Generar certificado Exchange 2007 / 2010 / 2013 desde nuestra CA

Translate

Como sabemos el OWA funciona sobre HTTPS y eso nos requiere un certificado para evitar tener que estar aceptando la confirmación de sitio no seguro.

Una manera de evitar que los pc’s de nuestra empresa tengan ese mensaje molesto es instalando un certificado de una entidad emisora autorizada o crear un certificado con nuestra propia entidad emisora de certificados.

Os dejo un link de como crear una CA. https://www.cenabit.com/?p=55 

Para generar un certificado para OWA debemos realizar-lo desde la Shell de Exchange.

EXCHANGE 2007

New-ExchangeCertificate -Generaterequest -KeySize 2048 -Subjectname "dc=es,dc=dominio,o=Empresa S.L.,cn=nombre externo" -domainname nombre_server.dominio.com,nombre_server.dominio.es,nombre_server.dominio.local -PrivateKeyExportable $true –Path c:\solicitud.txt

EXCHANGE 2010 / 2013

$data = New-ExchangeCertificate -Generaterequest -KeySize 2048 -Subjectname "dc=es,dc=dominio,o=Empresa S.L.,cn=server.dominio.com" -domainname nombre_server.dominio.com,nombre_server.dominio.es,nombre_server.dominio.local -PrivateKeyExportable $true
Captura_01
La parte en la que tenemos que prestar más atención en el -domainname ya que en este campo definiremos los diferentes nombre tanto externos como internos de nuestro servidor. Por ejemplo, si nuestro server se accede por OWA mediante correo.dominio.es y mail.dominio.com, deberemos añadir estos dos nombre en ese campo, además de añadir el nombre interno para los clientes Outlook que se conecten a él mediante Outlook Anywhere.

EXCHANGE 2007

No es necesario ejecutar ningún comando más, ya ha generado el fichero en C:\

EXCHANGE 2010 / 2013

Después de esta instrucción ejecutamos la siguiente que nos generará el fichero de texto con el código.

Set-Content -path "c:\solicitud.txt" -Value $data
Captura_02

Ahora nos abrimos el fichero de texto que se ha generado en C:\ con el nombre de “solicitud.txt” y lo abrimos.

Captura_03

Copiaremos todo el contenido del .txt y nos dirigiremos a nuestra CA. http://sdad01/certsrv y nos dirigiremos a “Solicitar un certificado”.

Captura_04

Ahora nos dirigimos a “solicitud avanzada de certificado” y “Enviar una solicitud con un archivo…”

Captura_05
Captura_05

Ahora pegaremos el texto del .txt en el recuadro y pulsaremos “Enviar”.

Captura_07

En este punto nos dirigiremos a la consola de Entidad de certificado y en la parte de Solicitudes veremos el certificado que acabamos de generar y lo emitimos.

Captura_08
Captura_09

Una vez Emitido veremos que se ha situado en la parte de “Certificados emitidos”

Captura_10

Nos dirigimos de nuevo a la pagina web de generar certificados y pulsamos sobre “Ver el estado de una solicitud pendiente”

Captura_04

En este punto veremos nuestra solicitud y nos permitirá descargar el certificado para importarlo al Exchange.

Captura_11
Captura_12

Antes de ejecutar el comando de importación desde el Shell de Exchange nos aseguraremos que hemos dejado en la c:\ para ejecutar la siguiente instrucción.

EXCHANGE 2007

Import-ExchangeCertificate –Path c:\certdev.cer -friendlyname "Nombre identificativo" | Enable-ExchangeCertificate -Services "IIS"

EXCHANGE 2010 / 2013

Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certdev.cer -Encoding byte -ReadCount 0)) -friendlyname "Nombre identificativo" | Enable-ExchangeCertificate -Services "IIS"
Captura_13

Para comprobar si tenemos el certificado correctamente instalado podemos ejecutar el siguiente comando y veremos el nuevo certificado aplicado sobre el servicio de IIS.

EXCHANGE 2007, EXCHANGE 2010 y EXCHANGE 2013

Get-ExchangeCertificate
Captura_14

 

Espero que os haya servido, si tenéis alguna duda comentar el post y haré lo posible para ayudaros.

 

 

 

2 comentarios en “Generar certificado Exchange 2007 / 2010 / 2013 desde nuestra CA

  1. Eduardo

    Hola, se que esta entrada es vieja pero quiza podes darme una mano.
    En la empresa donde trabajo tienen exchange 2010 y me pregutnaron si existe manera de encriptar los correos para que los adjuntos y el contenido mismo del correo no sea leido por nadie que no tenga autorizacion (los adjuntos de la AFIP por ejemplo, llegan con un nombre y extencion que solo se pueden ver si tenes un token o certificado en tu maquina como por ejemplo este nombre : 560207F0711.f325aa04agh1396682cab6d1015d74fd.b64) pues bien, con estos certificados se puede hacer algo como lo que me estan pidiendo?…tenes idea si es asi?

    1. Ricard Ibáñez Autor del post

      Si que es posible, pero tendrás que he mitin certificados personales sobre cada persona y luego configurar Exchange para que encriptació estos mensajes desde Outlook o algún cliente de correo. Hablo de memoria pero el proceso lo realiza el client de correo, no el servidor.

Los comentarios están cerrados.