none
Outlook 2007 no acepta certificado SSL de Exchange 2007 RRS feed

  • Pregunta

  • Hola

    Hemos comprado en nuestra empresa un certificado digital para cifrar el correo SSL. El caso es que dicho certificado se instala sin problemas en IIS y OWA y PDA funcionan correctamente

    No se porqué desde que se instaló dicho certificado que ha sustituido al que Exchange trae interno por defecto, MS Outlook 2007 arroja un mensaje de alerta de seguridad del servidor.

    Especifíca que el certificado es de una entidad emisora válida y que la fecha es válida pero da error:
    "El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio"

    El certificado ha sido comprado para www.empresa.es y lo que emile alerta es servidordecorreo.empresa.red. No se si está mal pedido el certificado o hay que agregar o hacer algo en el servidor o clientes

    Hemos probado a añadir en sitios de confianza el certificado pero claro dicho certificado es de servidor.

    Quizás hemos pedido mal el certificado pero en la configuración no leimos nada de "sitio interno", solo URL

    El correo funciona con normalidad pero cuando se abre Outlook y pasado tiempo, da este error molesto

    Gracias
    jueves, 22 de enero de 2009 17:10

Todas las respuestas

  • Deberías haber pedido un certificado con nombres DNS alternativos. Para OWA y ActiveSync utilizaras un nombre DNS parecido a webmail.empresa.com o algo así. Pero los usuarios de Outlook se conectan a su buzón directmente al nombre DNS del servidor de buzones, el cual no estará incluido en el certificado, verdad?

     

    Si tienes Exchange 2007, deberías incluir varios nombre alternativos: webmail.empresa.com, servidorbuzones.empresa.com, autodiscover.empresa.com, etc.

     

    viernes, 23 de enero de 2009 9:07
  • Hola

    Efectivamente el certificado está contratado en verysing como www.empresa.com ya que no nos dejaba como https://webmail.empresa.com

    Osea que tengo que modificar el certificado SSL adquirido para que acepte DNS alternativo para agregar

    empresa.com
    servidor.empresa.red

    ¿estoy en lo cierto?
    viernes, 23 de enero de 2009 10:28
  • Tus usuarios cuando se conectan a OWA van a www.empresa.com?

     

    En realidad el certificado debe de tener todos los nombres a los que tus usuarios se conecten, me refiero:

     

    1 - Si tienes el mismo espacio de nombres para OWA, ActiveSync o Autodiscover (vamos que se conectan desde fuera de la red al mismo nombre que desde dentro: correo.empresa.com) o si utilizas direcciones diferentes: desde fuera correo.empresa.com y desde dentro correo.empresa.local.

     

    2 - Si tu usuarios no utilizan Anywhere, se van al servidor de buzones, o sea servidorbuzones.empresa.local

     

    3 - Si vas a utilizar autodiscover también estaría bien incluirlo.

     

    Espero que sea de ayuda, la verdad me esplico fatal ;-)

     

    viernes, 23 de enero de 2009 10:46
  •  Mig312 Escribió:

    Tus usuarios cuando se conectan a OWA van a www.empresa.com?

     

    En realidad el certificado debe de tener todos los nombres a los que tus usuarios se conecten, me refiero:

     

    1 - Si tienes el mismo espacio de nombres para OWA, ActiveSync o Autodiscover (vamos que se conectan desde fuera de la red al mismo nombre que desde dentro: correo.empresa.com) o si utilizas direcciones diferentes: desde fuera correo.empresa.com y desde dentro correo.empresa.local.

     

    2 - Si tu usuarios no utilizan Anywhere, se van al servidor de buzones, o sea servidorbuzones.empresa.local

     

    3 - Si vas a utilizar autodiscover también estaría bien incluirlo.

     

    Espero que sea de ayuda, la verdad me esplico fatal ;-)

     



    Veamos para que no vuelva a liarla:

    digamos que el dns de internet de correo es: mail.empersa.es
    luego tenemos donde se conecta la gente por OWA y Activesync que es https://webmail.empresa.es/owa
    y por ultimo el servidor de correo de transporte interno que es correo.empresa.red

    Que DNS tengo que darle a verysing para que me funcione el certificado externo e interno porque para el interno entiendo que es correo.empresa.red pero para externo dice verysing que solo tiene que ser el dominio global osea www.empresa.es

    saludos
    viernes, 23 de enero de 2009 11:42
  • El certificado deberás de solicitarlo para https://webmail.empresa.es

    Revisate el mensaje 12 de este hilo: http://forums.microsoft.com/TechNet-ES/ShowPost.aspx?PostID=3637481&SiteID=30

    El certificado debes enerar un CSR que es lo que debes pegar en tu proveedor para generar el certificado. Dependiendo de los servicios que se vayan a acceder en el servidor del Client Access (imap ssl, pop3 ssl, owa, autodiscover) deberás asociarlos para que todo funcione correctamente.

