duda importar certificado verisign

Todas las respuestas

• 

  

  0

  Inicie sesión para votar

  El certificado te valdrá para el servicio que requieras siempre que el nombre DNS de acceso y el del certficado coincidan, es decir, que si el certificado está emitido a "owa.tudominio.es" y lo quieres usar para el SMTPS, el acceso a ese SMTP tiene que ser "owa.tudominio.es" y no otro nombre.

  Por otro lado, los certificados SSL no se instalan directamente en el IIS sino que se hace a través de la consola Exchange (la EMC) o desde PowerShell (EMS) con el cmdlet Import-ExchangeCertificate

  Managing SSL for a Client Access Server

  http://technet.microsoft.com/en-us/library/bb310795.aspx

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  jueves, 19 de mayo de 2011 11:56
• 

  

  0

  Inicie sesión para votar

  Muchas gracias Marc,

  ahora lo que me pasa es que los clientes outlook 2010 les sale dos mensajes al iniciar diciendo algo sobre de nombres no coiciden, en el mensaje aparecen como una listas de 3 pasos que se comprueban y los dos primeros me los valida pero el ultimo no; este mensaje les sale a los usuarios 2 veces.

  Os suena?

  Gracias

  jueves, 19 de mayo de 2011 14:57
• 

  

  0

  Inicie sesión para votar

  Puedes poner el error exacto?

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  jueves, 19 de mayo de 2011 15:07
• 

  

  0

  Inicie sesión para votar

  Hola Marc,

  Pues me sale un messagebox con:

  nombreservidor.dominio.local

  la informacion de que intercambia con este sitio no puede ser vista ni modificada por otras personas. No obstante, hay un problema con el certificado de seguridad del sitio.

  el certificado de seguridad es de una entidad certificadora de confianza. Esto me lo marca verde.

  la fecha del certificado de seguridad es valida. Esto me lo marca en verde.

  el nombre del certificado no es valido o no coincide con el nombre del sitio. Esto me lo marca en rojo es lo que falla porque mi el certificado que he importado verisign es mail.dominio.com y no nombreservidor.dominio.local como aparece en el messagebox.

  Como puedo solucionarlo?

  Gracias Marc

  viernes, 20 de mayo de 2011 11:07
• 

  

  0

  Inicie sesión para votar

  Entonces lo que debes hacer es cambiar el nombre publicado del OWA de "nombreservidor.dominio.local " a "mail.midominio.com".

  Revisa la configuración de las InternalUrl y las ExternalUrl de la parte OWA en los CAS.

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  viernes, 20 de mayo de 2011 11:16
• 

  

  0

  Inicie sesión para votar

  Hola Marc,

   

  El problema ese no me lo da al entrar al OWA, me lo da el cliente de outlook 2010 y no se como arreglarlo la verdad y la gente se nos queja de que tiene que aceptar los mensajes dos veces antes de acceder al correo con el cliente de outlook 2010.

  Muchas gracias Marc.

  lunes, 23 de mayo de 2011 10:03
• 

  

  0

  Inicie sesión para votar

  OWA no te lo dará si accedes desde Internet pero debería dártelo si intentas acceder "desde dentro" vía SSL con el nombre interno del CAS, que es lo que te ocurre con Outlook.

  Intenta cambiando el MSSTD publicado para que coindica con el nombre público del certificado a ver si se soluciona el error con el cmdlet

  Set-OutlookProvider EXPR -Server $null -CertPrincipalName msstd:mail.dominio.com

  Antes de cambiarlo, mira qué valor tiene con Get-OutlookProvider y anótalo por si hemos de revertir el cambio

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  lunes, 23 de mayo de 2011 10:30
• 

  

  0

  Inicie sesión para votar

  Gracias Marc,

   

  cuando lanzo el cmdlet que me dices me sale una tabla con este estilo

   

  [PS] C:\Windows\system32>Get-OutlookProvider

  Name                          Server                        CertPrincipalName             TTL
  ----                          ------                        -----------------             ---
  EXCH                                                                                      1
  EXPR                                                                                      1
  WEB                                                                                       1

   

  No se muy bien si es lo que me tiene que salir o no porque aquí no controlo mucho el tema.

  Gracias

  lunes, 23 de mayo de 2011 10:35
• 

  

  0

  Inicie sesión para votar

  Según ese resultado no hay valores establecidos.

  Puedes ejecutar este otro

  get-clientaccessserver | fl

  y decirme qué valores te muestra?

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  lunes, 23 de mayo de 2011 10:50
• 

  

  0

  Inicie sesión para votar

  Hola Marc, he cambiado algunos valores pero comento en los cambios

   

