En la primer parte vimos sobre el certificado predeterminado, la problemática asociada a utilizar este certificado y líneas generales para generar uno nuevo para Exchange 2013 / 2016.
En esta parte vemos el procedimiento para las siguientes tareas:
1. Generar una nueva solicitud de certificado en Exchange 2013 / 2016
2. (Opcional) Procesar la solicitud con una entidad certificadora interna
3. Completar una solicitud de certificado pendiente
4. Habilitar servicios de Exchange asociados al certificado
1. Generar el CSR (Certificate Signing Request)
Para generar la solicitud de certificado utilizando el EAC (Exchange Admin Center) de Exchange:
1. Ingresar al EAC: “HTTPS://ServidorCAS/ECP”
2. Hacer clic en Servidores y luego Certificados
Nota: El certificado auto firmado con el que interactúan los clientes es el que se llama Microsoft Exchange. Los otros 2 se recomienda no modificarlos.
3. Hacer clic en “+” y seleccionar Crear una solicitud para un certificado desde una entidad de certificación:
4. Especificar un nombre descriptivo y hacer clic en Siguiente:
5. Si es una solicitud para certificado de tipo comodín (wildcard) activar la casilla, de lo contrario hacer clic en siguiente:
6. Hacer clic en Examinar y seleccionar el servidor donde realizar la solicitud:
7. Seleccionar los servicios en uso y definir los nombres a utilizar en el certificado. Dentro de los nombres debemos incluir los utilizados en la configuración de los directorios virtuales, servicios web en general y autodiscover:
Nota: En general conviene utilizar lo que se conoce como Split DNS de tal forma de utilizar los mismos nombres interna y externamente minimizando la cantidad a incluir en el certificado. De cualquier modo esto depende de cada escenario específico, hay varios factores que pueden afectar los nombres que se deben incluir.
8. En información de la organización completar cada uno de los campos y hacer clic en Siguiente:
9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\c$\temp\cert.req
10. Finalizar el asistente y verificar que la solicitud figure como Pedido Pendiente:
A partir de este momento estaríamos en condiciones de enviar la solicitud sea a una entidad certificadora interna o a una externa.
2. Procesar la solicitud con una entidad certificadora
En caso de procesar el certificado con una CA interna, continuar el procedimiento de lo contrario ir directamente al punto 3:
1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad certificadora: Https://CA/Certsrv
2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en advanced certificate request
3. Hacer clic en Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file…
4. Abrir con el bloc de notas el archivo con extensión REQ y copiamos todo el texto
5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y hacemos clic en Submit
6. Seleccionar Base 64 encoded y clic en Download certificate
7. Guardar el archivo .CER
3. Completar la solicitud pendiente en Exchange 2013 / 2016
Con el archivo devuelto por la entidad certificadora procedemos a completar la solicitud pendiente:
1. Ir al EAC – Servidores – Certificados. Hacer clic en completo (completar solicitud)
2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensión puede variar) utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar
4. Habilitar el certificado a nivel de servicios de Exchange 2013 / 2016
Para utilizar el nuevo certificado primero debemos habilitar servicios:
1. En el EAC – Servidores – Certificados, seleccionamos el certificado y hacemos clic en Modificar (el icono que parece un lápiz)
2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si los clientes utilizan únicamente OWA, Outlook Anywhere, MAPI/HTTPS y Activesync con seleccionar IIS es suficiente. Guardar los cambios.
Luego de esto los clientes Outlook no deberían presentar más ventanas relacionadas a certificados y si vamos por OWA y hacemos clic sobre el certificado deberíamos ver algo similar a la siguiente imagen:
En la parte 3 vamos a ver mejores prácticas asociadas al manejo de certificados en Exchange 2013 / 2016 y algunos errores comunes de configuración.
Por información sobre respaldo y restauración de certificados en Exchange ver los siguientes artículos:
- Cómo respaldar un certificado en Exchange 2013 / 2016?
- Cómo importar un certificado en Exchange 2013 / 2016?
Por más información teórica y práctica sobre configuración de Exchange y Certificados, ver el siguiente recurso para miembros VIP del sitio (videos de entrenamiento):
Hola, tengo un error en el paso 9:
‘9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\temp\cert.req’
«USE un nombre de archivo valido cuando ejecute el cmdlet New-ExchangeCertificate en el servidor (MISERVER) con el parametro -requestFile. el archivo no debe existir en la carpeta de destino. Nombre del Parametro: RequestFile»
y sigo tus mismos pasos.
que puede ser….
Hola Jose, para que funcione la ruta \\servidor\temp, la carpeta temp debería estar compartida.
Proba lo mismo que hiciste pero en lugar de usar \\servidor\temp\cert.req, usa \\servidor\C$\temp\cert.req (usando C$, como está en la imagen del artículo).