    Comentabas que el certificado webmail.empresa.es no lo podias generar para ese DNS, puedes generarlo para una dirección alternativa, por ej: correo.empresa.es y luego mediante dns, redirigir webmail.empresa.es a correo.empresa.es

    Otra alternativa, es solicitar un certificado con múltiples nombres por ej. que incluya varias rutas dns, webmail.empresa.es correo.empresa.es, mail.empresa.es y adicionalmente los nombres internos, exchange.dominio.local.

    Si no incluyes o no puedes incluir los nombres internos, siempre puedes crear una zona DNS en tu servidor DNS con la zona empresa.es y añadir un host que sea webmail.empresa.es que apunte a la ip interna de tu Client Access. Así los usuarios interna o externamente usarán la direccion webmail.empresa.es

    Saludos.


    sábado, 24 de enero de 2009 9:23
  •  Ignacio Blázquez Escribió:
    El certificado deberás de solicitarlo para https://webmail.empresa.es

    Revisate el mensaje 12 de este hilo: http://forums.microsoft.com/TechNet-ES/ShowPost.aspx?PostID=3637481&SiteID=30

    El certificado debes enerar un CSR que es lo que debes pegar en tu proveedor para generar el certificado. Dependiendo de los servicios que se vayan a acceder en el servidor del Client Access (imap ssl, pop3 ssl, owa, autodiscover) deberás asociarlos para que todo funcione correctamente.

    Comentabas que el certificado webmail.empresa.es no lo podias generar para ese DNS, puedes generarlo para una dirección alternativa, por ej: correo.empresa.es y luego mediante dns, redirigir webmail.empresa.es a correo.empresa.es

    Otra alternativa, es solicitar un certificado con múltiples nombres por ej. que incluya varias rutas dns, webmail.empresa.es correo.empresa.es, mail.empresa.es y adicionalmente los nombres internos, exchange.dominio.local.

    Si no incluyes o no puedes incluir los nombres internos, siempre puedes crear una zona DNS en tu servidor DNS con la zona empresa.es y añadir un host que sea webmail.empresa.es que apunte a la ip interna de tu Client Access. Así los usuarios interna o externamente usarán la direccion webmail.empresa.es

    Saludos.




    Osea que en servidor DNS en busqueda invers añada un host que diga que https://webmail.empresa.es sea = a IP interna del servidor?
    sábado, 24 de enero de 2009 15:17
  • En el servidor interno, pero el certificado ha de coincidir con el nombre DNS y ha de estar configurado con los servicios correctos en Exchange 2007
    sábado, 24 de enero de 2009 15:55
  •  Ignacio Blázquez Escribió:
    En el servidor interno, pero el certificado ha de coincidir con el nombre DNS y ha de estar configurado con los servicios correctos en Exchange 2007


    ya os digo, el DNS registrado en el certificado es www.empresa.es ya que nos dijo verysing que no se podía registrar página, solo dominio por eso registramos ese...

    Yo supongo que abrá alguna opción de registrar en el mismo certificado alguna parte DNS para poner el https://webmail.empresa.es y uno alternativo que será el interno exchange.empresa.red

    O con la opción de registrar en el servidor DNS que me comentais lo de busqueda inversa o directa un host que diga que https... corresponda a exchange.empresa.local? es que esto no lo eh entendido bien

    En Exchange que me comentas de configurar, si no hay que poner nada con respecto a los certificados, en todo caso en IIS, no?

    Saludos
    sábado, 24 de enero de 2009 20:54
  • Que tal GoldFran:

    Como te comentan en post anteriores cuando tu vayas a usar un certificado para  Exchange Server 2007, lo que tienes que revisar son los nombres que vas a usar para tus servicios, no sólo OWA por ejemplo también Outlook Anywhere, Active Sync, Autodiscovery, SMTP, etc.

    Un certificado digital usan dos campos(issuer y subject) que se "atan" por su nombre completo del equipo o que usan su registro DNS. Para ser mas claros tu defines que tu OWA es
    https://webmail.empresa.es entonces en subject seria webmail.empresa.es, pero si esa es la URL de tu OWA Externo, entonces que pasa si internamente tienes que la URL  de tu OWA interno es https://exchange.empresa.red, lo que pasaria es que te mandaria un mensaje IE de que el certificado no es válido, pero igual te deja acceder, para evitar eso existe un campo que se llama Subject Alternative Names (SAN) en donde agregarias a exchange.empresa.red y asi para los demas servicios que vayas a usar, por ejemplo para Autodiscover seria autodiscover.empresa.es (interno) y autodiscover.empresa.red (externo). Esto es que tu certificado quedaria con un subject y en SAN con todos los nombres alternativos que vayas a usar.

