Conoces los Fundamentos necesarios para trabajar con Exchange?

  • Relación con Active Directory y DNS
  • Versiones, CALs y Arquitectura
  • Implementación Híbrida
 
 

Certificados en Exchange 2013 / 2016 – Parte 2

En la primer parte vimos sobre el certificado predeterminado, la problemática asociada a utilizar este certificado y líneas generales para generar uno nuevo para Exchange 2013 / 2016.

En esta parte vemos el procedimiento para las siguientes tareas:

1. Generar una nueva solicitud de certificado en Exchange 2013 / 2016

2. (Opcional) Procesar la solicitud con una entidad certificadora interna

3. Completar una solicitud de certificado pendiente

4. Habilitar servicios de Exchange asociados al certificado

Certificados en Exchange


1. Generar el CSR (Certificate Signing Request)

Para generar la solicitud de certificado utilizando el EAC (Exchange Admin Center) de Exchange:

1. Ingresar al EAC: “HTTPS://ServidorCAS/ECP

2. Hacer clic en Servidores y luego Certificados

Certificado Microsoft Exchange

Nota: El certificado auto firmado con el que interactúan los clientes es el que se llama Microsoft Exchange. Los otros 2 se recomienda no modificarlos.

3. Hacer clic en “+” y seleccionar Crear una solicitud para un certificado desde una entidad de certificación:

Nueva solicitud de certificado para Exchange 2013

4. Especificar un nombre descriptivo y hacer clic en Siguiente:

nuevo certificado para Exchange 2013

5. Si es una solicitud para certificado de tipo comodín (wildcard) activar la casilla, de lo contrario hacer clic en siguiente:

nuevo certificado para Exchange 2013

6. Hacer clic en Examinar y seleccionar el servidor donde realizar la solicitud:

nuevo certificado para Exchange 2013

solicitud de certificado para Exchange 2013

7. Seleccionar los servicios en uso y definir los nombres a utilizar en el certificado. Dentro de los nombres debemos incluir los utilizados en la configuración de los directorios virtuales, servicios web en general y autodiscover:

solicitud de certificado para Exchange 2013 / 2016

solicitud de certificado para Exchange 2013 / 2016

Nota: En general conviene utilizar lo que se conoce como Split DNS de tal forma de utilizar los mismos nombres interna y externamente minimizando la cantidad a incluir en el certificado. De cualquier modo esto depende de cada escenario específico, hay varios factores que pueden afectar los nombres que se deben incluir.

8. En información de la organización completar cada uno de los campos y hacer clic en Siguiente:

nuevo certificado de exchange 2013 / 2016

9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\c$\temp\cert.req

Solicitud de certificado en Exchange 2013 / 2016 - Generación de CSR

10. Finalizar el asistente y verificar que la solicitud figure como Pedido Pendiente:

Solicitud pendiente de nuevo certificado para Exchange

A partir de este momento estaríamos en condiciones de enviar la solicitud sea a una entidad certificadora interna o a una externa.


2. Procesar la solicitud con una entidad certificadora

En caso de procesar el certificado con una CA interna, continuar el procedimiento de lo contrario ir directamente al punto 3:

1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad certificadora: Https://CA/Certsrv

2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en advanced certificate request

Solicitud de certificado para Exchange con una CA interna

Solicitud de certificado para Exchange con una CA interna

3. Hacer clic en Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file…

Solicitud de certificado para Exchange con una CA interna

4. Abrir con el bloc de notas el archivo con extensión REQ y copiamos todo el texto

Solicitud de certificado para Exchange con una CA interna (CSR)

5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y hacemos clic en Submit

Solicitud de certificado para Exchange con una CA interna (CSR)

6. Seleccionar Base 64 encoded y clic en Download certificate

Solicitud de certificado para Exchange con una CA interna

7. Guardar el archivo .CER

Solicitud de certificado para Exchange con una CA interna (.cer)