  [PS] C:\Windows\system32>get-clientaccessserver | fl

  
  RunspaceId                           : f9af956e-45db-410d-bd0e-823a4bd35738
  Name                                 :nombremaquina
  Fqdn                                 : nombremaquina.dominio.local
  OutlookAnywhereEnabled               : False
  AutoDiscoverServiceCN                : nombremaquina
  AutoDiscoverServiceClassName         : ms-Exchange-AutoDiscover-Service
  AutoDiscoverServiceInternalUri       : https://nombremaquina.dominio.local/Autodiscover/Autodiscover.xml
  AutoDiscoverServiceGuid              : 77378f46-2c66-4aa9-a6a6-3e7a48b19596
  AutoDiscoverSiteScope                : {ciudad}
  AlternateServiceAccountConfiguration :
  IrmLogEnabled                        : True
  IrmLogMaxAge                         : 30.00:00:00
  IrmLogMaxDirectorySize               : 250 MB (262,144,000 bytes)
  IrmLogMaxFileSize                    : 10 MB (10,485,760 bytes)
  IrmLogPath                           : C:\Program Files\Microsoft\Exchange Server\V14\Logging\IRMLogs
  MigrationLogLoggingLevel             : Information
  MigrationLogFilePath                 :
  MigrationLogMaxAge                   : 180.00:00:00
  MigrationLogMaxDirectorySize         : 10 GB (10,737,418,240 bytes)
  MigrationLogMaxFileSize              : 100 MB (104,857,600 bytes)
  IsValid                              : True
  ExchangeVersion                      : 0.1 (8.0.535.0)
  DistinguishedName                    : CN=nombremaquina,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),
                                         CN=Administrative Groups,CN=dominio,CN=Microsoft Exchange,CN=Services,CN=Conf
                                         iguration,DC=dominio,DC=local
  Identity                             : nombremaquina
  Guid                                 : 1e9b5287-0b8a-4d3f-b2cf-56b4eb4e09aa
  ObjectCategory                       : dominio.local/Configuration/Schema/ms-Exch-Exchange-Server
  ObjectClass                          : {top, server, msExchExchangeServer}
  WhenChanged                          : 19/05/2011 13:55:57
  WhenCreated                          : 17/05/2011 19:56:00
  WhenChangedUTC                       : 19/05/2011 11:55:57
  WhenCreatedUTC                       : 17/05/2011 17:56:00
  OrganizationId                       :
  OriginatingServer                    : controladordominio.dominio.local

   

  Donde he puesto nombremaquina.dominio.local es lo que me sale en los mensajes del outlook, es decir que siempre pillar el nombre de la maquina el fqdn, sin embargo el certificado lo tengo para mail.dominio.com y en el OWA sin problemas tanto dentro como fuera no me pide nada.

  Y ya no entro en activesync que no consigo que funcione nada :(, la verdad q estoy preocupado ya que al final no estoy consiguiendo las mejoras que pretendía.

  Muchas gracias Marc

   

  lunes, 23 de mayo de 2011 11:08
• 

  

  0

  Inicie sesión para votar

  Hola,

  Ese error yo lo tuve en una migración a Exchange 2007 pero veo que aún puedes aplicarlo para 2010.

  Exchange  2010 con el rol de Client Access Server instala de forma predeterminada un certificado autofirmado para garantizar la seguridad de sus servicios mediante https. Ya que el certificado es autofirmado sólo el mismo servidor confia en el pero no los clientes.

  Ahora bien, cuando tu agregas el certificado de Verisign mediante IIS, lo que haces es importarlo en almacén de certificados local del servidor y asignarlo a IIS para el uso de https, sin embargo los servicios no se cambian automáticamente (EWS, Autodiscover, OWA, IMAP, ActiveSync).

  Aqui lo que haces es asegurar que los nombres declarados en los servicios correspondan al de tu certificado mail.dominio.com.

  Para cambiar el valor de

  AutoDiscoverServiceInternalUri       : https://nombremaquina.dominio.local/Autodiscover/Autodiscover.xml

  ejecutas:

  Set-ClientAccessServer -Identity CASServer -AutoDiscoverServiceInternalUri

  https://mail.dominio.com/Autodiscover/Autodiscover.xml

  Para asegurar que realizaste el cambio vuelves a listar con get-clientaccessserver | fl

  Habra que hacer lo mismo para los demas servicios: EWS, OAB, Outlook Anywhere, ActiveSync Virtual Directory, UMVirtual Directory.

  Tode eso viene en la siguiente liga: http://www.shudnow.net/2007/08/10/outlook-2007-certificate-error/

  Ahora bien, para Exchange 2007 y 2010 se recomienda el uso de certificados UC para soportar más de un nombre. En uno de estos podrías colocar por ejemplo los nombres: mail.dominio.com, autodiscover.dominio.com, nombredehost.dominio.com, etc. Claro que un certificado público esto sería algo caro. Así que una alternativa es crear una Entidad Certificadora Interna donde tu habilites la emisión de certificados UC y hagas una configuración híbrida usando el nombre mail.dominio.com con el certificado verisign y los demás nombres autodiscover. dominio.com, nombrehosto.dominio.com, etc usando un cetificado emitido por tu Entidad Certificadora Interna.

  Espero no haberte enredado con esto último.

  Saludos!!!

  • Propuesto como respuesta Marc Salvador martes, 24 de mayo de 2011 8:08
  • Marcado como respuesta Jesus SanMol miércoles, 25 de mayo de 2011 9:25

  lunes, 23 de mayo de 2011 19:59
• 

  

  0

  Inicie sesión para votar

  Mira la respuesta de Miguel que es más o menos lo que te iba a responder yo, que hicieras que la dirección de InternalURI del CAS apuntara al nombre público de tu servidor.

  ---

  Saludos,
  
  Marc
  MCSA/MCSE 2003
  MCITP: Enterprise Administrator (Windows Server 2008)
  MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
  MCC: Microsoft Community Contributor 2011
  Citrix CCA

  • Marcado como respuesta Jesus SanMol miércoles, 25 de mayo de 2011 9:25

  martes, 24 de mayo de 2011 8:08
• 

  

  0

  Inicie sesión para votar

  Muchas gracias por las respuestas,

  No me queda muy claro si lo tengo que cambiar todo o solo con el internalURL para el autodiscover es suficiente.

  Bueno leo y releo para hacer el cambio, la verdad que el error del enlace que me indicais es exacto al mio pero a mi me parece dos veces :)

   

  Gracias un vez mas

  martes, 24 de mayo de 2011 11:01
• 

  

  0

  Inicie sesión para votar

  Miguel, muchas gracias por tu publicación, pude solucionar el mismo problema de Jesús, por eso recomiendo a Jesús realizar el procedimiento. Gracias 

  miércoles, 21 de septiembre de 2011 5:44