Un certificado digital es un archivo que se puede usar a modo de contraseña en línea para conseguir comprobar la identidad de un usuario o un equipo. También podemos usar un certificado digital para crear canales de cifrado SSL y usarlo durante las comunicaciones entre un servidor Microsoft Exchange y el dispositivo cliente.
Un certificado digital tiene que ser emitido por una entidad de certificación para poder garantizar la identidad del poseedor del certificado y también permitir la creación de las comunicaciones cifradas.
Los certificados digitales pueden ser emitidos por una entidad de certificación de confianza o también pueden ser autofirmados.
Los certificados digitales dan fe de que sus poseedores ya sean personas físicas, sitios web o incluso recursos de red, son en realidad quien dicen ser, también ayudan a proteger los datos que son intercambiados en línea contra robos, manipulaciones o malos usos.
Al instalar la función del servidor Acceso de cliente o la función de servidor de mensajería unificada con Microsoft Exchange Server 2007, se instalará un nuevo certificado autofirmado por el propio servidor de correo electrónico.
En el laboratorio de hoy, vamos a realizar el proceso de renovación de dicho certificado autofirmado en un servidor Microsoft Exchange 2007.
Un certificado digital tiene que ser emitido por una entidad de certificación para poder garantizar la identidad del poseedor del certificado y también permitir la creación de las comunicaciones cifradas.
Los certificados digitales pueden ser emitidos por una entidad de certificación de confianza o también pueden ser autofirmados.
Al instalar la función del servidor Acceso de cliente o la función de servidor de mensajería unificada con Microsoft Exchange Server 2007, se instalará un nuevo certificado autofirmado por el propio servidor de correo electrónico.
En el laboratorio de hoy, vamos a realizar el proceso de renovación de dicho certificado autofirmado en un servidor Microsoft Exchange 2007.
Con un servidor de correo electrónico Microsoft Exchange 2007, podemos ver nuestros certificados instalados desde la ventana del Administrador de Internet Information Services y, si lo que queremos es renovar un certificado emitido por una entidad certificadora de Microsoft Windows instalada en nuestro dominio, el proceso de renovación se puede ejecutar desde la propia consola de Administración de IIS.
Pero, en nuestro laboratorio, tenemos un certificado autofirmado. Podemos averiguar fácilmente que se trata de un certificado autofirmado por el propio servidor de correo electrónico Microsoft Exchange 2007 porque, en la columna llamada Emitido por de la ventana de la consola del Administrador de Internet Information Services, aparece el nombre de nuestro servidor de correo electrónico Microsoft Exchange 2007.
Hemos dividido este procedimiento en dos artículos separados a los que podéis tener accedo usando el índice que mostramos a continuación:
- Microsoft Exchange 2007: Renovar certificado Autofirmado. Parte 1
- Microsoft Exchange 2007: Renovar certificado Autofirmado. Parte 2
Get-ExchangeCertificate -Domain srvmail.dom.local | fl
Nos mostrará toda la información de nuestro certificado autofirmado, copiaremos Thumbprint o huella digital de nuestro certificado para usarlo durante el proceso de renovación del certificado.
[PS] C:\Windows\system32>Get-ExchangeCertificate -Domain srvmail.dom.local |fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
NotAfter : 25/04/2017 13:03:50
NotBefore : 25/04/2016 13:03:50
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 240A979FB4F957AE4A491546632622FA
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
Thumbprint : C38DAACFB219F5E860B23139934B7E69943D9CB3
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
NotAfter : 25/04/2017 13:03:50
NotBefore : 25/04/2016 13:03:50
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 240A979FB4F957AE4A491546632622FA
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
Thumbprint : C38DAACFB219F5E860B23139934B7E69943D9CB3
Seguidamente, construiremos el cmdlet que nos va a permitir la renovación del certificado autofirmado de nuestro servidor de correo electrónico de Exchange 2007.
Get-ExchangeCertificate -thumbprint “Thumbprint_copiado_en_el_paso_anterior” | New-ExchangeCertificate
La construcción final del comando en nuestro entorno de pruebas será la siguiente:
Get-ExchangeCertificate -thumbprint “C38DAACFB219F5E860B23139934B7E69943D9CB3” | New-ExchangeCertificate
Sobrescribiremos el certificado SMTP predeterminado existente por el nuevo certificado que estamos generando.
[PS] C:\Windows\system32>Get-ExchangeCertificate -thumbprint "C38DAACFB219F5E860B23139934B7E69943D9CB3" | New-ExchangeCertificate
Confirmar
Sobrescriba el certificado SMTP predeterminado existente, "C38DAACFB219F5E860B23139934B7E69943D9CB3" (que caduca 25/04/2017 13:03:50), con el certificado "D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562" (que caduca 03/03/2022 9:24:46)?
[S] Sí [O] Sí a todo [N] No [T] No a todo [U] Suspender [?] Ayuda (el valor predeterminado es "S"):s
Thumbprint Services Subject
---------- -------- -------
D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562 ..... CN=srvmail.dom.local,...
Sobrescribiremos el certificado SMTP predeterminado existente por el nuevo certificado que estamos generando.
[PS] C:\Windows\system32>Get-ExchangeCertificate -thumbprint "C38DAACFB219F5E860B23139934B7E69943D9CB3" | New-ExchangeCertificate
Confirmar
Sobrescriba el certificado SMTP predeterminado existente, "C38DAACFB219F5E860B23139934B7E69943D9CB3" (que caduca 25/04/2017 13:03:50), con el certificado "D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562" (que caduca 03/03/2022 9:24:46)?