Muchas Gracias Daniel, me funcionó como dijistes.
Gracias amigo!
Hola Daniel, a mi me sucede que tengo dos Active Directory con dominios diferentes cada uno. En un dominio he configurado el Exchange y el certificado correctamente, lo clientes de ese dominio acceden sin problemas. Mi cuestión es ¿como hago para los usuario del otro dominio acepten el certificado también?
Hola Al, no me queda del todo clara la consulta.
Asumo que usuarios de uno de los dominios confian en el certificado y usuarios del otro dominio no confian en el certificado.
De ser así, habría que instalar la raiz emisora de confianza del certificado en los equipos del dominio con problemas. Esto lo podes hacer por manualmente o por ejemplo mediante GPO.
Confirmame si esto es así y vemos como avanzar.
Hola daniel tengo un exchange server 2016 integrado y un active directory, mi punto es que cuando configuro una cuenta de cliente busca el certificado por defecto que emite el servidor, no el que me dio la entidad certificadora. Como le digo al exchange que ya no entregue este certificado sino el que me enviaron?
Otro punto es que cuanto configuro el cliente en la cuenta me sale la direccion de correo del usuario no su nombre como cuando entro al owa como puedo cambiar este atributo para que aparezca el nombre del usuario sobre las carpetas de entrada y las otras y no su direccion de correo?
Hola Cesar, dependiendo del requerimiento específico que te convenga.
Tenemos varias opciones, has evaluado la posibilidad de usar un buzón compartido?
Te dejo un link a los tipos de buzones que podemos tener:
https://aprendiendoexchange.com/tipos-de-buzones-en-exchange-2013
Hola Juan Carlos, para que exchange utilice un certificado específico tenes que habilitarlo para los distintos servicios. Tenés el detalle en el punto 4 del siguiente artículo:
https://aprendiendoexchange.com/certificados-en-exchange-2013-parte-2/3
Respecto al tema de que el OWA muestre el nombre y Outlook la dirección de correo este es el comportamiento esperado a partir de Outlook 2010. No es recomendado modificar esto.
Hola Daniel Como puedo quitarles servicios a un certificado ya he buscado en la red y aparece como agregarles por Enable-ExchangeCertificate pero a pesar de esto no pierde el servicio, quisiera tener un certificado para IIS,POP,IMAP y otro para SMTP.
Porque al abrir el Outlook en una maquina del Dominio me salen 2 alertas de seguridad:
1. autodiscover.dominio.com
2. servidor.dominio.local
Esto paso cuando instale el certificado en el servidor que solo cubre mail.midominio.com otra forma seria saber de donde toma estos nombres para corregir en el exchange porque ya redirigí todos los registros del DNS a mail.midominio.com
Gracias de antemano por tu valiosa ayuda
Saludos
Hola Juan Carlos, en principio tendrías que verificar qué nombres tenés configurado en los distintos servicios en uso, luego de esto realizar los ajustes correspondientes y asignar un certificado acorde. Puntualmente para el caso de servicios web te puede resultar útil el siguiente artículo: https://aprendiendoexchange.com/outlook-el-nombre-del-certificado-de-seguridad-no-es-valido
El caso de otros protocolos no tengo un artículo específico (está en los cursos) pero los podes ajustar con los cmdlets de Set-ImapSettings, Set-PopSettings y Set-ReceiveConnector (si te fijas el detalle de estos cmdlets en el sitio de Microsoft vas a encontrar para ajustar el FQDN).
buenas tardes.
tengo un problema con esto de los certificados, realizo los pasos 1,2 y 3 sin problemas, pero el paso 4 no lo puedo hacer, pues el estado en el que dice el admin center que queda el certificado es pedido pendiente.
ya lo he intentado de mil formas y siempre me dice el mismo estado, bueno excepto en una ocasión que me lo dejo como no valido, que no se que es peor. pero siempre he realizado el proceso igual.
estoy ya muy confundido con este tema y no veo la luz
Hola Pedro, te recomiendo descargar el ebook de Guía de Certificados.
Te dejo el link:
https://aprendiendoexchange.com/ebook-guia-certificados-exchange
saludos
Hola, he seguido cada uno de tus pasos y lo he intentado de varias formas posibles, pero por mas que lo intento el certificado sube en status invalido. que podra ser?
Hola Juan Carlos, por diversos motivos te puede quedar con estado inválido.
Uno de los más comunes es que el servidor no pueda chequear las listas de revocación (el servidor requiere salida HTTP para esto).