    Cuando generen el certificado de Verisign deben de pedirle el soporte para SAN, sino tendrian que poner todos su servicios bajo un mismo nombre (
    webmail.empresa.es) y con ello van a tener el issue que actualmente tienen con Outlook precisamente por Outlook Anywhere y autodiscover.

    Para obtener mas información de este tipo de certificados y con los que Microsoft ha trabajado en conjunto ve a la siguiente liga http://support.microsoft.com/kb/929395.


    Saludos

    Edgar



    domingo, 25 de enero de 2009 8:50
  •  EDGAREF Escribió:
    Que tal GoldFran:

    Como te comentan en post anteriores cuando tu vayas a usar un certificado para  Exchange Server 2007, lo que tienes que revisar son los nombres que vas a usar para tus servicios, no sólo OWA por ejemplo también Outlook Anywhere, Active Sync, Autodiscovery, SMTP, etc.

    Un certificado digital usan dos campos(issuer y subject) que se "atan" por su nombre completo del equipo o que usan su registro DNS. Para ser mas claros tu defines que tu OWA es
    https://webmail.empresa.es entonces en subject seria webmail.empresa.es, pero si esa es la URL de tu OWA Externo, entonces que pasa si internamente tienes que la URL  de tu OWA interno es https://exchange.empresa.red, lo que pasaria es que te mandaria un mensaje IE de que el certificado no es válido, pero igual te deja acceder, para evitar eso existe un campo que se llama Subject Alternative Names (SAN) en donde agregarias a exchange.empresa.red y asi para los demas servicios que vayas a usar, por ejemplo para Autodiscover seria autodiscover.empresa.es (interno) y autodiscover.empresa.red (externo). Esto es que tu certificado quedaria con un subject y en SAN con todos los nombres alternativos que vayas a usar.

    Cuando generen el certificado de Verisign deben de pedirle el soporte para SAN, sino tendrian que poner todos su servicios bajo un mismo nombre (
    webmail.empresa.es) y con ello van a tener el issue que actualmente tienen con Outlook precisamente por Outlook Anywhere y autodiscover.

    Para obtener mas información de este tipo de certificados y con los que Microsoft ha trabajado en conjunto ve a la siguiente liga http://support.microsoft.com/kb/929395.


    Saludos

    Edgar



    Hola de nuevo, pare recapitular ya que voy a llamar hoy a verysing y soy un poco lento para esto:

    digamos que el dominio externo de la empresa es www.empresa.es y el interno empresa.red

    OWA externo es https://webmail.empresa.es/owa e interno es https://exchange.empresa.red/owa

    Por otra parte también se usa Activesync con dispositivos WM6 y que cuando lo configuro apunta tambien a https://webmail.empres.es/owa

    Según lo que me comentáis el subjet del certificado tiene que ser https://webmail.empresa.es (/owa?) y adquirir un SAN osea un subjet alternativo para https://exchange.empres.es (/owa?)

    Saludos

    PD: y esto que me comentabais de agregar en el servidor DNS https://webmail.empresa.es/owa que apunte a https://exchange.empresa.red/owa?

    No entiendo porque un certificado Web afecta a los clientes outlook internos
    lunes, 26 de enero de 2009 9:08
  • Hola

     

    El subject es el nombre DNS exchange.empres.es sólo eso, no se agrega el https:// y lo de /owa, ya que en este caso el que interesa es solo nombre que se tiene en el DNS, el de usar el SAN es para que no tengas que hacer redirects en el OWA o generar un split en IIS para que eso funcione y tambien para que no tengas problemas con tus otros servicios para que no temarque error en el certificado.

     

    No entiendo porque un certificado Web afecta a los clientes outlook internos

     

    Bueno esto es por que estas haciendo uso de un servicio que es autodiscover que se tiene en Outlook 2007 y si usas Outlook Anywhere te afecta también a clientes Outlook 2003.

     

    Saludos

     

     

    lunes, 26 de enero de 2009 23:50
  • Hola

     Que yo sepa de servicios solo tengo el OWA y el Activesync....... y tampoco entiendo que interceda en clientes outlook

     

    viernes, 30 de enero de 2009 17:43