3. Completar la solicitud pendiente en Exchange 2013 / 2016

Con el archivo devuelto por la entidad certificadora procedemos a completar la solicitud pendiente:

1. Ir al EACServidoresCertificados. Hacer clic en completo (completar solicitud)

Completar solicitud pendiente de certificado

2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensión puede variar)  utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar

Completar solicitud pendiente de certificado


4. Habilitar el certificado a nivel de servicios de Exchange 2013 / 2016

Para utilizar el nuevo certificado primero debemos habilitar servicios:

1. En el EACServidoresCertificados, seleccionamos el certificado y hacemos clic en Modificar (el icono que parece un lápiz)

Habilitar servicios para Exchange en nuevo certificado

2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si los clientes utilizan únicamente OWA, Outlook Anywhere, MAPI/HTTPS y Activesync con seleccionar IIS es suficiente. Guardar los cambios.

Certificados en Exchange 2013 - Servicios

Luego de esto los clientes Outlook no deberían presentar más ventanas relacionadas a certificados y si vamos por OWA y hacemos clic sobre el certificado deberíamos ver algo similar a la siguiente imagen:

Certificado confiable en Exchange

En la parte 3 vamos a ver mejores prácticas asociadas al manejo de certificados en Exchange 2013 / 2016 y algunos errores comunes de configuración.

Por información sobre respaldo y restauración de certificados en Exchange ver los siguientes artículos:

Consultor IT especializado en Microsoft Exchange y Active Directory.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist

8 Responses to Certificados en Exchange 2013 / 2016 – Parte 2

  1. Jose Castillo dice:

    Hola, tengo un error en el paso 9:
    ‘9. Especificar una ruta UNC válida para guardar la solicitud. Ej: \\servidor\temp\cert.req’

    “USE un nombre de archivo valido cuando ejecute el cmdlet New-ExchangeCertificate en el servidor (MISERVER) con el parametro -requestFile. el archivo no debe existir en la carpeta de destino. Nombre del Parametro: RequestFile”

    y sigo tus mismos pasos.
    que puede ser….

    • Daniel Núñez Banega dice:

      Hola Jose, para que funcione la ruta \\servidor\temp, la carpeta temp debería estar compartida.

      Proba lo mismo que hiciste pero en lugar de usar \\servidor\temp\cert.req, usa \\servidor\C$\temp\cert.req (usando C$, como está en la imagen del artículo).

  2. Jose Castillo dice:

    Muchas Gracias Daniel, me funcionó como dijistes.
    Gracias amigo!

  3. Al Pinales dice:

    Hola Daniel, a mi me sucede que tengo dos Active Directory con dominios diferentes cada uno. En un dominio he configurado el Exchange y el certificado correctamente, lo clientes de ese dominio acceden sin problemas. Mi cuestión es ¿como hago para los usuario del otro dominio acepten el certificado también?

    • Daniel Núñez Banega dice:

      Hola Al, no me queda del todo clara la consulta.
      Asumo que usuarios de uno de los dominios confian en el certificado y usuarios del otro dominio no confian en el certificado.
      De ser así, habría que instalar la raiz emisora de confianza del certificado en los equipos del dominio con problemas. Esto lo podes hacer por manualmente o por ejemplo mediante GPO.
      Confirmame si esto es así y vemos como avanzar.

  4. JUAN CARLOS SUAREZ dice:

    Hola daniel tengo un exchange server 2016 integrado y un active directory, mi punto es que cuando configuro una cuenta de cliente busca el certificado por defecto que emite el servidor, no el que me dio la entidad certificadora. Como le digo al exchange que ya no entregue este certificado sino el que me enviaron?

    Otro punto es que cuanto configuro el cliente en la cuenta me sale la direccion de correo del usuario no su nombre como cuando entro al owa como puedo cambiar este atributo para que aparezca el nombre del usuario sobre las carpetas de entrada y las otras y no su direccion de correo?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Registrarse


Mostrar botones
Ocultar botones