locked
Exchange 2007 OWA y Certificados RRS feed

  • Pregunta

  • Buen día.

    Tengo una duda con respecto a los certificados y el uso que le da Exchange para la parte de OWA.

    Segun tengo entendido, al momento de la instalación del CAS exchange genera un certificado SSL, lo que quiero sabe es ¿Que necesito hacer para que al momento de entrar a revisar mi correo a traves del OWA no me aparezca el mensaje de error por no confiar en el certificado SSL? ¿A fuerza tengo que comprar un certificado? ¿Si agrego a mi dominio una entidad emisora de certificados y genero uno nuevo, se lo puedo agregar a directorio virtual del OWA y con eso ya no me aparecerá el error? ¿Si un usuario de mi dominio trata de revisar su correo por OWA pero en una maquina que no pertenece a mi dominio que pasa con el certificado?

    Por otro lado estoy viendo que el certificado que se genera automaticamente al instalar exchange tiene un tiempo de vida de un año, que va a pasar cuando se cuando caduque el certificado?

    Saludos...


    amejia
    jueves, 20 de mayo de 2010 21:20

Respuestas

  • Una cosa es un certificado para accder a una web por HTTPs (como se accede a OWA por ejemplo), y otra muy diferente es para mandar e-mail firmados y/o cifrados digitalmente (los certificados tienen múltiples posibilidades o cometidos, como puede ser sólo para HTTPS por ejemplo, o para además usarlos en correo seguro -S/MIME-, o para cifrar ficheros -EFS-).

    Si lo que quieres es mandar e-mails firmados/cifrados digitalmente, cada usuario del dominio debe tener su propio certificado, el cual se compone de una clave pública y otra privada; la pública es la que tú mandas al firmar digitalmente los correos, de forma que el que recibe tu mail ya puede "confiar en tí"; y su tienes la suya, al revés; a aprtir de ahí, una vez los 2 conocéis la idntidad del otro y es "de confiazna", es cuando podéis cifrar mails.

    http://technet.microsoft.com/en-us/library/aa996417(EXCHG.65).aspx

    http://technet.microsoft.com/en-us/library/bb738140.aspx

    Una montada una infraestructura PKI, es posible quitarla, pero evidentemente dependerá de cómo la hayas instalado y configurado, antes tendrás que hacer una serie de cosas para que se pueda eliminar del dominio; si el Exchange depende de esa PKI, necesitarás tener preparada otra para y migrar los certificados y configuraciones para hacer uso de los uevos certificados antes de poder quitarla por ejemplo.


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    • Marcado como respuesta Uriel Almendra martes, 14 de mayo de 2013 21:39
    miércoles, 26 de mayo de 2010 6:47

Todas las respuestas

  • Para usar los certificados es conveniente siempre saber un poco cómo funcionan

    http://www.windowsecurity.com/articles/Microsoft-PKI-Quick-Guide-Part1.html

    http://technet.microsoft.com/en-us/library/dd277320.aspx

    http://technet.microsoft.com/en-us/library/cc773138(WS.10).aspx

    Si usas un certificado de una entidad emisora de confianza (Verisign, Thawtee, etc..) de las que hay por internet (que se paga), te quitas el problema de tener tu infraestructura PKI propia interna y que los clientes al conectar por OWA reconozcan y validen ya el sitio como de "confianza" al verificar el certificado y su emisor.

    Si usas el certificado propio del Exchange o de una PKI interna tuya, entonces tendrás que disribuir a todos tus equipos del dominio la CRL de la CA emisora para que sepan que el certificado es de confianza de un sitio seguro y validado; si los equipos no pertenecen al dominio, tendrás que distribuir dicho certificado de otra forma y que se lo instalen antes para que no les aparezca el error del certificado.

    El Exchange renueva automáticamente su propio certificado antes que caduque, pero siempre puedes ahcerlo tú antes si así lo prefieres.


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    viernes, 21 de mayo de 2010 7:40
  • Un par de preguntas mas, suponiendo que intalo la infraestructura de PKI en mi empresa, que pasa cuando envio un correo a alguna empresa o dominio externo (hotmail, yahoo, etc), como le tengo que hacer llegar el certificado?

    Una vez instalada la infraestructura de PKI, ¿Se puede desinstalar sin problema o ya queda permanentemente cazada a mi organizacion de exchange?


    amejia
    martes, 25 de mayo de 2010 18:36
  • Una cosa es un certificado para accder a una web por HTTPs (como se accede a OWA por ejemplo), y otra muy diferente es para mandar e-mail firmados y/o cifrados digitalmente (los certificados tienen múltiples posibilidades o cometidos, como puede ser sólo para HTTPS por ejemplo, o para además usarlos en correo seguro -S/MIME-, o para cifrar ficheros -EFS-).

    Si lo que quieres es mandar e-mails firmados/cifrados digitalmente, cada usuario del dominio debe tener su propio certificado, el cual se compone de una clave pública y otra privada; la pública es la que tú mandas al firmar digitalmente los correos, de forma que el que recibe tu mail ya puede "confiar en tí"; y su tienes la suya, al revés; a aprtir de ahí, una vez los 2 conocéis la idntidad del otro y es "de confiazna", es cuando podéis cifrar mails.

    http://technet.microsoft.com/en-us/library/aa996417(EXCHG.65).aspx

    http://technet.microsoft.com/en-us/library/bb738140.aspx

    Una montada una infraestructura PKI, es posible quitarla, pero evidentemente dependerá de cómo la hayas instalado y configurado, antes tendrás que hacer una serie de cosas para que se pueda eliminar del dominio; si el Exchange depende de esa PKI, necesitarás tener preparada otra para y migrar los certificados y configuraciones para hacer uso de los uevos certificados antes de poder quitarla por ejemplo.


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    • Marcado como respuesta Uriel Almendra martes, 14 de mayo de 2013 21:39
    miércoles, 26 de mayo de 2010 6:47