Outlook: El nombre del certificado de seguridad no es válido

Encontrarse con alertas de seguridad y errores de certificados en Exchange no es algo inusual.

En general estos errores entran dentro de alguna de las siguientes categorías:

  • Certificado firmado por el propio servidor Exchange (self signed)
  • Entidad certificadora no confiable
  • El Certificado no es válido o se encuentra expirado
  • El nombre utilizado por el cliente no coincide con ninguno de los incluídos en el certificado

Si bien el proceso de resolución puede ser complejo, vamos a seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting del error de certificado:

Flujo de resolución de problemas de alerta de seguridad en Outlook


En complemento puede resultarte muy útil ver el siguiente video publicado en la cuenta de Instagram del sitio:

Introducción

Las versiones de Outlook a partir de 2007 utilizan servicios web de Exchange para obtener información de autodiscover, disponibilidad (free / busy) y fuera de oficina (oof) entre otros. Independientemente de si el cliente es interno o externo siempre se utilizan conexiones HTTPS (dependiendo del escenario y la versión de Exchange esto podría ser en adición a lo que es RPC/TCP).

Nota: A partir de Exchange 2013 los clientes Outlook ya no usan RPC/TCP, siempre se encapsula dentro de HTTPS.

Esto no sucedía en versiones anteriores y para acceder a mucha de esta información se utilizaban carpetas de sistema (base pública) y otros servicios como Autodiscover no existían (por esta razón muchos clientes reportan el problema luego de migrar a Exchange 2007, 2010 o Exchange 2013).

El tema de utilizar HTTPS es que si no se cuenta con un certificado configurado de forma apropiada o se utiliza el predeterminado de Exchange se pueden presentar varios inconvenientes, incluyendo servicios que no funcionen u otros que si lo hagan pero presentando alertas y otras advertencias.

«El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio»

«El certificado de seguridad ha sido emitido por una compañia que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificado sea de confianza.»

«The name of the security certificate is invalid or does not match the name of the site»

«The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.»

alerta de seguridad - El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio | certificado del servidor no valido


Cómo eliminar la alerta de seguridad?

Lo primero sería analizar porqué se presenta la alerta de seguridad en Outlook (o incluso en navegadores).

Para esto vamos a utilizar el diagrama de flujo de troubleshooting de certificados. En base a este flujo vamos a ir viendo paso a paso como avanzar hasta llegar a la conclusión de lo que hay que modificar para dejar de recibir errores de certificado.

Dado el tamaño de la imagen vamos a ir segmentando por categoría,


Error de confianza

Si el tipo de error incluye información en relación a que el certificado no es confiable debemos comenzar con el siguiente flujo:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de confianza de certificado


Error de Validez

Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar el flujo de validez:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Certificado vencido | certificado del servidor no valido


Error de nombres

Si el error del certificado indica que el nombre del certificado de seguridad no es válido o alguna variación seguir el flujo de nombres:

Flujo de resolución de problemas de alerta de seguridad en Outlook | Error de nombre de certificado | certificado del servidor no valido


 Qué nombres y URLs está usando el cliente?

En los diagramas anteriores en algún punto se pide relevar la configuración de directorios virtuales y autodiscover, esto se haría idealmente desde el shell. Una alternativa desde el lado del cliente sería ver directamente la información que recibe de Autodiscover:

    1. Presionando la tecla control, hacemos clic derecho sobre el icono de Outlook (a la derecha en la barra de tareas).
    1. Seleccionamos Probar configuración automática del correo electrónico
    1. Ingresamos usuario y contraseña y dejamos seleccionado únicamente Usar Autodetección
  1. Probar Configuración

En resultados podremos ver las URLs internas y externas en uso y si hacemos clic en el tab de Registro si el proceso fue exitoso.

Detección automática Outlook 2010

Opcionalmente también podríamos ver a que servidor específico nos estamos conectando en caso de tener más de uno.

Nota: Esto aplica a Exchange 2010, a partir de Exchange de 2013 / 2016 en Estado de la conexión se muestra el GUID del buzón + SMTP.

Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos clic derecho sobre el icono de Outlook, seleccionando Estado de la conexión. En esta ventana se nos va a presentar a que servidores esta conectado el Outlook.

Ver estado de conexión presionando la tecla control y clic derecho sobre icono de outlook | certificado del servidor no valido

Estado de conexión - Connection Status | certificado del servidor no valido

Información de configuración de directorios virtuales

Para relevar la información de las URLs configuradas en los directorios virtuales de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:

Get-OWAVirtualDirectory |FL internalurl,externalurl

Get-ECPVirtualDirectory |FL internalurl,externalurl

Get-WebServicesVirtualDirectory |FL internalurl,externalurl

Get-ActiveSyncVirtualDirectory |FL internalurl,externalurl

Get-OABVirtualDirectory |FL internalurl,externalurl

Get-ClientAccessServer | FL *uri


Cómo interpretar el resultado de los diagramas?

