5

Certificados en MS Exchange 2013

Hola a tod@s.

Después de unas buenas y merecidas vacaciones con la familia y amigos, dónde hemos podido recargar baterías y coger fuerzas para esta segunda parte del año volvemos con un nuevo post sobre los certificados en MS Exchange 2013.

En este post vamos a ver los certificados en MS Exchange 2013 para asegurar el acceso a los servicios del servidor de correos, podemos utilizar tres tipos de certificados:

  • Certificado autofirmado, al instalar Exchange 2013 se genera automáticamente un certificado autofirmado (self signed) habilitado para IIS, POP, IMAP y SMTP, este certificado incluye los nombres de host y FQDN del servidor, por ejemplo, mail01, mail01.ragasys.net. El certificado autofirmado habilita de forma predeterminada  a que los servicios de Exchange sean accedidos de forma segura, cumpliendo así la función básica, pero presenta el inconveniente de que los clientes no confían en el certificado, llegando incluso a no poder conectar.
  • Certificado interno, este certificado es emitido por una entidad certificadora (CA) interna.   Esta CA podría estar integrada con Active Directory o no y funcionar del modo “stand alone”. Para usar este tipo de certificado es necesario contar con una CA interna instalada para este propósito.
  • Certificado público o externo, este tipo de certificado es el que en general se recomienda para cualquier servicio expuesto en Internet, para obtenerlo es necesario una entidad certificadora externa como Digicert, Godaddy, entre otras. Este certificado a diferencia del autofirmado y del interno tiene un costo directo al momento de la compra y en función al tipo, cantidad de nombres y tiempo de validez tendrá un precio u otro. El certificado público es ideal ya que puede ser utilizado interna como externamente, y sería   confiable en clientes internos, externos, dispositivos móviles, etc… de forma predeterminada.
  • Una vez realizada esta introducción, vamos a acceder a nuestro Exchange 2013 y veremos que los certificados que tenemos operativos son los certificados autofirmados que nos genera automáticamente la instalación de Exchange:

ceme2013_1

ceme2013_2

  • En nuestro caso, ya que tenemos instalada y configurada una entidad certificadora interna, vamos a usar un certificado interno para asegurar el acceso a los servicios de Exchange 2013, para solicitar un nuevo certificado, independientemente del tipo de certificado a utilizar, ya sea interno o público, el procedimiento a seguir sería:
  • 1. Generar la solicitud de certificado (CSR) en Exchange.
  • 2. Procesar la solicitud con una entidad certificadora interna o externa.
  • 3. Completar la solicitud pendiente en Exchange con el archivo devuelto por la CA.
  • 4. Habilitar el certificado para que los servicios de Exchange puedan utilizarlo.
  • Vamos con el primer paso, que sería Generar la solicitud de certificado (CSR) en Exchange, para ello nos vamos a Servidores > Certificados > +, el certificado autofirmado con el que interactúan los clientes es el que se llama Microsoft Exchange, los otros dos se recomienda no modificarlos:

ceme2013_3

  • Se nos abre este asistente, donde vamos configurando lo siguiente, primero elegimos “Crear una solicitud para un certificado desde una entidad de certificación”:

ceme2013_4

  • Le asignamos un nombre descriptivo:

ceme2013_5

  • Clic en “siguiente”:

ceme2013_6

  • Hacemos clic en Examinar y seleccionamos el servidor donde realizar la solicitud:

ceme2013_7

ceme2013_8

  • Aquí nos aparecen los dominios que tenemos definidos para cada servicio, clic en siguiente:

ceme2013_9

  • Dejamos los dominios que nos interesan, clic en “siguiente”:

ceme2013_10

  • Completamos la información de la organización y hacemos clic en siguiente:

ceme2013_11

  • Especificamos una ruta UNC válida para guardar la solicitud, clic en “Finalizar”:

ceme2013_12

  • La carpeta share en el servidor mail01 la hemos compartido y le hemos asignado los permisos necesarios:

ceme2013_13

ceme2013_14

  • Verificamos que el archivo se ha creado correctamente y que la solicitud se encuentra como “Pedido pendiente”:

ceme2013_15

ceme2013_16

  • Vamos con el segundo paso, que sería Procesar la solicitud con una entidad certificadora interna, entidad que ya configuramos en un post anterior, para ello accedemos a nuestra CA interna a través de la URL https://adcs/certsrv y damos clic a “Solicitar un certificado”:

ceme2013_17

  • Clic en solicitud avanzada de certificado:

ceme2013_18

  • Clic en la segunda opción:

ceme2013_19

  • Abrimos con el bloc de notas el archivo con extensión REQ que creamos anteriormente y copiamos todo el texto:

