Certificados en Exchange 2013

http://aprendiendoexchange.com/certificados-en-exchange-2013
Con la instalacin de Exchange 2013 se genera automticamente un certificado auto
firmado (self signed) habilitado para IIS, POP, IMAP y SMTP: Microsoft Exchange.

Por qu motivo cambiaramos el certificado predeterminado?

El motivo principal es que los clientes no confan en el certificado y esto deriva en
ventanas y carteles molestos.

Los errores indicados varan dependiendo del cliente, en caso de Outlook 2013 y OWA
encontraramos los siguientes:

Outlook:
El certificado de seguridad ha sido emitido por una compaia que no es de
confianza. Vea el certificado para determinar si desea que esta entidad
emisora de certificados sea de confianza
The security certificate was issued by a company you have not chosen to trust.
View the certificate to determine whether you want to trust the certifying
authority.

OWA:
There is a problem with this websites security certificate
Certificados en Exchange 2013 Cul es la recomendacin?
http://aprendiendoexchange.com/certificados-en-exchange-2013/2

En general, la recomendacin es utilizar un certificado emitido por una entidad

certificadora (CA) pblica como Godaddy, Digicert, Comodo, etc.

Como alternativa podramos utilizar uno emitido por una CA interna y si esta se
encuentra integrada con Active Directory los clientes internos confiaran de forma
predeterminada, pero qu pasa con dispositivos que no se encuentran dentro de la
red o unidos al dominio? En el caso de estos clientes el escenario sera muy similar
a utilizar el certificado predeterminado.

Un ejemplo tpico es el de los dispositivos mviles con ActiveSync, estos equipos no

confiaran de forma predeterminada en el certificado emitido por nuestra CA y la
realidad es que dependiendo del sistema operativo esto puede ser un simple clic
para el usuario o podra requerir esfuerzo administrativo.

A tener en cuenta que esto tambin sucede con certificados emitidos por algunas CA
pblicas, por este motivo es importante seleccionar una CA que sea lo ms
 confiable posible en el sentido de que venga predeterminada en los principales
sistemas.

Pasos a seguir para generar un nuevo certificado

para Exchange 2013
Independientemente de la opcin seleccionada el procedimiento es muy similar
en todos los casos:

1. Generar la solicitud de certificado (CSR) en Exchange

2. Procesar la solicitud con una entidad certificadora interna o externa

3. Completar la solicitud pendiente en Exchange con el archivo devuelto por la CA

4. Habilitar el certificado para que los servicios de Exchange puedan utilizarlo

Por informacin sobre respaldo y restauracin de certificados en Exchange 2013

ver los siguientes artculos:

Cmo respaldar un certificado en Exchange 2013?

Cmo importar un certificado en exchange-2013?

Certificados en Exchange 2013 Parte 2.1

http://aprendiendoexchange.com/certificados-en-exchange-2013-parte-2

En la primer parte vimos sobre el certificado predeterminado de clientes, la

problemtica asociada a utilizar este certificado y lneas generales para generar
un nuevo certificado para Exchange 2013.

En esta parte vamos a detallar el procedimiento para las siguientes tareas:

1. Generar una nueva solicitud de certificado en Exchange 2013

2. (Opcional) Procesar la solicitud con una entidad certificadora interna

3. Completar una solicitud de certificado pendiente

4. Habilitar servicios de Exchange asociados al certificado

1. Generar el CSR (Certificate Signing Request)
Para generar la solicitud de certificado utilizando el EAC (Exchange Admin Center) de
Exchange 2013:

1. Ingresar al EAC: HTTPS://ServidorCAS/ECP, donde ServidorCAS es el nombre del

servidor Exchange 2013 con el rol de CAS)

2. Hacer clic en Servidores y luego Certificados

Nota: El certificado auto firmado con el que interactan los clientes es el que se llama
Microsoft Exchange. Los otros 2 se recomienda no modificarlos.

3. Hacer clic en + y seleccionar Crear una solicitud para un certificado desde una
entidad de certificacin:
5. Especificar un nombre descriptivo y hacer clic en Siguiente:

6. Si es una solicitud para certificado de tipo comodn (wildcard) activar la

casilla, de lo contrario hacer clic en siguiente:
7. Hacer clic en Examinar y seleccionar el servidor donde realizar la solicitud:
8. Seleccionar los servicios en uso y definir los nombres a utilizar en el
certificado. La informacin que viene auto completada es en base a la
configuracin de las propiedades de URL interna, externa de cada uno de
los servicios web (las URLs configuradas son de vital importancia para que
todo funcione segn lo esperado):
Nota: En general conviene utilizar lo que se conoce como Split DNS de tal forma de
utilizar los mismos nombres interna y externamente minimizando la cantidad a incluir
en el certificado. De cualquier modo esto depende de cada escenario especfico, hay
varios factores que pueden afectar los nombres que se deben incluir.

