locked
Problemas con certificado emitido en GoDaddy para usar en Outlook Anywhere - Exchange 2010 RRS feed

  • Pregunta

  • Hola,

    teníamos un certificado creado con CA de Windows. Para no tener mas problemas y generar soporte adicional en cada instalación del cliente con Outlook, se decidió comprar un certificado ssl para agregarlo en Exchange.

    Ahora bien, cuando activamos el certificado en IIS para el uso, los clientes por OWA, funcionan sin problema. En cambio se ven afectados los clientes Outlook, con alertas de  certificado no valido.

    Elevando el caso a Godaddy, me informan esto;

    Nosotros antes en el certificado generado por CA Windows teníamos definido en SAN, autodiscover.dominio.com, webmail2.dominio.com, hostinterno.dominio.local, autodiscover.dominio.local (esto esta mal, y la idea es removerlo para no exponer nombres internos)

    Mi duda es si necesito si o si pedir un certificado de este tipo o bien, debo reconfigurar en Exchange el modo de comunicación.

    Thank you for contacting SSL support. The certificate that you have purchased is only a single name type of certificate and not a multi-name (UCC) type of certificate. If want a type of certificate that can support multiple SAN names, then you will need to buy a UCC type of certificate.

     M
    uchas gracias.

     


    Alejandro | Especialista en Infraestructura Microsoft y Fortinet|

    lunes, 15 de septiembre de 2014 21:06

Respuestas

  • sabia que era el camino, pero el cliente equivoco el pedido.

    gracias

    saludos.


    Alejandro | Especialista en Infraestructura Microsoft y Fortinet|

    martes, 16 de septiembre de 2014 2:03

Todas las respuestas

  • Hola Alejandro,

    El problema acá es que desde Exchange 2007 hay un requerimiento para certificados que tengan más de un nombre. La razón es la introducción de "autodiscover" para que los smart phones y los clientes usando Outlook Anywhere puedan "descubrir" tu servidor automáticamente.

    Vas a tener que pedirle a GoDaddy que te den de baja el certificado que pediste, y pedir uno nuevo usando UCC (o SAN), y mandando el CSR que te tira Exchange. El certificado va a tener un Common Name que es equivalente al nombre de tu servidor Exchange, por ejemplo mail.dominio.com, pero también va a tener SAN's que corresponden a otros nombres, como autodiscover.dominio.com...

    Cuando pidas el certificado desde Exchange, vas a tener que remover todos los dominios que terminen en .local, y asegurarte que tu CSR sólo tenga tu dominio externo. Para verificar tu CSR antes de mandarlo a GoDaddy, podés usar ésto: http://www.sslshopper.com/csr-decoder.html

    También, acá están los requerimientos y guías para certificados de Exchange 2010 (aplica a 2007 y 2013 también): http://technet.microsoft.com/es-ar/library/gg502577(v=exchg.141).aspx

    Gonzalo

    • Propuesto como respuesta Uriel Almendra lunes, 15 de septiembre de 2014 21:42
    lunes, 15 de septiembre de 2014 21:16
  • Amigo necesitas UCC que te permita tener varios Subject Alternative Names, con un UCC de 5 Dominios cubres los requerimientos.

    Saludos


    El éxito nunca llega solo; hay que trabajar arduamente para conseguirlo.

    lunes, 15 de septiembre de 2014 21:43
  • sabia que era el camino, pero el cliente equivoco el pedido.

    gracias

    saludos.


    Alejandro | Especialista en Infraestructura Microsoft y Fortinet|

    martes, 16 de septiembre de 2014 2:03