DNS o Pinpoint DNS.

Dicho esto, los resultados podrían derivar en las siguientes recomendaciones:

  • Distribuir llave pública de quién emitió el certificado. Si el certificado es autofirmado o interno (privado) sería necesario asegurarse que la raiz emisora este instalada en el contenedor local de certificados especificamente raices de confianza o incluso dependiendo del escenario también intermedias
  • Incluir el nombre de servidor en el certiticado. Si el entorno esta configurado con el nombre del servidor (predeterminado), el acceso es solo interno y se cuenta con una entidad certificadora instalada emitir un certificado con el nombre del servidor sería una posibilidad
  • Configurar las URL internas y externas con el mismo valor usando split DNS. Este sería el escenario ideal. Ver artículo de Split DNS para entender mejor el funcionamiento.
  • Validar nombres incluidos en el certificado o adaptar configuración. Dependiendo del caso específico podría ser necesario reconfigurar los directorios virtuales utilizando nombres ya incluidos en el certificado (en adición se debe considerar la resolución DNS).
  • Solicitar certificado público. Si el acceso al correo es interno y externo la recomendación es instalar un certificado público
  • Validar con RCA. Remote Connectivity Analyzer es un sitio de Microsoft dedicado a testear la configuración del acceso a Exchange. En el sitio se pide información necesaria para validar la conectividad.

Descargar diagrama!

Empezaste a usar el diagrama?

Compartir!
Share On Twitter
Share On Linkdin
Share On Pinterest

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange y Active Directory. Principales Certificaciones: Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Exchange 2000 / 2003 / 2007 / 2010 / 2013

3 Responses to Outlook: El nombre del certificado de seguridad no es válido

  1. jesus says:

    Hola Daniel, te escribo porque he actualizado recientemente en un cliente su Exchange 2010 a 2013 cu8. Al acceder por owa a los clientes que ya se han migrado de la B.D antigua a la nueva, se accede sin problema. El problema viene cuando trato de agregar una cuenta en Outlook 2007, que es uno de prueba. No reconoce el nombre del servidor, y por lo tanto no me deja agregar la cuenta. No se porque sucede, te escribo este comentario por si puedes echarme una mano.
    Gracias.
    Felicidades por la WEB.

    • Daniel Núñez Banega says:

      Hola Jesus, a diferencia del caso de OWA, los clientes Outlook dependen del servicio de Autodiscover para obtener información de configuración de perfil y otros servicios web por ejemplo para descargar libreta de direcciones sin conexión y fuera de oficina entre otros. En definitiva, si todo esta bien configurado el Outlook tendría que configurarse de forma automática.

      Outlook internamente (en un equipo unido al dominio) intentaría obtener información de autodiscover mediante Active Directory, externamente depende de la creación de registros específicos en DNS.

      Este problema se te presenta interna o externamente?

  2. Pingback: Certificados en Exchange 2013 - Parte 2 - AprendiendoExchange.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Share On Facebook
Share On Twitter
Share On Google Plus
Share On Linkdin
Share On Pinterest