ceme2013_20

  • En la ventana “Enviar una solicitud de certificado o una solicitud de renovación, pegamos el texto del archivo REQ en “Guardar solicitud” y seleccionamos Servidor web en “Plantilla de certificado”, clic a “Enviar”:

ceme2013_21

  • Seleccionamos la opción “Codificado en Base64” y clic en Descargar certificado:

ceme2013_22

  • Guardamos el certificado en la carpeta share que hemos compartido anteriormente:

ceme2013_23

ceme2013_24

  • Vamos con el tercer paso, que sería Completar la solicitud pendiente en Exchange con el archivo devuelto por la CA, para ello nos vamos a la consola de Exchange y sobre Servidores > Certificados seleccionamos el Pedido pendiente y damos clic a “Completo” para completar la solicitud:

ceme2013_25

  • Ingresamos la ruta UNC donde se encuentra el certificado que descargamos anteriormente de nuestra CA interna, aceptamos para finalizar:

ceme2013_26

  • Como podemos ver ya tenemos el certificado operativo, tarda un poco en pasar de No válido a Válido:

ceme2013_27

  • Vamos con el cuarto y último paso, que sería, Habilitar el certificado para que los servicios de Exchange puedan utilizarlo, para ello nos vamos a la consola de Exchange y sobre Servidores > Certificados seleccionamos el certificado que acabamos de añadir y lo editamos:

ceme2013_28

 

  • Seleccionamos los servicios que queremos utilizar y guardamos los cambios:

ceme2013_29

ceme2013_30

ceme2013_31

  • Nos muestra el siguiente mensaje de advertencia, dónde le indicamos que sobrescriba:

ceme2013_32

  • Como podemos ver, ya tenemos el certificado completamente válido y con sus servicios asociados:

ceme2013_33

  • Como hemos eliminado el certificado autofirmado (selg signed) que Exchange instala por defecto, llamado Microsoft Exchange, al acceder a la consola de configuración ecp o al acceder al OWA nos va a mostrar la página en blanco, ya que en el Administrador de IIS en Sitios > Exchange Back End >Modificar sitio > Enlaces la conexión por https al puerto 444 no va a tener asignada ningún certificado, para añadir el nuevo certificado creado a esta conexión y poder acceder a la consola ecp, OWA y que los clientes Outlook puedan conectar hacemos lo siguiente:

ceme2013_34

ceme2013_35

ceme2013_36

  • Tras realizar estas configuraciones, ya tenemos acceso a la consola ecp, OWA, etc…
  • Como podemos ver, el acceso a través del OWA con la URL https://webmail.ragasys.net (accesos externos) nos indica que tenemos un certificado de confianza y que la conexión al servidor está cifrada:

ceme2013_37

ceme2013_38

ceme2013_39

  • Como podemos ver, el acceso a través del OWA con la URL https://mail01.ragasys.net (accesos internos) nos indica que tenemos un certificado de confianza y que la conexión al servidor está cifrada:

ceme2013_40

ceme2013_41

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

5 comentarios

  1. Excelente amigo. Tengo una consulta, con exchange 2016 instalado no logre a tiempo renovar el certificado que el venia utilizando, y partir de ahi he tenido problemas con algunos buzones que cuando se autentican manda el siguiente mensaje: “El nombre de usuario o la contraseña no son correctos. Vuelve a introducirlos”. cual podra ser el problema que esta ocurriendo, te agradezco si puedes contestarme, gracias

    • Hola Robert, seguramentecte ha caducado el certifucado, tienes que renovarlo, con una entidad certificadora externa o una propia que tu te montes.
      Saludos

      • Buen día amigo, ya tenemos un nuevo certificado creado con una entidad certificadora interna, pero me sigue mostrando el mismo erros con algunas cuentas de correo, por otro lado se eliminaron cuentas de usuario y se crearon nuevas y a estos ya le funciona bien, pero esto no es una buena practica, debe existir algun problema que no permite que funcionen bien esos buzones. si puedes darme una idea amigo!

  2. estimado, nosotros tenemos un exchange 2013 compramos un certificado en godaddy, el nombre publico es “corporacion7.com” y el nombre interno es “empresa1.com”, pero dentro de los nombres del certificado no lleva el nombre interno del servidor, por lo tanto al abrir outlook me manda un mensaje de advertencia que ese servidor tiene un nombre que no tiene un certificado firmado, que puedo hacer para que el nombre local tambien tenga certificado, ya que los certificados externos no admiten nombres locales.

    • Hola Nayrobi, en la consola de administración de exchange, puedes crear alias de dominio, agrega el alias corporacion7.com
      Si sigues el post sobre como instalar y configurar exchange 2013 del blog, puedes ver como se hace
      Saludos

Responder a jramos Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.