[S] Sí [O] Sí a todo [N] No [T] No a todo [U] Suspender [?] Ayuda (el valor predeterminado es "S"):s
Thumbprint Services Subject
---------- -------- -------
D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562 ..... CN=srvmail.dom.local,...
Seguidamente, ejecutaremos una vez más Get-ExchangeCertificate para ver el estado de los dos certificados. Comprobaremos que el servicio de Internet Information Services que anteriormente estaba asignado a nuestro viejo certificado autofirmado no está asignado al nuevo certificado que acabamos de generar, todo lo demás será exactamente igual que nuestro viejo certificado.
Get-ExchangeCertificate -Domain srvmail.dom.local | fl
[PS] C:\Windows\system32>Get-ExchangeCertificate -Domain srvmail.dom.local |fl
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srvmail.dom.local, O=Exchange, DC=dom, DC=local
NotAfter : 03/03/2022 9:24:46
NotBefore : 03/03/2017 9:24:46
PublicKeySize : 2048
RootCAType : None
SerialNumber : 0095B16067799DBA466FEE47DACA9B3C
Services : IMAP, POP, SMTP
Status : Valid
Subject : CN=srvmail.dom.local, O=Exchange, DC=dom, DC=local
Thumbprint : D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
NotAfter : 25/04/2017 13:03:50
NotBefore : 25/04/2016 13:03:50
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 240A979FB4F957AE4A491546632622FA
SerialNumber : 240A979FB4F957AE4A491546632622FA
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
Thumbprint : C38DAACFB219F5E860B23139934B7E69943D9CB3
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : CN=srvmail.dom.local, O=Exchange, DC=dom, DC=local
NotAfter : 03/03/2022 9:24:46
NotBefore : 03/03/2017 9:24:46
PublicKeySize : 2048
RootCAType : None
SerialNumber : 0095B16067799DBA466FEE47DACA9B3C
Services : IMAP, POP, SMTP
Status : Valid
Subject : CN=srvmail.dom.local, O=Exchange, DC=dom, DC=local
Thumbprint : D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562
AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System
.Security.AccessControl.CryptoKeyAccessRule, System.Securi
ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
ssControl.CryptoKeyAccessRule}
CertificateDomains : {srvmail.dom.local, srvmail, mail.dom.es, autodiscover.dom.es}
HasPrivateKey : True
IsSelfSigned : True
Issuer : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
NotAfter : 25/04/2017 13:03:50
NotBefore : 25/04/2016 13:03:50
PublicKeySize : 2048
RootCAType : Unknown
SerialNumber : 240A979FB4F957AE4A491546632622FA
SerialNumber : 240A979FB4F957AE4A491546632622FA
Services : IMAP, POP, IIS, SMTP
Status : Valid
Subject : DC=local, DC=dom, O=Exchange, CN=srvmail.dom.local
Thumbprint : C38DAACFB219F5E860B23139934B7E69943D9CB3
Para terminar la primera parte de la configuración, asignaremos el servicio de Internet Information Services al nuevo certificado autofirmado, usando el comando que mostramos a continuación.
Enable-ExchangeCertificate -thumbprint “Thumbprintdel_nuevo_certificado” -services IIS
La construcción final del cmdlet usada en nuestro laboratorio será la siguiente
Enable-ExchangeCertificate -thumbprint “D51FE4D5F46C225594F1EB0AFCC90C52F8C1C562” -services IIS
Una vez hayamos asignado el servicio de Internet Information Services, solo nos quedará eliminar el viejo certificado autofirmado de nuestro servidor de correo electrónico Microsoft Exchange 2007.
Remove-ExchangeCertificate -thumbprint “Thumbprint_del_viejo_certificado”
La construcción final del comando en nuestro entorno de pruebas será la siguiente:
Remove-ExchangeCertificate -thumbprint “C38DAACFB219F5E860B23139934B7E69943D9CB3”
Finalizado todo este proceso, comprobaremos que solo tenemos un único certificado autofirmado instalado en nuestro entorno.
Es muy posible que nuestros clientes de Microsoft Outlook empiecen a mostrar una alerta de seguridad, si esto sucede, podéis continuar leyendo este artículo accediendo al enlace que mostramos a continuación:
Aunque este procedimiento funciona a la perfección, no es nada recomendable tener un certificado autofirmado o emitido por una entidad certificadora de Microsft Windows instalado en nuestro entorno de red. La mejor manera de proceder seria, cambiar todos nuestros certificados no válidos por certificados emitidos por entidades de certificación válidas. A la larga, nos ahorraremos mucho trabajo y dolores de cabeza.
Podéis acceder a toda la información de como sustituir un certificado autofirmado por uno válido de forma individual usando el indice que mostramos a continuación:
- Microsoft Exchange: Sustituir certificado autofirmado por un certificado SSL válido - Parte 1.
- Microsoft Exchange: Sustituir certificado autofirmado por un certificado SSL válido - parte 2.
- Microsoft Exchange 2010: Complete Pending Request.
- Microsoft Exchange 2010: Asignar servicios a un certificado.
- Active Directory DNS: Crear una nueva zona.
- Microsoft Exchange 2010: Modificar URL interna y externa de los servicios - Parte 1.
- Microsoft Exchange 2010: Modificar URL interna y externa de los servicios - Parte 2.
No hay comentarios:
Publicar un comentario