none
Oulook Anyware y Certificados Internos RRS feed

Respuestas

  • Hola!

    Eso va a depender de la configuración DNS, es decir si la organización usa nombres DNS que son publicos, pero no tiene un split DNS en la zona DNS de Active Directory, se debe utilizar un nombre DNS para las conexiones internas que por ejemplo corresponda a la zona de Active Directory y en caso donde se utiliza un .local las entidades certificantes publicas no lo tomaran como valido, es por eso que se debe asignar un certificado digital de entidad interna y uno de terceros para la publicación externa.

    Dicha configuración esta explicita en el asistente de implementaciones de Exchange:

    https://technet.microsoft.com/en-us/office/dn756393.aspx

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Moderador M lunes, 6 de abril de 2015 21:41
    • Marcado como respuesta Moderador M jueves, 9 de abril de 2015 16:48
    jueves, 2 de abril de 2015 3:32

Todas las respuestas

  • Hola Orlangel, como poder se puede pero no es la mejor solución. El tema principal es que los distintos servicios y dispositivos que se conecten al Exchange no necesariamente van a confiar en la entidad certificadora interna lo que derivaría en tener que ir cargando manualmente la llave pública de la CA.

    Te dejo 2 links con info adicional en relación a certificados, son para Exchange 2013 pero conceptualmente es muy similar en Exchange 2010:

    saludos!

    daniel


    Consultor IT | MCSE - MCSA - MCITP - MCTS
    AprendiendoExchange.com


    martes, 31 de marzo de 2015 23:17
  • Orlangel,

    ¿Como estas? El tema es el siguiente, las mejores practicas indican que es recomendado utilizar una entidad certificante interna para emitir el certificado que utilizaran todas las maquinas que se conecten dentro de tu red, es decir que se conecten directamente hacia el servidor Exchange Server, ya que se debe utilizar los nombres internos de los servidores y las entidades publicas ya no permiten eso, es decir si tu nombre de servidor es servidor.tuad.local no lo podras incluir es un certificado de entidad publica.

    En caso de las conexiones externas, es decir, que pasen por tu publicador, ya sea un firewall o un proxy reverso, si es recomendado utilizar un certificado de entidad publica como puede ser GoDaddy o DigiCert, de esta forma cualquier equipo va a confiar en dicho certificado y ademas no expondras ningun nombre de servidor en forma externa.

    Te dejo unos links sobre certificados digitales:

    https://technet.microsoft.com/es-es/library/dd351044(v=exchg.141).aspx

    http://exchangeserverpro.com/ssl-requirements-for-exchange-when-certificate-authorities-wont-issue-certificate/

    http://exchangeserverpro.com/avoiding-exchange-2013-server-names-ssl-certificates/

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Moderador M miércoles, 1 de abril de 2015 22:50
    miércoles, 1 de abril de 2015 13:24
  • Estimado, como bien se indica en el siguiente artículo de microsoft: https://technet.microsoft.com/en-us/library/dd351044%28v=exchg.150%29.aspx la "mejor practica" es utilizar certificados de terceros, en adición no se recomienda utilizar nombre de servidores internos a nivel de configuración (incluyendo certificados):

    Best practice: Use a trusted third-party certificate

    To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. This is because most clients already trust their root certificates. There are several third-party certificate issuers that offer certificates configured specifically for Exchange. You can use the EAC to generate certificate requests that work with most certificate issuers.


    Consultor IT | MCSE - MCSA - MCITP - MCTS
    AprendiendoExchange.com

    • Propuesto como respuesta Moderador M miércoles, 1 de abril de 2015 22:50
    miércoles, 1 de abril de 2015 19:24
  • Hola!

    Eso va a depender de la configuración DNS, es decir si la organización usa nombres DNS que son publicos, pero no tiene un split DNS en la zona DNS de Active Directory, se debe utilizar un nombre DNS para las conexiones internas que por ejemplo corresponda a la zona de Active Directory y en caso donde se utiliza un .local las entidades certificantes publicas no lo tomaran como valido, es por eso que se debe asignar un certificado digital de entidad interna y uno de terceros para la publicación externa.

    Dicha configuración esta explicita en el asistente de implementaciones de Exchange:

    https://technet.microsoft.com/en-us/office/dn756393.aspx

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Moderador M lunes, 6 de abril de 2015 21:41
    • Marcado como respuesta Moderador M jueves, 9 de abril de 2015 16:48
    jueves, 2 de abril de 2015 3:32