Una entidad de certificación raíz ostenta el nivel máximo de confianza en el Public key infrastructure de nuestra organización. Si emitimos un certificado con una entidad certificadora no autorizada, podemos comprometer la seguridad basada en los certificados de nuestra organización.
Las entidades de certificación raíz se pueden usar directamente para emitir certificados con el fin de que que nuestros usuarios puedan realizar tareas como, por ejemplo, enviar correos electrónicos de forma segura.
En la mayoría de las organizaciones, las entidades de certificación raíz, se usarán para emitir certificados para otras entidades de certificación subordinadas.
Hemos dividido este procedimiento en dos artículos a los que podéis tener accedo usando el indice que mostramos a continuación:
Las entidades de certificación raíz se pueden usar directamente para emitir certificados con el fin de que que nuestros usuarios puedan realizar tareas como, por ejemplo, enviar correos electrónicos de forma segura.
En la mayoría de las organizaciones, las entidades de certificación raíz, se usarán para emitir certificados para otras entidades de certificación subordinadas.
Hemos dividido este procedimiento en dos artículos a los que podéis tener accedo usando el indice que mostramos a continuación:
Una vez hayamos asociado el servicio de Internet Information Services al nuevo certificado autofirmado de Microsoft Exchange 2007 los clientes de Microsoft Outlook empezarán a quejarse con la siguiente alerta de seguridad:
NOMBRE_DEL_SERVIDOR_EXCHANGE
La información que intercambia con este sitio no puede ser vista ni modificada por otras personas. No obstante, hay un problema con el certificado de seguridad del sitio.
X El certificado de seguridad ha sido emitido por una compañía que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificados sea de confianza.
√ La fecha del certificado de seguridad es válida.
√ El nombre del certificado de seguridad es válido.
¿Desea continuar?
El problema reside en que nuestra entidad emisora del certificado, o lo que es lo mismo, nuestro servidor de correo electrónico Microsoft Exchange 2007 no está incluido en el listado de entidades emisoras de confianza en nuestros equipos clientes.
NOMBRE_DEL_SERVIDOR_EXCHANGE
La información que intercambia con este sitio no puede ser vista ni modificada por otras personas. No obstante, hay un problema con el certificado de seguridad del sitio.
X El certificado de seguridad ha sido emitido por una compañía que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificados sea de confianza.
√ La fecha del certificado de seguridad es válida.
√ El nombre del certificado de seguridad es válido.
¿Desea continuar?
El problema reside en que nuestra entidad emisora del certificado, o lo que es lo mismo, nuestro servidor de correo electrónico Microsoft Exchange 2007 no está incluido en el listado de entidades emisoras de confianza en nuestros equipos clientes.
Si pulsamos el botón Si para continuar, nuestro cliente de Microsoft Outlook arrancará sin problemas y recibiremos correo electrónico pero, el mensaje volverá a aparecer cuando volvamos a reabrir Outlook.
Para solucionar este problema, tenemos que instalar el certificado raíz de la entidad de certificación en el almacén de entidades de certificación raíz de confianza de cada uno de los clientes.
Si tenemos muchos ordenadores cliente, lo más sencillo será desplegar el nuevo certificado raíz mediante el uso de las GPO, podemos ver un ejemplo en la página oficial de Microsoft.
Pero, si se trata de unos pocos equipos los que usan nuestro servidor de correo electrónico Microsoft Exchange 2007, lo más sencillo será instalarlo de forma manual. En primer lugar, presionaremos el botón situado en la parte inferior derecha de la ventana de alerta de seguridad llamado Ver certificado...
Aparecerá una nueva ventana llamada Ver certificado, en la parte inferior de la ventana encontraremos el botón llamado Instalar Certificado... lo presionaremos y seguiremos el asistente de instalación hasta el final.
El asistente no tiene ningún misterio, básicamente tendremos que dejar todas las opciones que vienen configuradas por defecto y iremos presionando el botón Siguiente hasta su termino.
Cuando presionemos el botón Finalizar del asistente, nos aparecerá una nueva Advertencia de seguridad que reza:
Está a punto de instalar un certificado desde una entidad de certificación (CA) que afirma representar a:
NOMBRE_DEL_SERVIDOR_EXCHANGE
Windows no puede validar que el certificado procede realmente de "NOMBRE_DEL_SERVIDOR_EXCHANGE". Póngase en contacto con "NOMBRE_DEL_SERVIDOR_EXCHANGE" para confirmar su origen. El siguiente numero le ayudará en este proceso:
Huella digital (sha1): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Advertencia:
Si instala este certificado raiz, Windows confiará automaticamente en cualquier certificado emitido por esta CA, La instalación de un certificado con huella digital sin confirmar supone un riesgo para la seguridad. Al hacer clic en "SI", asume este riesgo.
¿Desea instalar este certificado?
Presionaremos el botón SI y completaremos la importación.
Está a punto de instalar un certificado desde una entidad de certificación (CA) que afirma representar a:
NOMBRE_DEL_SERVIDOR_EXCHANGE
Windows no puede validar que el certificado procede realmente de "NOMBRE_DEL_SERVIDOR_EXCHANGE". Póngase en contacto con "NOMBRE_DEL_SERVIDOR_EXCHANGE" para confirmar su origen. El siguiente numero le ayudará en este proceso:
Huella digital (sha1): xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Advertencia:
Si instala este certificado raiz, Windows confiará automaticamente en cualquier certificado emitido por esta CA, La instalación de un certificado con huella digital sin confirmar supone un riesgo para la seguridad. Al hacer clic en "SI", asume este riesgo.
¿Desea instalar este certificado?
Presionaremos el botón SI y completaremos la importación.
Microsoft Outlook dejará de emitir advertencias de seguridad, y si accedemos a la página web de Outlook Web Acces de nuestro servidor de correo Microsoft Exchange 2007 desde cualquier equipo que se encuentre dentro de nuestro dominio de Active directory y tenga instalado el certificado raíz, comprobaremos que no mostrará ningún tipo de problema relacionado con la seguridad de nuestro certificado autofirmado.
Aunque este procedimiento funciona perfectamente, no es nada recomendable tener certificados autofirmados o emitidos por una entidad certificadora de Microsft Windows instalados en nuestro entorno. La mejor manera de actuar seria, cambiar todos nuestros certificados no válidos por certificados emitidos por entidades de certificación válidas. A la larga, nos ahorraremos mucho trabajo y dolores de cabeza.
Podéis acceder a toda la información sobre, como sustituir un certificado autofirmado por uno válido, usando a los enlaces del indice que mostramos a continuación:
- Microsoft Exchange: Sustituir certificado autofirmado por un certificado SSL válido - Parte 1.
- Microsoft Exchange: Sustituir certificado autofirmado por un certificado SSL válido - parte 2.
- Microsoft Exchange 2010: Complete Pending Request.
- Microsoft Exchange 2010: Asignar servicios a un certificado.
- Active Directory DNS: Crear una nueva zona.
- Microsoft Exchange 2010: Modificar URL interna y externa de los servicios - Parte 1.
- Microsoft Exchange 2010: Modificar URL interna y externa de los servicios - Parte 2.
Enlaces relacionados
Parte 1 Preparativos de Active Directory y Exchange 2010.Parte 3 Instalación del servidor Microsoft Exchange 2013.
No hay comentarios:
Publicar un comentario