Instalar una CA para emitir certificados a Exchange

De forma predeterminada al instalar el rol de Client Access de Exchange se genera un certificado auto firmado con el nombre de host y fqdn del servidor.

Los clientes no confían en este certificado debido a que no tienen cargada la raíz de confianza asociada, por lo que presentan dificultades para conectarse incluyendo ventanas y carteles indicando que el certificado no es válido.

En general tenemos 2 opciones:

  1. Adquirir un certificado público. Por ejemplo uno emitido por digicert, comodo, godaddy, etc. (esta es la recomendación)
  2. Emitir un certificado privado con una entidad certificadora interna (CA). En este escenario debemos tener en cuenta que de forma predeterminada los clientes externos no unidos al dominio, por ejemplo dispositivos móviles van a presentar advertencias al conectarse por no confiar en la CA interna que emitió el certificado (en este aspecto, similar al caso de utilizar el certificado auto firmado).

En esta entrada vamos a enfocarnos en la segunda opción por lo que vamos a ver cómo instalar una CA Enterprise sobre Windows Server 2008 R2.


Como instalar una CA en Windows Server 2008 R2

  1. Abrir el Server Manager
  2. En Roles hacer clic en Add Roles
  3. Seleccionar Active Directory Certificate Services
  4. Seleccionar en caso de que no este marcada la casilla de Certification Authority, adicionalmente Certification Authority Web Enrollment           /* Esto nos permite utilizar una interfaz web para hacer solicitudes de certificados */
  5. Agregar los servicios de rol requeridosEntidad certificadora, roles de servicios requeridos
  6. Seleccionar tipo Enterprise       /* Enterprise no implica Windows Enterprise, sino que la CA será integrada con Active Directory. Entre otras ventajas que se integre con AD es que por ejemplo todos los clientes del dominio van a confiar en los certificados emitidos por esta CA by default */
  7. Seleccionar Root CA       /* Hay varias formas de diseñar una estructura de PKI, en nuestro lab vamos a instalar la más simple ya que nos alcanza para el objetivo de emitir certificados para Exchange y es la más común en empresas de pequeño y mediano porte */
  8. Crear una nueva llave privada y continuar el asistente aceptando los valores predeterminados hasta finalizarInstalación de entidad certificadora en Windows Server 2008 R2

Finalmente verificar que los servicios asociados a la CA se encuentren iniciados y configurados en automático. De estar todo en orden, si ingresan en un navegador la URL https://servidor/certsrv tendría que aparecer el formulario de la CA como se muestra a continuación:

Directorio virtual CERTSRV en la CA para Exchange

Por último dejo algunos links recomendados:

About Daniel Núñez Banega

Consultor IT especializado en Microsoft Exchange, Active Directory y Microsoft 365.
Principales Certificaciones: Microsoft Certified Trainer | Microsoft Certified Solutions Expert | Microsoft Certified Systems Engineer | Microsoft Certified Systems Administrator | Microsoft Certified IT Professional | Microsoft Certified Technology Specialist | Microsoft 365 Certified: Enterprise Administrator Expert | Microsoft 365 Certified: Security Administrator Associate | Microsoft Certified: Cybersecurity Architect Expert | Comptia Pentest+ | EC-Council Certified Ethical Hacker Master

Reader Interactions

Comments

  1. nestor says

    Hola! tengo un servidor Exchange 2010, y estoy teniendo un problema de certificado de seguridad. Me dice que «ha caducado o ya no existe» (por lo que veo, ya no existe). Instalando una CA para emitir certificados de Exchange en WS 2008 R2, sera la solución a mi problema???

    Espero su respuesta.

    Muchas gracias!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *