none
SBS 2011 - Remote Web Access - Error de certificado.

    Pregunta

  • Hola a todos,

    Tengo un problema para conectarme en remoto, desde un equipo con Windows 7, a un servidor SBS2011.
    Cuando inicio la conexion desde Internet, con Internet Explorer 9, de la siguiente forma: https://ip_servidor/remote, me muestra el mensaje:

    Este sitio web presentó un certificado de seguridad emitido para una dirección de sitio web diferente.

    En el equipo con Windows 7 he instalado el certificado generado por el servidor SBS 2011 que se identifica asi:

    Emitido para: remote.dominio.com
    Emitido por: dominio-equipo-CA
    Las fechas de validez son correctas, no estan caducadas.

    Estoy convencido que no tengo claro algun concepto, pero por mas que leo la documentacion sobre el tema de certificados y Remote Web Access, no termino de hacer que funcione.
    Desde la red local interna, se puede acceder sin problemas a https://remote.dominio.com y trabajar sin limites, pero desde el exterior muestra el mensaje de error de certificado.

    ¿Alguien tiene alguna sugerencia para este problema?
    Gracias por anticipado.

    sábado, 27 de abril de 2013 20:12

Respuestas

Todas las respuestas

  • Tomas-2013

    ¿Como estas? Te hago unas consultas,

    • ¿Cuando decis que inicias una conexion desde Internet, quiere decir fuera de tu red?
    • ¿Porque motivo apuntas a la IP del servidor?
    • Por lo que lei, no tienes certificados publico son autofirmados por tu CA. ¿Es correcto?

    El certificado es por nombre de dominio no por IP, por lo que deberias implementar un certificado de terceros como por ejemplo GoDaddy a nombre de por ejemplo remoto.dominio.com para que lo pueda validar externamente.

    O en todo caso, deberas importar en cada maquina que te conectes desde afuera el certicado remoto y el certificado de tu CA para que pueda confiar, pero no lo vas a poder hacer accediento por IP publica.

    Te dejo unos links:

    http://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-4-de-configuracin-de-autoridad-certificadora-ca/

    http://social.technet.microsoft.com/Forums/es-ES/wstses/thread/2ef95ffc-0e27-4a03-9d51-fb89a353d545/

    http://technet.microsoft.com/es-es/magazine/hh921957.aspx

    Saludos!!

    sábado, 27 de abril de 2013 21:55
  • Hola a todos,

    Tengo un problema para conectarme en remoto, desde un equipo con Windows 7, a un servidor SBS2011.
    Cuando inicio la conexion desde Internet, con Internet Explorer 9, de la siguiente forma: https://ip_servidor/remote, me muestra el mensaje:

    Este sitio web presentó un certificado de seguridad emitido para una dirección de sitio web diferente.

    En el equipo con Windows 7 he instalado el certificado generado por el servidor SBS 2011 que se identifica asi:

    Emitido para: remote.dominio.com
    Emitido por: dominio-equipo-CA
    Las fechas de validez son correctas, no estan caducadas.

    Estoy convencido que no tengo claro algun concepto, pero por mas que leo la documentacion sobre el tema de certificados y Remote Web Access, no termino de hacer que funcione.
    Desde la red local interna, se puede acceder sin problemas a https://remote.dominio.com y trabajar sin limites, pero desde el exterior muestra el mensaje de error de certificado.

    ¿Alguien tiene alguna sugerencia para este problema?
    Gracias por anticipado.

    Está a la vista el problema :-)

    El certificado está emitido al nombre, y lo accedes a través de una dirección IP, que es diferente

    En tu máquina en C:\Windows\System32\Drivers\Etc edita el archivo HOSTS. Cuidado cuando lo guardes, que quede sin extensión (que no pase a llamarse HOSTS.TXT)

    En dicho archivo agrega una línea que diga

    <LaDirecciónIPPublica>     remote.dominio.com

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 27 de abril de 2013 22:42
    Moderador
  • Hola Guillermo,

    Tengo instalado el certificado que SBS 2011 ofrece en la carpeta public\downloads\Install Certificate Package.zip.
    En el archivo HOSTS, tengo incorporada la linea que informa de:
    IP_Publica un espacio en blanco y el nombre remote.Nombre_Dominio.com

    Con esta solucion todavía sigue apareciendo en mensaje de error de certificado.
    Supongo que debe haber otro detalle que falta para validar el certificado.

    Gracias por la aportacion.

    domingo, 28 de abril de 2013 6:41
  • Hola Nicolás,

    Respondo a tus preguntas:

    1 - Si, la conexion es desde fuera de la red local. Es desde Internet, desde un equipo propio que no pertenece al dominio.
    2 - Usamos la IP publica, porque no tenemos registrado en Internet un nombre de dominio. El servidor tiene un nombre de dominio local. Remotamente accedemos al servidor por su IP publica, la misma que ofrece para la conexion VPN.
    3 - Correcto, no tenemos un certificado publico. Pensamos que podemos usar el certificado que genera SBS 2011 para acceso remoto y que SBS 2011 lo identifica para usar para este tipo de conexion. Quizas nuestro error esta en esta idea.

    Me dices en tu respuesta "pero no lo vas a poder hacer accediento por IP publica".
    Entiendo que me dices que la unica forma de que esto funcione es obtener un certificado creado por una entidad certificadora y ése certificado se debe instalar en el servidor SBS 2011 y en las máquinas externas desde donde necesite conectarme.
    Con este certificado instalado en ambos sitios, servidor y PC, podre abrir en el PC externo, Internet Explorer 9 y poner https://IP_publica/remote. En ese momento, el certificado hace la magia de traducir la IP_Publica en un nombre de dominio y descubrira mi servidor en Internet, y me permitira acceder sin restricciones. ¿Le he entendido bien?

    Hay un detalle que quiero destacar y es que, el servicio que quiero usar, no es un escritorio remoto propiamente dicho, que SBS 2011 no ofrece. El servicio que ofrece SBS 2011 con esta conexion que explico, es un acceso al servidor para acceder a unas funcionalidades que permite ver las carpetas compartidas, el correo del usuario y poca cosa mas. Lo comento porque en los enlaces que ofreces en tu respuesta, habla sobre configuracion de Terminal Services que ahora se llama Escritorio Remoto y que por diseño SBS 2011 solo ofrece para administracion remota, y que por cierto funciona bien, por VPN y sin problemas.

    Espero poder clarificar al maximo lo que quiero hacer para aprender de vuestras respuestas.

    domingo, 28 de abril de 2013 7:52
  • Tomas-2013

    ¿Como estas? Por IP publica no vas a poder hacer que el certificado funcione, vas a necesitar un dominio publico para hacerlo fuera de tu red.

    Por lo que vas a tener que conseguir algun dominio publico para realizarlo fuera de tu red sin VPN

    Aca te dejo unos links sobre SBS:

    http://titlerequired.com/2011/07/15/setting-up-remote-web-access-on-sbs-2011-essentials-part-1/

    http://titlerequired.com/2011/07/15/setting-up-remote-web-access-on-sbs-2011-essentials-part-2/

    http://blogs.technet.com/b/sbs/archive/2011/04/19/how-to-obtain-the-certificate-distribution-package-in-sbs-2011-standard-through-remote-web-access.aspx

    http://social.technet.microsoft.com/wiki/contents/articles/6666.remote-web-access-deployment-guide.aspx

    Saludos!!!


    • Marcado como respuesta Tomas-2013 viernes, 31 de mayo de 2013 16:21
    domingo, 28 de abril de 2013 17:11
  • ¿Y haz instalado el certificado de la autoridad certificadora? Seguramente te ha dado las instrucciones, o las tienes dentro del .ZIP

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 29 de abril de 2013 11:33
    Moderador
  • [Guillermo] Respondo entre líneas

    Hola Nicolás,

    Respondo a tus preguntas:

    1 - Si, la conexion es desde fuera de la red local. Es desde Internet, desde un equipo propio que no pertenece al dominio.

    [Guillermo] Esto del equipo propio seguramente provoca problemas, porque no sólo necesitas el certificado del servidor, sino además el de la autoridad certificadora, que seguramente instala automáticamente en las máquinas del dominio

    2 - Usamos la IP publica, porque no tenemos registrado en Internet un nombre de dominio. El servidor tiene un nombre de dominio local. Remotamente accedemos al servidor por su IP publica, la misma que ofrece para la conexion VPN.

    [Guillermo] ¿Y está configurado en el router para TCP-443?

    3 - Correcto, no tenemos un certificado publico. Pensamos que podemos usar el certificado que genera SBS 2011 para acceso remoto y que SBS 2011 lo identifica para usar para este tipo de conexion. Quizas nuestro error esta en esta idea.

    [Guillermo] Se puede usar un certificado de una autoridad propia, pero hay que tenerlo instalado en el contenedor "Trusted Root Certificates" de cada máquina que acceda

    Me dices en tu respuesta "pero no lo vas a poder hacer accediento por IP publica".
    Entiendo que me dices que la unica forma de que esto funcione es obtener un certificado creado por una entidad certificadora y ése certificado se debe instalar en el servidor SBS 2011 y en las máquinas externas desde donde necesite conectarme.

    [Guillermo] No es necesario que sea de una autoridad comercial, pero debes tener el certificado en el servidor, y el de la autoridad en ambos

    Con este certificado instalado en ambos sitios, servidor y PC, podre abrir en el PC externo, Internet Explorer 9 y poner https://IP_publica/remote. En ese momento, el certificado hace la magia de traducir la IP_Publica en un nombre de dominio y descubrira mi servidor en Internet, y me permitira acceder sin restricciones. ¿Le he entendido bien?

    Hay un detalle que quiero destacar y es que, el servicio que quiero usar, no es un escritorio remoto propiamente dicho, que SBS 2011 no ofrece. El servicio que ofrece SBS 2011 con esta conexion que explico, es un acceso al servidor para acceder a unas funcionalidades que permite ver las carpetas compartidas, el correo del usuario y poca cosa mas. Lo comento porque en los enlaces que ofreces en tu respuesta, habla sobre configuracion de Terminal Services que ahora se llama Escritorio Remoto y que por diseño SBS 2011 solo ofrece para administracion remota, y que por cierto funciona bien, por VPN y sin problemas.

    Espero poder clarificar al maximo lo que quiero hacer para aprender de vuestras respuestas.



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 29 de abril de 2013 11:40
    Moderador