8. En informacin de la organizacin completar cada uno de los campos y hacer clic

en Siguiente:

9. Especificar una ruta UNC vlida para guardar la solicitud. Ej:

\\servidor\temp\cert.req
10. Finalizar el asistente y verificar que la solicitud figure como Pedido Pendiente:

A partir de este momento estaramos en condiciones de enviar la solicitud sea a

una entidad certificadora interna o a una externa.

Certificados en Exchange 2013 Parte 2.2

http://aprendiendoexchange.com/certificados-en-exchange-2013-parte-2/2

2. Procesar la solicitud con una entidad certificadora

En caso de procesar el certificado con una CA interna, continuar el
procedimiento de lo contrario ir directamente al punto 3:

1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad

certificadora: Https://CA/Certsrv

2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en

advanced certificate request
3. Hacer clic en Submit a certificate request by using a base-64-encoded CMC or PKCS
#10 file

4. Abrir con el bloc de notas el archivo con extensin REQ y copiamos todo el texto
(este proceso se realiza en el servidor de exchange 2013)
5. En la ventana de Submit a Certificate Request, en el cuadro de Saved Request
pegamos el texto del REQ. En Certificate Template seleccionamos Web Server y
hacemos clic en Submit

6. Seleccionar Base 64 encoded y clic en Download certificate

7. Guardar el archivo .CER

3. Completar la solicitud pendiente en Exchange 2013
Con el archivo devuelto por la entidad certificadora procedemos a completar la
solicitud pendiente:

1. Ir al EAC Servidores Certificados. Hacer clic en completo (completar

solicitud)

2. En Completar pedido pendiente ingresar la ruta al archivo CER (la extensin puede
variar) utilizando el formato UNC (\\servidor\recurso). Aceptar para finalizar
Certificados en Exchange 2013 Parte 2.3
http://aprendiendoexchange.com/certificados-en-exchange-2013-parte-2/3

4. Habilitar el certificado a nivel de servicios de Exchange 2013

Para utilizar el nuevo certificado primero debemos habilitarle servicios:

1. En el EAC Servidores Certificados, seleccionamos el certificado y hacemos clic

en Modificar (el icono que parece un lpiz)

2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si nuestros clientes
utilizan nicamente OWA, Outlook Anywhere y Activesync con seleccionar IIS es
suficiente. Guardar los cambios.

Luego de esto los clientes Outlook no deberan presentar ms ventanas

relacionadas a certificados y si vamos por OWA y hacemos clic sobre el certificado
deberamos ver algo similar a la siguiente imagen:
 Certificados en Exchange 2013 Parte 3.1
http://aprendiendoexchange.com/certificados-en-exchange-2013-parte3

En esta entrada vamos a ver mejores prcticas y errores comunes a nivel de

configuracin de certificados para Exchange.

En caso de que se hayan perdido las partes anteriores:

Certificados en Exchange 2013

Certificados en Exchange 2013 Parte 2

Por informacin sobre respaldo y restauracin de certificados en Exchange 2013

ver los siguientes artculos:

Cmo respaldar un certificado en Exchange 2013?

Cmo importar un certificado en Exchange 2013?

Mejores prcticas a nivel de certificados para Exchange

1. Adquirir un certificado de una entidad certificadora (CA) externa. De las
recomendadas para Exchange encontramos Godaddy, Digicert y Comodo entre
otras.

2. Utilizar certificados con atributo de SAN (Subject Alternative Names). Esto nos
permite utilizar un nombre principal en el certificado por ejemplo
webmail.contoso.com y agregar otros en el campo de SAN como por ejemplo
autodiscover.contoso.com, etc. Algunos proveedores lo comercializan como UCC
(Unified Communications Certificate)

3. Si dentro del asistente de solicitud de certificado se sugieren nombres internos para

el certificado es porque probablemente algn servicio no este correctamente
configurado, en este caso editar los nombres a incluir y verificar que servicio esta
utilizando un nombre incorrecto (en general el FQDN del servidor).
4. Minimizar la cantidad de nombres a utilizar en el certificado. Para esto podemos
utilizar un Split DNS. La idea ac sera que en lugar de incluir nombres internos y
externos en el certificado utilicemos un espacio de nombre unificado y que
dependiendo de donde se consulte a nivel de DNS si se devuelve una IP privada
(interna) o una pblica (externa).

