De forma predeterminada al instalar el rol de Client Access de Exchange se genera un certificado auto firmado con el nombre de host y fqdn del servidor.
Los clientes no confían en este certificado debido a que no tienen cargada la raíz de confianza asociada, por lo que presentan dificultades para conectarse incluyendo ventanas y carteles indicando que el certificado no es válido.
En general tenemos 2 opciones:
- Adquirir un certificado público. Por ejemplo uno emitido por digicert, comodo, godaddy, etc. (esta es la recomendación)
- Emitir un certificado privado con una entidad certificadora interna (CA). En este escenario debemos tener en cuenta que de forma predeterminada los clientes externos no unidos al dominio, por ejemplo dispositivos móviles van a presentar advertencias al conectarse por no confiar en la CA interna que emitió el certificado (en este aspecto, similar al caso de utilizar el certificado auto firmado).
En esta entrada vamos a enfocarnos en la segunda opción por lo que vamos a ver cómo instalar una CA Enterprise sobre Windows Server 2008 R2.
Como instalar una CA en Windows Server 2008 R2
- Abrir el Server Manager
- En Roles hacer clic en Add Roles
- Seleccionar Active Directory Certificate Services
- Seleccionar en caso de que no este marcada la casilla de Certification Authority, adicionalmente Certification Authority Web Enrollment /* Esto nos permite utilizar una interfaz web para hacer solicitudes de certificados */
- Agregar los servicios de rol requeridos
- Seleccionar tipo Enterprise /* Enterprise no implica Windows Enterprise, sino que la CA será integrada con Active Directory. Entre otras ventajas que se integre con AD es que por ejemplo todos los clientes del dominio van a confiar en los certificados emitidos por esta CA by default */
- Seleccionar Root CA /* Hay varias formas de diseñar una estructura de PKI, en nuestro lab vamos a instalar la más simple ya que nos alcanza para el objetivo de emitir certificados para Exchange y es la más común en empresas de pequeño y mediano porte */
- Crear una nueva llave privada y continuar el asistente aceptando los valores predeterminados hasta finalizar
Finalmente verificar que los servicios asociados a la CA se encuentren iniciados y configurados en automático. De estar todo en orden, si ingresan en un navegador la URL https://servidor/certsrv tendría que aparecer el formulario de la CA como se muestra a continuación:
Por último dejo algunos links recomendados:
nestor says
Hola! tengo un servidor Exchange 2010, y estoy teniendo un problema de certificado de seguridad. Me dice que «ha caducado o ya no existe» (por lo que veo, ya no existe). Instalando una CA para emitir certificados de Exchange en WS 2008 R2, sera la solución a mi problema???
Espero su respuesta.
Muchas gracias!
Daniel Núñez Banega says
Hola Nestor, podría ser una alternativa. Te dejo un enlace con info completa sobre el tema de Certificados en Exchange:
Certificados en Exchange