De forma predeterminada al instalar el rol de Client Access de Exchange 2010 se crea un certificado auto firmado (self signed) que incluye el nombre de host y FQDN del servidor. Si bien este certificado nos puede ser útil para validar el funcionamiento general, este no es el ideal para un entorno productivo.
La recomendación es la utilización de un certificado público, es decir emitido por una entidad certificadora (CA) externa como por ejemplo Godaddy o Digicert. La ventaja principal de esto es que los clientes (incluyendo dispositivos móviles) normalmente ya confiarían en el certificado. Como alternativa se podría utilizar una CA interna, el tema acá es que si bien los equipos internos no tendrían problemas, los dispositivos móviles o equipos no unidos al dominio requerirían intervención adicional.
Independientemente del tipo de entidad certificadora, ya sea interna o externa, el proceso de instalación de un nuevo certificado en Exchange es el mismo:
-
Crear una nueva solicitud de certificado
-
Procesar la solicitud con una entidad certificadora
-
Completar la solicitud pendiente en Exchange
En este caso en particular vamos a procesar la solicitud con una CA interna instalada según se describe en una entrada anterior.
En cuanto a los nombres a utilizar en el ejemplo:
-
Webmail.contoso.com
-
Autodiscover.contoso.com
-
Autodiscover.adatum.com
Si tienen dudas sobre que nombres solicitar les recomiendo ver el siguiente artículo.
Cómo generar la solicitud de nuevo certificado en Exchange 2010?
El procedimiento de solicitud de nuevo certificado es más sencillo utilizando el asistente por lo que vamos a abrir la EMC (Exchange Management Console):
-
Dentro de la EMC seleccionar Server Configuration -> Mail01 (o el nombre del servidor con el rol de CAS que tengamos)
-
Hacemos clic en New Exchange Certificate
-
Especificamos un nombre descriptivo, ej:“Certificado Exchange”
-
Si no precisamos un certificado de tipo wildcard («*«), dejamos sin marcar la opción
-
El asistente nos va a solicitar un nombre para cada uno de los servicios diferenciando el caso interno del externo. En nuestro escenario vamos a utilizar únicamente servicios web (OWA, OA, ActiveSync, OAB, EWS, Autodiscover).
-
En la ventana de Certificate Domains marcar webmail.contoso.com como Common Name (este sería el nombre principal, el resto se incluyen en el atributo de SAN)
-
En caso de ser necesario, agregar nombres adicionales
-
Completar los datos de organización y hacer clic en Browse para guardar el archivo con la solicitud (archivo.req).
Procesar la solicitud de certificado
El próximo paso sería procesar la solicitud con una CA pública o una interna, en cualquiera de los casos se debe enviar el contenido de la solicitud (req) a la CA.
Por ejemplo, en el caso de proveedores externos es muy común que den la opción de subir el archivo o se pegue directamente el CSR (Certificate Signing Request) en un campo específico. Para obtener el CSR simplemente debemos abrir el archivo con extensión REQ y copiar el texto (seleccionar todo):
Como seria realizar este paso por power shell? lo he visto en varios foros de microsoft pero no estoy muy claro del proceso
Hola Richard, la solicitud del certificado la podrías realizar con el comando New-ExchangeCertificate:
https://technet.microsoft.com/en-us/library/dd351057(v=exchg.141).aspx
Luego de procesar la solicitud con la CA podes finalizar con el comando Import-ExchangeCertificate:
https://technet.microsoft.com/en-us/library/dd351183(v=exchg.141).aspx#shell
Revisa los artículos de technet y contame si te queda alguna duda.
saludos!