locked
Certificado Exchange 2010 y clientes con outlook RRS feed

  • Pregunta

  • El certificado ya está expedido. Está funcionando para el servicio IIS y SMTP exclusivamente.

    Y el problema es que los clientes Outlook 2010 reciben un warning al ingresar al cliente outlook

    Hay 2 checks ok y uno con cruz roja.

    La entidad emisora es correcta.

    La fecha del certificado es válida.

    Pero, el nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio.

    Como le puedo hacer para que ya no aparezca esta ventana (Alerta de Seguridad) cada vez que abro el cliente Outlook?

    De antemano muchas gracias por su apoyo!

    miércoles, 17 de septiembre de 2014 22:30

Respuestas

  • Exchange Server 2010 no soporta el comodín, lo que debes crear es un solo certificado pero con distintos nombres alternativos (SAN), aquí tienes una guía de Microsoft al respecto:

    http://technet.microsoft.com/en-us/library/aa995942(v=exchg.80).aspx

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Propuesto como respuesta Uriel Almendra viernes, 19 de septiembre de 2014 14:39
    • Marcado como respuesta Uriel Almendra lunes, 22 de septiembre de 2014 17:19
    jueves, 18 de septiembre de 2014 16:09
  • Hola Gomez,

    Agregando un poco a lo que te menciona Jesus, Podrias checar las siguientes cosas:

    1) Que el nombre del Outlook provider de para EXPR sea el mismo que el nombre del certificado. Esto es por ejemplo si el friendly name de tu certificado es: "certificado de owa". Por buena practica se recomienda nombrar el certificado con el common name. Entonces deberias modificar tu Outlook provider para que apunte a: msstd:owa.adatum.com por ejemplo

    2)En ocasiones me paso que esto se debia a problemas de Autodiscover, ya sea que no se esten resolviendo bien las URLs o que estas esten mal apuntadas desde Exchange

    Saludos


    Saludos cordiales | Exchange Trainer | MCDST-MCTS-MCITP-MCSA-MCT

    • Propuesto como respuesta Uriel Almendra viernes, 19 de septiembre de 2014 14:40
    • Marcado como respuesta Uriel Almendra lunes, 22 de septiembre de 2014 17:19
    viernes, 19 de septiembre de 2014 4:05

Todas las respuestas

  • Hola,

    Lo tercero que falta para que la verificación del certificado sea correcta es el nombre del sujeto o san, por ejemplo:

    Si el usuario se conecta como:

    mail.empresa.com/owa, entonces el certificado debe tener el nombre mail.empresa.com

    Si el usuario se conecta como:

    owa.empresa.com/owa, entonces el certificado debe tener el nombre owa.empresa.com

    Cuando necesitas varios nombres se usa un certificado que soporte SAN (nombres alternativos de sujeto), los emisores públicos de confianza lo venden como certificados multi dominio.

    Espero te sea de ayuda!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    jueves, 18 de septiembre de 2014 0:58
  • Hola Jesús,

    El certificado lo pedi del exchange y la entidad certificadora es el servidor con el ad ds; posteriormente lo importe al exchange.

    Otra cosa es que prove creando el certificado de las dos maneras como *.dominio.com y como no funciono lo hice como correo.dominio.com y tampoco funciona.

    Alguna sugerencia?

    gracias!

    jueves, 18 de septiembre de 2014 2:15
  • Ok, entonces verifica que el certificado tenga estos nombres:

    Common name:

    correo.dominio.com

    SANs:

    correo.dominio.com
    Autodiscover.dominio.com
    dominio.com

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    jueves, 18 de septiembre de 2014 2:53
  • tengo que crear 3 certificados?

    o puedo utilizar el comodin?

    *.dominio.com?

    jueves, 18 de septiembre de 2014 14:58
  • Exchange Server 2010 no soporta el comodín, lo que debes crear es un solo certificado pero con distintos nombres alternativos (SAN), aquí tienes una guía de Microsoft al respecto:

    http://technet.microsoft.com/en-us/library/aa995942(v=exchg.80).aspx

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Propuesto como respuesta Uriel Almendra viernes, 19 de septiembre de 2014 14:39
    • Marcado como respuesta Uriel Almendra lunes, 22 de septiembre de 2014 17:19
    jueves, 18 de septiembre de 2014 16:09
  • Te agradezco mucho Jesús voy a probar esto, y te aviso el resultado. Una pregunta, anteriormente tenía instalado el certificado con comodin, y no tuve problemas porque ahora sí los tengo? gracias!
    jueves, 18 de septiembre de 2014 16:34
  • Hola,

    Espero que las pruebas resulten bien.

    Habría que saber como estaba definida la configuración y con que version de Exchange estabas trabajando, lo cierto es que el comodín es todo un dilema con Exchange 2010, ya en 2013 está soportado perfectamente aunque por temas de seguridad es algo que no se recomienda.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    viernes, 19 de septiembre de 2014 0:47
  • Hola Gomez,

    Agregando un poco a lo que te menciona Jesus, Podrias checar las siguientes cosas:

    1) Que el nombre del Outlook provider de para EXPR sea el mismo que el nombre del certificado. Esto es por ejemplo si el friendly name de tu certificado es: "certificado de owa". Por buena practica se recomienda nombrar el certificado con el common name. Entonces deberias modificar tu Outlook provider para que apunte a: msstd:owa.adatum.com por ejemplo

    2)En ocasiones me paso que esto se debia a problemas de Autodiscover, ya sea que no se esten resolviendo bien las URLs o que estas esten mal apuntadas desde Exchange

    Saludos


    Saludos cordiales | Exchange Trainer | MCDST-MCTS-MCITP-MCSA-MCT

    • Propuesto como respuesta Uriel Almendra viernes, 19 de septiembre de 2014 14:40
    • Marcado como respuesta Uriel Almendra lunes, 22 de septiembre de 2014 17:19
    viernes, 19 de septiembre de 2014 4:05