06 ENERO 2009

Generacin de certificado para Exchange 2007 de manera fcil

En los siguientes renglones explicar de una forma rpida y clara la manera ms fcil de crear un certificado no autofirmado (self-signed certificate) por Exchange 2007 y que puede ser utilizado para todos los servicios que ustedes requieran. Antes que nada (obvio) se debe de tener un sistema Exchange instalado, en este pequeo tutorial daremos por hecho que es una instalacin en un solo servidor y el cual cuenta con todos los roles instalados, incluyendo el servicio de UM. Adems se requerir que en el dominio de trabajo se tenga instalada un Autoridad Certificadora en alguno de los servidores de la red (CA), y contar con las credenciales apropiadas para acceder a ella va Web (normalmente cualquier cuenta DomainAdmin)

Paso 1.
A estas alturas se encuentra instalado Exchange y se puede accesar al correo va OWA sin ningun problema utilizando el certificado creado por Exchange 2007 durante la instalacin. Bien; lo primero que hay que hacer es ingresar a la consola de administracin de Internet Information Services (IIS) e iniciar el asistente para la generacin de un certificado nuevo. La intencin de hacerlo por medio de este asistente es la de obtener un archivo txt con la informacin requerida. Aqui solo se requiere el FQDN del servidor de exchange o del registro de DNS que utilizaremos para accesar a OWA, pero como estamos hablando de un servidor con todos los roles, es necesario utilizar el FQDN como nombre del certificado. Ya obtenido el archivo txt y guardado en un lugar seguro nos vamos al paso 2.

Paso 2.
En este paso utilizaremos el archivo txt que obtuvimos en el paso anterior y generaremos el certificado directamente en la pgina web de la CA. Para esto, en la

pantalla de RUN escribimos lo siguiente sin comillas "http://nuestroCAServer/certsrv", presionamos OK o enter y nos mostrar la pgina web de nuestra Autoridad Certificadora. Dentro de la pagina de la CA, escogemos la tarea que dice "Request a certificate". En la siguiente pgina seleccionamos la opcion "advanced certificate request". En la siguente pgina tendremos un cuadro de texto llamado "Saved request" ahi, copiaremos el contenido completo de nuestro archivo txt obtenido en el paso 1. Seleccionamos el template de "Web Server" y aqui viene el truco, en la parte de "Additional attributes" escribiremos todos los Nombres Alternativos del certificado (SAN) correspondientes a todos los servicios a los que responder el servidor de Exchange 2007, es muy importante que se incluya el FQDN del servidor como SAN ya que sin este SAN no funciona el certificado (algo raro, ya que el nombre principal del certificado es el FQDN). Pero se preguntarn cmo se deben de poner los SAN en esta casilla, bueno, no solo basta con poner los FQND, sino que hay que seguir un formato especfico. Para agregar los SAN al certificado se hace de esta forma: san:dns=miservidor.dominio.com Para agregar mltiples SAN se separan con el smbolo de ampersand (&)

san:dns=miservidor.dominio.com&dns=miservidor2.dominio.com
Ya teniendo los SAN agregados solo basta con dar click en "Submit" y en la siguiente pgina seleccionamos la opcin de descargar el certificado al disco duro. As se obtiene el archivo .cer que se utilizar en el siguiene paso.

Paso 3.

Ahora tenemos que importar el archivo .cer que descargamos al servidor de Exchange 2007 por medio de Power Shell, as que es necesario abrir una consola de Exchange Management Shell, no WindowsPower Shell. Puedes utilizar el siguiente comando para ver el certificado que actualmente tiene instlado exchange "get-exchangecertificate" -> muestra los certificados instalados. Ahora importaremos el certficado desde el archivo descargado. "import-exchangecertificate -path:c:\certnew.cer" Volvemos a aplicar el primer comando "get-exchangecertificate" pero ahora de este modo "get-exchangecertificate | fl subject,services,thumbprint" De este modo veremos la informacin ms a detalle de los certificados instalados en el servidor de Exchange. Ahora el siguiente paso es habilitar el certificado recien importado para que sea utilizado por todos los servicios que deseemos. Para ello utilizamos el siguiente comando, pero antes debemos de copiar el thumbprint del nuevo certificado, para ellos pueden dar click derecho sobre la consola y seleccionar "mark" y seleccionar solo el thumbprint y presionar enter, con esto, se copiar al clipboard de windows y podemos utilizar despues, estoy ayuda a no tener que teclear todo el thumbprint "enable-exchangecertificate thumbprint 1AD12F59637929B1E75C8A4C5243C8332FF387A9 -services IIS,IMAP,POP,SMTP,UM" Utilizar "get-exchangecertificate | fl subject,services,thumbprint" para verificar que ahora el certificado cuente con los servicios que habilitamos.

Por ltimo, es recomendable borrar el certificado auto firmado por exchange, para ello ejecutar el siguiente comando "remove-exchangecertificate thumbprint 29A523705C63F7BD5C1F642ABD2EF0996D7543FD" Listo, podemos checar con "get-exchangecertificate | fl subject,services,thumbprint" para verificar que solo se encuentre un solo certificado instalado. Solo lo que resta es reiniciar el servidor de Exchange y listo, podremos verificar en OWA cual es el certificado que se est utilizando con solo entrar a la pgina de OWA.