Los diagramas tienen como objetivo el asistir en el proceso de troubleshooting de la alerta de seguridad de Outlook, el resultado obtenido no necesariamente es acorde a las mejores prácticas de Microsoft (esto dependería de la configuración específica en primera instancia).

La recomendación oficial implica utilizar certificados públicos de tipo SAN, minimizar la cantidad de nombres y no incluir el nombre del servidor en el certificado. Para esto se puede utilizar Split DNS o Pinpoint DNS.

Dicho esto, los resultados podrían derivar en las siguientes recomendaciones:

  • Distribuir llave pública de quién emitió el certificado. Si el certificado es autofirmado o interno (privado) sería necesario asegurarse que la raíz emisora este instalada en el contenedor local de certificados específicamente raíces de confianza o incluso dependiendo del escenario también intermedias
  • Incluir el nombre de servidor en el certificado. Si el entorno esta configurado con el nombre del servidor (predeterminado), el acceso es solo interno y se cuenta con una entidad certificadora instalada emitir un certificado con el nombre del servidor sería una posibilidad
  • Configurar las URL internas y externas con el mismo valor usando split DNS. Este sería el escenario ideal. Ver artículo de Split DNS para entender mejor el funcionamiento.
  • Validar nombres incluidos en el certificado o adaptar configuración. Dependiendo del caso específico podría ser necesario reconfigurar los directorios virtuales utilizando nombres ya incluidos en el certificado (en adición se debe considerar la resolución DNS).
  • Solicitar certificado público. Si el acceso al correo es interno y externo la recomendación es instalar un certificado público
  • Validar con RCA. Remote Connectivity Analyzer es un sitio de Microsoft dedicado a testear la configuración del acceso a Exchange. En el sitio se pide información necesaria para validar la conectividad.

Por más información teórica y práctica sobre configuración de acceso de clientes, dispositivos móviles y autodiscover entre otros, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):


About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. jesus says

    Hola Daniel, te escribo porque he actualizado recientemente en un cliente su Exchange 2010 a 2013 cu8. Al acceder por owa a los clientes que ya se han migrado de la B.D antigua a la nueva, se accede sin problema. El problema viene cuando trato de agregar una cuenta en Outlook 2007, que es uno de prueba. No reconoce el nombre del servidor, y por lo tanto no me deja agregar la cuenta. No se porque sucede, te escribo este comentario por si puedes echarme una mano.
    Gracias.
    Felicidades por la WEB.

    • Daniel Núñez Banega says

      Hola Jesus, a diferencia del caso de OWA, los clientes Outlook dependen del servicio de Autodiscover para obtener información de configuración de perfil y otros servicios web por ejemplo para descargar libreta de direcciones sin conexión y fuera de oficina entre otros. En definitiva, si todo esta bien configurado el Outlook tendría que configurarse de forma automática.

      Outlook internamente (en un equipo unido al dominio) intentaría obtener información de autodiscover mediante Active Directory, externamente depende de la creación de registros específicos en DNS.

      Este problema se te presenta interna o externamente?

  2. Tamara says

    Buenos días Daniel,

    Te escribo porque estoy montando un servidor exchange 2013, tengo problemas con el Outlook desde fuera y a ver si me podias orientar un poco.
    Desde dentro de la organización me funciona el autodiscover para outlook y ya tengo configurado owa para dentro y para fuera y funciona. pero el tema de outlook externamente no me esta funcionando.
    Ya no se si es debido al certificado autofirmando de exchange (todavia no he puesto uno de terceros) o el autodiscover que no resuelve. Tengo que poner un DNS externo llamado autodiscover?
    Si me pudieses echar una mano.
    Gracias.

    • Daniel Núñez Banega says

      Hola Tamara, seguramente sea una combinación de URLs externas que falten configurar en los directorios virtuales, el certificado que estas utilizando y mecanismo de autodiscover.

      A nivel de autodiscover dependiendo del escenario lo más sencillo podría ser crear un registro DNS «autodiscover» en tu zona externa e incluir este nombre dentro de un certificado emitido por una CA pública.