5. Utilizar el mismo certificado en todos los servidores con el rol de CAS. Se realiza el
procedimiento de solicitud, procesamiento, etc en uno de los servidores y
posteriormente se exporta junto a su llave privada y se importa en el resto de los
servidores

Certificados en Exchange 2013 Parte 3.2

http://aprendiendoexchange.com/certificados-en-exchange-2013-parte3/2

Por ltimo algunos errores tpicos de configuracin

1. Dejar los servicios con URLs interna by default. Esto implica que utilizan el nombre
de servidor en lugar de un nombre comn como por ejemplo
webmail.contoso.com.

2. Incluir el nombre netbios y FQDN de cada servidor Exchange en el certificado. Esto

no es necesario, tendramos que incluir nicamente los nombres asociados a los
distintos servicios en uso.

3. Configuracin de Autodiscover. Dependiendo del mecanismo seleccionado de

autodiscover si es necesario afectar los certificados en uso cuando agregamos un
nuevo dominio o no. Por ejemplo si utilizamos registros SRV no es necesario
modificar el certificado, pero si deseamos que usuarios de un nuevo dominio
utilicen autodiscover.nuevodominio.com, si lo es. El tema de autodiscover es
bastante extenso y dara para una entrada entera en s mismo por lo que les dejo
el link a un white paper de Microsoft que si bien fue hecho para Exchange 2010 la
mayora de los conceptos aplican a Exchange 2013.
 Outlook: El nombre del certificado de seguridad no es vlido

Encontrarse con alertas de seguridad y errores de certificados en Exchange no es

algo inusual.

En general estos errores entran dentro de alguna de las siguientes categoras:

Certificado firmado por el propio servidor Exchange (self signed)

Entidad certificadora no confiable

El Certificado no es vlido o se encuentra expirado

El nombre utilizado por el cliente no coincide con ninguno de los includos en el

certificado

Si bien el proceso de resolucin puede ser complejo, en esta entrada vamos a

seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting
del error de certificado:
Introduccin
Las versiones de Outlook a partir de 2007 utilizan servicios web de Exchange para
obtener informacin de autodiscover, disponibilidad (free / busy) y fuera de
oficina (oof) entre otros. Independientemente de si el cliente es interno o externo
siempre se utilizan conexiones HTTPS (dependiendo del escenario esto sera en
adicin a lo que es RPC/TCP).

Nota: A partir de Exchange 2013 los clientes Outlook ya no usan RPC/TCP,

siempre se encapsula dentro de HTTPS.
Esto no suceda en versiones anteriores y para acceder a mucha de esta
informacin se utilizaban carpetas de sistema (base pblica) y otros servicios
como Autodiscover no existan (por esta razn muchos clientes reportan el
problema luego de migrar a Exchange 2007, 2010 o Exchange 2013).

El tema de utilizar HTTPS es que si no se cuenta con un certificado configurado de

forma apropiada o se utiliza el predeterminado de Exchange se pueden presentar
varios inconvenientes como por ejemplo que hayan servicios que no funcionen u
otros que si lo hagan pero presentando alertas y otras advertencias.

El nombre del certificado de seguridad no es vlido o no coincide con el nombre

del sitio

El certificado de seguridad ha sido emitido por una compaia que no es de

confianza. Vea el certificado para determinar si desea que esta entidad emisora de
certificado sea de confianza.

The name of the security certificate is invalid or does not match the name of the
site

The security certificate was issued by a company you have not chosen to trust.
View the certificate to determine whether you want to trust the certifying
authority.

Cmo eliminar la alerta de seguridad?

Lo primero sera analizar el porque se presenta la alerta de seguridad en Outlook.
Para esto vamos a utilizar el diagrama de flujo de troubleshooting de certificados.

Dado el tamao de la imgen vamos a ir segmentando por categora, si desean

descargar el diagrama completo en formato PDF pueden hacerlo haciendo clic en
descargar:

Error de confianza
Si el tipo de error incluye informacin en relacin a que el certificado no es
confiable debemos comenzar con el siguiente flujo:
Error de Validez
Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar
el flujo de validez:

Error de nombres
Si el error del certificado indica que el nombre del certificado de seguridad no es
vlido o alguna variacin seguir el flujo de nombres:
 Qu nombres y URLs esta usando el cliente?
En los diagramas anteriores en algn punto se pide relevar la configuracin de
directorios virtuales y autodiscover, esto idealmente se hara desde el shell de
Exchange, de cualquier modo puede resultar de utilidad ver que informacin
recibe el cliente Outlook del servicio de Autodiscover:

1. Presionando la tecla control, hacemos clic derecho sobre el icono de Outlook (a la

derecha en la barra de tareas).