Hola Daniel, luego de renovar el certificado con mi propia entidad certificadora (DC) observo que en muchos clientes Outlook dice «intentando conectar con el servidor…» en la barra de estado y finalmente nunca terminan de conectarse. Esto ya ocurría antes de renovar el certificado (personalmente creía que era un problema de certificado). Pero hay otros clientes Outlook que a veces tiene conexión por momentos y otras veces pierden conexión.
Por favor favor me podrías dar algunos consejos para empezar a evaluar mejor el problema? Muchas gracias.
Hola Marcelo, asumiendo que estes usando una versión soportada de Exchange (actualizada) y lo mismo del lado de Outlook, lo primero sería revisar la configuración de acceso de clientes, en particular autodiscover y el protocolo específico que usen tus clientes para conectarse al servicio.
En el siguiente enlace tenés varios artículos que pueden resultarte de utilidad:
Manual de Exchange
Hola,
Todo fenomenal, pero el certificado me aparece con estado «No valido», por qué puede ser?
Gracias
Hola Jose, el error de certificado no válido se puede presentar por múltiples motivos, en muchos casos es simplemente porque el servidor no tiene salida HTTP y no puede verificar las CRL (listas de revocación).
Buenos días Daniel, puedes indicarme en cual pagina puedo comprar el certificado y cual de las opciones que hay en el mercado es la mejor para exchange
Hola Richard, hay varias opciones recomendadas para Exchange. En general voy por Godaddy o Digicert pero hay muchos más.
Te recomiendo antes de avanzar revisar la siguiente guía:
Guía de Certificados para Exchange
Hola Daniel, ante todo muchas gracias por tu pagina, una consulta mi certificado esta por vencer y quería saber cual seria el el modo recomendado. Si renovar el certificado actual ( si es el caso cual seria el procedimiento) o hacer como un certificado nuevo.
Muchas gracias.
Hola Richard, de no haber cambios en los nombres a incluir lo más sencillo sería la renovación del certificado. Esto lo podes hacer de varias formas, la más simple desde el Exchange Admin Center, seleccionas el certificado y la opción de renovar. Esto te va a generar un archivo REQ que lo procesas con la entidad certificadora (CA) en cuestión. La CA te devuelve un archivo procesado y este lo cargas en el Exchange Admin Center (vas a encontrar una opción en el certificado que habilita a completar la solicitud). Por último habilitas el certificado para los servicios correspondientes.
Buenas Tardes,
Puedo usar un certificado por cada Servicio?
Buenas JC, es posible si, dependiendo el protocolo los cambios que tengas que hacer, en el caso web seguramente tengas que crear sitios web adicionales al predeterminado.
Hola
Buenas tardes,
Tengo una duda los certificado se asignan a servicios por lo que he leído, pero se pueden asignar un certificado a la url interna y otro a la url externa, lo comentos porque tengo un problema de mensaje de certificado. Tengo un certificado publico que tiene un único dominio y es el que utilizamos para webmail publico y tengo un certificado interno multidominio y es el que queremos utilizar. Si asigno el publico al IIS me da error de certificado en los outlooks y si asigno el interno tengo fallo en algunas maquinas, espero a verme explicado.
Gracias
un saludo
Buenas Sergio, si bien es posible la configuración de múltiples sitios web y a estos asignar distintos certificados lo más simple es usar split DNS y de esa forma usar el mismo certificado tanto externa como internamente. En el manual del sitio vas a encontrar más info sobre esto: https://aprendiendoexchange.com/aprender-exchange
Buen día Daniel, ante todo muchas gracias por tus asesorías.
Tengo un inconveniente, realice la solicitud de certificado y cambie las direcciones a la de los servicios a mail.midominio.com, autodiscover.midominio.com y realice la compra y activación de este.
el inconveniente es que el la red interna en el outlook me muestra una advertencia de certificado apuntando a server.midominio.com.
Hay alguna configuración donde yo le indique que internamente me responda por mail.midominio.com y no por el nombre del servidor?
Muchas gracias de antemano.
Buenas Richard, te dejo un artículo que te puede resultar de utilidad para resolver el tema: https://aprendiendoexchange.com/outlook-el-nombre-del-certificado-de-seguridad-no-es-valido
Muchas gracias por el post! Estaba buscando certificados en exchange en Google y me encontré con este gran post!
Ante todo, muchas gracias, acabo de realizar la instalación de Exchange 2016, le coloque su certificado de un entidad certificadora conocida, pero tongo un problema con la sincronización del correo en dispositivos móviles, acepta la configuración de la cuenta pero no descarga los correos. te agradecería mucho si me puedes guiar para solucionar este problema.
Richard, se me pasó este comentario, esto se podría deber a varios motivos, como primer paso probaría el acceso Activesync desde el Microsoft Remote Connectivity Analyzer (https://testconnectivity.microsoft.com/), esto te podría dar más información y descartar cualquier caso puntual con algún dispositivo.