none
CERTIFICADO DE SEGURIDAD EN SEGUNDO SERVIDOR DE EXCHANGE 2013 RRS feed

  • Pregunta

  • Buenos Dias, instale un servidor de exchange 2013 hasta aqui todo bien, funciona perfectamente, ahora instale un segundo servidor, cree el registro en dns de estos 2 servidores "mail.miservidor.com ip: servidor 1" "mail.miservidor.com ip: servidor 2" hasta aqui todo bien, me contesta uno y me contesta el otro a nivel de CAS, haciendo uso de Round Robin en el DNS, sin embargo cuando me contesta el segundo trae el certificado auto-firmado del segundo que esta por defecto, yo quiero que siempre tome el certificado que cree en la CA, del primer servidor la pregunta es:

    Que Hacer, borro los certificados del servidor 2?, esto no afectaria el comportamiento de este IIS?

    creo un certificado similar en el segundo servidor en mi CA.

    Gracias.


    mcarrero

    martes, 26 de mayo de 2015 13:27

Respuestas

  • Hola Marco, lo que tendrías que hacer es exportar el certificado junto a su llave privada en el "servidor1" e importarlo en el nuevo servidor. Luego tendrías que habilitar los servicios de Exchange para que utilicen este certificado.

    Te dejo links con el procedimiento:

    Saludos!

    daniel


    Consultor IT | MCSE - MCSA - MCITP - MCTS
    AprendiendoExchange.com



    miércoles, 27 de mayo de 2015 15:06
  • Hola

    disculpa por favor la demora en contestar.... tuve dias muy pesados previamente.. pero.. aca continuamos..

    Por un lado, repondiendo a la consulta:

    Supongo que esto es porque estan integrados al mismo Active Directory, asi mismo no deberian de funcionar los certificados ?

    No, realmente es cada servidor que guarda sus propios certificados, cada uno de ellos debera tener el mismo certificado, que por cierto es Exportable,,,  junto a su "llave privada"..  en la consola de administracion web (EAC) se visualizan y administran, pero puedes identificar que no tienen los mismos certificados cuando accedes a cada uno en la consola de certmgr.msc  (con cuenta de la maquina:   mmc> certificates) si los buscas quiza no encuentres a ambos... tambien puedes comprobar que cuentan con ellos si buscan el certificado asignado a los "bindings"  o "enlaces" de cada uno de los "Default Web Sites"  de tu "IIS manager"... en las configuracion de https ..  ahi lo veras...

    Saludos.

    • Propuesto como respuesta Moderador M miércoles, 3 de junio de 2015 20:35
    • Marcado como respuesta Marco Carrero jueves, 4 de junio de 2015 13:52
    martes, 2 de junio de 2015 17:40

Todas las respuestas

  • Hola Marco

    Una consulta,

    ¿Cuando escribes:

    "me contesta el segundo trae el certificado auto-firmado del segundo que esta por defecto"   como identificas esto? que comando ejecutas que te responde con el certificado que mencionas? o.,.. que sitio abres?

    Por otro lado...¿Que servicios tienen asignados cada uno de estos certificados?

    Puedes obtener el resultado con

    Get-ExchangeCertificate | fl                  ****hacerlo en cada uno de los servidores****

    Algo importante es identificar que uso le darás a los certificados..  a grandes rasgos te platico que un certificado para su uso en Exchange deberá ser generado con un template de "web server", desde tu CA.. tu CA generalmente podrá utilizar ese template... también es importante que lo guardes en el almacén correcto.(tRUSTEd)..con cuenta de "Local Machine" ...  (eso es en la consola de certificados: mmc>certificates)....   algo que NO te recomiendo es borrar certificados... le puedes asignar los servicios de IIS, SMTP, POP, IMAP, etc...  a uno nuevo, pero te recomiendo no borrarlo.... pues finalmente los servicios que tiene asignados son los que determinan su uso.... al menos no lo hagas de inicio sin estar seguro que realmente ya no es utilizado.

    Saludos!

    martes, 26 de mayo de 2015 13:59
  • Hola Joel Gracias por tu respuesta, bueno explico un poco mejor, cada servidor de exchange tiene su propio almacén de certificados, actualmente si un usuario entra https://owa.mail.dominio.com, puede que responda el servidor 1 o responde el servidor 2, esto lo hace el round robin del dns, esa es la expresion "me contesta",  bueno cuando responde el servidor 2 de exchange pues alli no tengo certificados solo el que viene por defecto y pues sale que no es confiabel etc etc etc, mi pregunta es si yo instale un segundo servidor de exchange 2013 asi como se integran ambos, que si abro el primero puedo administrar al igual que si abro el segundo puedo administrar tambien, supongo que esto es porque estan integrados al mismo Active Directory, asi mismo no deberian de funcionar los certificados ?

    Yo instale una CA, y alli genere el certificado que esta funcionando bien el servidor 1.

    Saludos


    mcarrero

    martes, 26 de mayo de 2015 14:08
  • Hola Marco, lo que tendrías que hacer es exportar el certificado junto a su llave privada en el "servidor1" e importarlo en el nuevo servidor. Luego tendrías que habilitar los servicios de Exchange para que utilicen este certificado.

    Te dejo links con el procedimiento:

    Saludos!

    daniel


    Consultor IT | MCSE - MCSA - MCITP - MCTS
    AprendiendoExchange.com



    miércoles, 27 de mayo de 2015 15:06
  • Hola

    disculpa por favor la demora en contestar.... tuve dias muy pesados previamente.. pero.. aca continuamos..

    Por un lado, repondiendo a la consulta:

    Supongo que esto es porque estan integrados al mismo Active Directory, asi mismo no deberian de funcionar los certificados ?

    No, realmente es cada servidor que guarda sus propios certificados, cada uno de ellos debera tener el mismo certificado, que por cierto es Exportable,,,  junto a su "llave privada"..  en la consola de administracion web (EAC) se visualizan y administran, pero puedes identificar que no tienen los mismos certificados cuando accedes a cada uno en la consola de certmgr.msc  (con cuenta de la maquina:   mmc> certificates) si los buscas quiza no encuentres a ambos... tambien puedes comprobar que cuentan con ellos si buscan el certificado asignado a los "bindings"  o "enlaces" de cada uno de los "Default Web Sites"  de tu "IIS manager"... en las configuracion de https ..  ahi lo veras...

    Saludos.

    • Propuesto como respuesta Moderador M miércoles, 3 de junio de 2015 20:35
    • Marcado como respuesta Marco Carrero jueves, 4 de junio de 2015 13:52
    martes, 2 de junio de 2015 17:40