2. Seleccionamos Probar configuracin automtica del correo electrnico

3. Ingresamos usuario y contrasea y dejamos seleccionado nicamente Usar

Autodeteccin

4. Probar Configuracin

En resultados podremos ver las URLs internas y externas en uso y si hacemos clic
en el tab de Registro si el proceso fue exitoso.

Opcionalmente tambin podramos ver a que servidor especfico nos estamos

conectando en caso de tener ms de uno.

Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos
clic derecho sobre el icono de Outlook, seleccionando Estado de la conexin. En
esta ventana se nos va a presentar a que servidores esta conectado el Outlook.
Informacin de configuracin de directorios
virtuales
Para relevar la informacin de las URLs configuradas en los directorios virtuales
de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:

Get-OWAVirtualDirectory |FL internalurl,externalurl

Get-ECPVirtualDirectory |FL internalurl,externalurl

Get-WebServicesVirtualDirectory |FL internalurl,externalurl

Get-ActiveSyncVirtualDirectory |FL internalurl,externalurl

Get-OABVirtualDirectory |FL internalurl,externalurl

Get-ClientAccessServer | FL *uri

Cmo interpretar el resultado de los diagramas?

Los diagramas tienen como objetivo el asistir en el proceso de troubleshooting de
la alerta de seguridad de Outlook, el resultado obtenido no necesariamente es
acorde a las mejores prcticas de Microsoft (esto dependera de la configuracin
especfica en primera instancia).
 La recomendacin oficial implica utilizar certificados pblicos de tipo SAN,
minimizar la cantidad de nombres y no incluir el nombre del servidor en el
certificado. Para esto pueden utilizar Split DNS o Pinpoint DNS.

Por ms info sobre certificados pueden descargar el siguiente recurso:

Dicho esto, los resultados podran derivar en las siguientes recomendaciones:

Distribuir llave pblica de quin emiti el certificado. Si el certificado es

autofirmado o interno (privado) sera necesario asegurarse que la raiz emisora este
instalada en el contenedor local de certificados especificamente raices de confianza o
incluso dependiendo del escenario tambin intermedias

Incluir el nombre de servidor en el certiticado. Si el entorno esta configurado

con el nombre del servidor (predeterminado), el acceso es solo interno y se cuenta con
una entidad certificadora instalada emitir un certificado con el nombre del servidor sera
una posibilidad

Configurar las URL internas y externas con el mismo valor usando split DNS.
Este sera el escenario ideal. Ver artculo de Split DNS para entender mejor el
funcionamiento.

Validar nombres incluidos en el certificado o adaptar configuracin.

Dependiendo del caso especfico podra ser necesario reconfigurar los directorios
virtuales utilizando nombres ya incluidos en el certificado (en adicin se debe considerar
la resolucin DNS).

Solicitar certificado pblico. Si el acceso al correo es interno y externo la

recomendacin es instalar un certificado pblico

Validar con RCA. Remote Connectivity Analyzer es un sitio de Microsoft dedicado

a testear la configuracin del acceso a Exchange. En el sitio se pide informacin necesaria
para validar la conectividad.

Cmo importar un certificado en Exchange 2013?

En una entrada anterior vimos el procedimiento a seguir para exportar un
certificado en Exchange 2013, en este caso vamos a ver como importar el archivo
exportado.

Algunos motivos por los cuales podra necesitar importar un certificado:

Instalacin de un mismo certificado en mltiples servidores (por ejemplo,

servidores balanceados)
 Restauracin de certificado

Importar un certificado en Exchange 2013

1. Ingresar al EAC de Exchange 2013 (HTTPS://ServidorCAS/ECP, donde
ServidorCAS es el nombre del servidor Exchange 2013 con el rol de CAS)

2. Ir a Servidores > Certificados

2. Hacer clic en el icono y hacer clic en Importar certificado de Exchange

3. Especificar la ubicacin del PFX previamente exportado. Se debe utilizar ruta en

formato UNC (\\servidor\recurso\archivo.pfx)

4. Seleccionar el servidor al cual importar el certificado y clic en Finalizar

Por ltimo asignar los servicios que correspondan al certificado.

https://technet.microsoft.com/en-us/library/aa997231.aspx
http://blogs.technet.com/b/exchange/archive/2010/07/26/emc-and-certificates-
with-failed-revocation-checks-in-exchange-2010.aspx
https://technet.microsoft.com/es-
es/library/aa998327%28v=exchg.150%29.aspx
http://www.bujarra.com/como-renovar-los-certificados-autofirmados-de-
exchange-2007/