      Dado que estas usando el certificado autofirmado asumo que la configuración interna apunta al nombre del servidor. Este nombre no lo podrías incluir en un certificado público por lo que te recomiendo antes de avanzar revisar el siguiente artículo:
      https://aprendiendoexchange.com/split-dns-con-exchange

      saludos

  3. miguel says

    hola buenas. estoy montando en servidor 2012 un exchange 2013, lo he configurado todo. cuando pongo el usuario y contraseña y le doy a intro para entrar me salta el siguiente error: acceso denegado, no tiene permiso para abrir esta pagina, si eres un nuevo usuario o se te asignaron credenciales recientemente vuelve a intentarlo dentro de 15 minuto.
    me dijeron que el error era por el certificado de seguridad pero lo he hecho y me sigue saliendo el error si me puede ayudar por favor

    • Daniel Núñez Banega says

      Hola Miguel, en principio te diría que no es un error de certificados. Todo apuntaría a justamente un tema de permisos.

  4. Alex says

    Hola estoy migrando un exchange 2007 a 2010 par despues llevarlo a la nube el detalle que ahora estoy presentando cuando migro una cuenta a la nueva base estos clientes su outlook pide constantemente la contraseña eh modificado la autenticacion de forma NTL ai mismo Basica pero no logro hacer que esto se elimine.
    si se cancela el mensaje que solicita contraseña acceden a sus buzon y pueden enviar y recibir email
    pero si cierran y vuelven abrir el cliente de outlook sucede lo mismo solicita contraseña sin que este mensaje desaparezca.
    por favor tu ayuda

    • Daniel Núñez Banega says

      Hola Alex, aparentemente hay algun servicio específico que esta requiriendo credenciales, para ver cual es una de las posibilidades sería:

      1. Abrir Outlook (si pide credenciales cancelar el cuadro)
      2. Ir abajo a la derecha y haciendo clic derecho sobre el icono de Outlook ver el estado de la conexión (como se indica en el artículo)
      3. Ver que servicio dice conectando o no establecido o algo similar, este seguramente sea el que te esta pidiendo credenciales

      Una vez acotado el servicio revisar la configuración.

      Te paso el link a un asistente para la implementación de Exchange, en este se indica cada paso y seguramente te sirva para corroborar la configuración de autenticación:

      https://technet.microsoft.com/es-ES/exdeploy2013/Checklist?state=2419-W-AgAEAAAAQAAAAAEABAAAAAA~

  5. Irma Santiago Garcia says

    Hola buenas tardes Daniel,

    espero aun estés activo por aquí, recién estoy trabajando en una empresa pequeña. donde dejaron de utilizar Exchange, pero en la maquina del director le aparece un mensaje del certificado autodiscover.notaria18bcs.mx, marca que esta expirado. Certificado: Parallels Panel.
    Como logro eliminar, solo aparece la advertencia. como la elimino?

  6. Luis says

    buenas tardes, tengo un exchange 2013 y una entidad certificadora en Server 2016, genero la solicitud en mi servidor exchange y lo creo el certificado en mi entidad certificadora, al momento de importarlo en el exchange el estado del certificado queda como «no valido», alguna ayuda?

  7. Alejandro says

    Hola, alguno puede ayudarme?
    Compramos un SSL wildcard para nuestro dominio *.empresa.com.ar pero no logro hacer que funcione el outlook de los clientes con mi Exchange 2010 sin que aparezca este mensaje de alerta: el nombre del certificado no coincide con el nombre del sitio.
    El nombre local de nuestro servidor de correo es ibm08.empresa.com y el ssl lo tenemos en *.empresa.com.ar
    Por lo que entiendo, si fuera ibm08.empresa.local pasaria lo mismo
    ¿Corregir el autodiscover lo solucionaria?

    Mil gracias

  8. Hugo Hernandez says

    Buenas tardes, interesante tu artículo, veo que eres experto en outlook. por lo que me atrevo a solcitarte el apoyo, mi problema radica principalmente creo yo, en el certificado de seguridad, ya que al entrar al dominio y entro a outlook no presenta ningún contratiempo, tiempo después (pueden ser de 15 minutos o media hora) manda la ventana de login de outlook y no acepta la contraseña, si por algún motivo se cierra la sesión, al querer entrar se encuentra bloqueado el usuario y debo esperar unos 15 minutos al debloqueo automático, ya liberado puedo iniciar nuevamente la sesión y el outlook funciona normalmente, no he podido encontrar la solución, ojalá puedas ayudarme. Saludos

  9. Armando says

    Hola Daniel,
    Implante en mi empresa una Unidad Certificadora, para que todos los correo que se envien esten firmados, asi como los documentos importantes. Pero resulta que muchas veces los correos cuando les llega a las personas, incluyendo personas dentro del dominio, les llega con un mensaje de que no se puede mostrar el contenido y cuando intentan abrirlo les dice «No se puede abrir el elemento. Valor incorrecto para el campo estado.»
    Agradeceria tu ayuda.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *