none
Exchange 2010 certificato self signed RRS feed

  • Domanda

  • Dopo aver letto diversi post a riguardo, non sono riuscito a venirne a capo

    - Server Exchange 2010 (SP2) su windows server 2008 R2 (srvdc.xxx.lan)

    - Client Outlook 2010

    - Outlook Anywhere abilitato (mail.xxx.it) basic auth

    Invio e ricezione mail da e internet tutto OK (user@xxx.it), quindi connettori ok etc...

    in dominio (stessa lan) tutto ok

    Il problema è quando lancio la configurazione di un client Outlook 2010 all'esterno del dominio e della lan (p.e. da casa). Inserisco il nome del server, user e password,  Autodiscover trova il server per l'autenticazione e mi propone il certificato.

    Anche se installo il certificato in locale (nella root, o intermediate path) non vuole saperne di connetersi 

    "errore server proxy... codice 8

    qualche suggerimento?

    dove mi sono perso?

    venerdì 30 novembre 2012 14:55

Risposte

  • Collegati alla tua CA via web  (https://srvdc.domain.lan/certsrv avevi scritto in un tuo post precedente)

    e clicca su "Download a CA certificate, certificate chain, or CRL" e poi su "Download CA certificate" per scaricare il certificato.

    La "distribuzione facile" ai client esterni è un po' più laboriosa come operazione. Ti illustro come faccio io:

    1. Ho creato un file autoestraente (un .exe quindi) con WinRAR che contiene il certificato CA, un batch script e un paio di file di file a supporto. L'autoestraente è programmato per lanciare lo script ad estrazione completata. Sfruttando una caratteristica di WinRAR, l'autoestraente chiede di elevare i permessi in fase di esecuzione, dettaglio fondamentale per la corretta installazione del certificato sotto Vista/7/8 e corrispettivi os server mentre XP lo ignora e procede tranquillamente.
    2. Ho messo l'autoestraente di cui al punto 1 su un sito web aziendale raggiungibile da internet. Gli utenti esterni che hanno bisogno del certificato CA vanno su questo sito, scaricano l'exe e lo lanciano. Fatto.

    Se vuoi ti passo l'exe privo del mio certificato CA, così ci aggiungi il tuo e hai il pacchetto bello e pronto.

    Ciao,

     

    Dario Palermo

    • Proposto come risposta NinoRCTN domenica 2 dicembre 2012 09:36
    • Contrassegnato come risposta Anca Popa venerdì 7 dicembre 2012 11:01
    domenica 2 dicembre 2012 09:03

Tutte le risposte

  • fai le prove con l'ExRCA:

    https://www.testexchangeconnectivity.com/

    e posta i risultati così li analizziamo insieme, se vuoi (ricordati di anonimizzarli).

    Ciao,


    Dario Palermo

    venerdì 30 novembre 2012 17:36
  • ExRCA is attempting to build certificate chains for certificate CN=mail.xxxxx.it, OU=xxxxxx, O=xxxxxx, L=Città, S=Pr, C=IT.
      A certificate chain couldn't be constructed for the certificate.
     
    Dettagli aggiuntivi
      The certificate chain couldn't be built. You may be missing required intermediate certificates.

    una domanda?

    sui pc client con Outlook, quali certificati devo installare e come?

    • Modificato gabrigabra venerdì 30 novembre 2012 17:47
    venerdì 30 novembre 2012 17:46
  • Ciao, a mio avviso hai sbagliato l'emissione del certificato e l'fqdn od i san non sono corretti.

    Per funzionare anywhere deve avere i seguenti requisiti minimi

    - installare rpc over https come feature sul server

    - abilitare anywhere dalla console di exchange

    - l'fqdn specificato nelle proprietà dell'anywhere devono coincidere col nome nel certificato emesso

    quindi, se nel tuo anywhere si chiama exchange.nomeserver.com il tuo certificato dovrà avere come nome exchange.nomeserver.com e dovrà (se non hai girato il record interno) esistere un record A sull'hosting che al nome exchange.nomeserver.com associerà l'indirizzo ip pubblico di dove risiede il tuo server (dove avrai preventivamente girato la 443 tcp sul server che mantiene il ruolo CAS).

    Sostanzialmente sul client non devi fare nulla se non installare il certificato esportato in .cer dal server exchange SENZA chiave privata nelle fonti di certificazione radice.

    Questo scenario è uno scenario SENZA autodiscover e con un Single Name del server, quindi molto banale. In caso di autodiscover il certificato dovrà contenere anche i san dell'autodiscover. Volendo puoi mettere come san anche il nome del server interno e quello netbios ma ripeto NON sono necessari per forza. I miei server funzionano tutti lo stesso con un unico nome certificato.

    Ciao.

    A.

    sabato 1 dicembre 2012 09:33
    Moderatore
  • Ciao, a mio avviso hai sbagliato l'emissione del certificato e l'fqdn od i san non sono corretti.

    Per funzionare anywhere deve avere i seguenti requisiti minimi

    - installare rpc over https come feature sul server

    - abilitare anywhere dalla console di exchange

    - l'fqdn specificato nelle proprietà dell'anywhere devono coincidere col nome nel certificato emesso

    quindi, se nel tuo anywhere si chiama exchange.nomeserver.com il tuo certificato dovrà avere come nome exchange.nomeserver.com e dovrà (se non hai girato il record interno) esistere un record A sull'hosting che al nome exchange.nomeserver.com associerà l'indirizzo ip pubblico di dove risiede il tuo server (dove avrai preventivamente girato la 443 tcp sul server che mantiene il ruolo CAS).

    Sostanzialmente sul client non devi fare nulla se non installare il certificato esportato in .cer dal server exchange SENZA chiave privata nelle fonti di certificazione radice.

    Questo scenario è uno scenario SENZA autodiscover e con un Single Name del server, quindi molto banale. In caso di autodiscover il certificato dovrà contenere anche i san dell'autodiscover. Volendo puoi mettere come san anche il nome del server interno e quello netbios ma ripeto NON sono necessari per forza. I miei server funzionano tutti lo stesso con un unico nome certificato.

    Ciao.

    A.

    Intanto grazie per il supporto che mi stai dando...

    nella EMC ho 3 certificati. uno di questi l'ho creato tramite il wizard di EMC (exchange01), ho salvato il file .req, quindi l'ho aperto con notepad , ho fatto il copia e incolla nella CA (sempre sullo stesso server) quindi ho scaricato il certificato e ho completato l'operazione di import in EMC.

    A questo punto ho assegnato i servizi al nuovo certificato (exchange01) IMAP-POP3-SMTP-IIS .

    n.b. nella colonna "Autofirmato" me lo indica come FALSO (perchè?)

    ho poi esportato il certificato, l'ho importato su di un client e installato nella radice attendibile, ma non funziona

    p.s. Outlook Anywhare ha come nome host esterno: mail.domain.it, il certificato (exchange01) risulta rilasciato a: mail.domain.it

    dove sbaglio?


    • Modificato gabrigabra sabato 1 dicembre 2012 09:59
    sabato 1 dicembre 2012 09:59
  • Nei client è installato il certificato della CA?

    Ciao,


    Dario Palermo

    sabato 1 dicembre 2012 10:01
  • Dario non è obbligatorio esportare la catena. Se il certificato è corretto e viene messo nel punto giusto non da più l'errore. 

    Io non uso mai il generatore di exchange, uso selfssl.exe dall'iis toolkit. (si scarica). Emetto il certificato col nome esatto dell'anywhere e gli metto scadenza 10 anni così non stressa più.

    Fatto questo me lo ritrovo nei certificati in exchange, gli assegno i servizi e tolgo tutti gli altri certificati che non mi servono più a nulla. A quel punto dall'mmc certificati del server esporto il certificato in .cer senza chiave privata e me lo importo nel client. E tutto funziona alla grande.

    Secondo me l'errore qui sta o nell'esportazione del certificato oppure in come viene creato. Oltretutto non capisco...se hai la CA su questo server perchè vai di request prima...tanto vale farglielo creare diretto..che cambia? 

    Fai una semplice prova di aprire owa col nome fqdn del certificato (se puoi farlo internamente, non so se hai il record) per come configuro io o splitto il dns oppure creo una zona interna in modo che a quel nome da dentro e da fuori risponda sempre il mio server exchange. L'owa NON deve dare errore di certificato. Se lo da hai sbagliato qualcosa nell'emissione, se non lo da vuol dire che se configuri il client anche internamente e flagghi l'rpc over https deve funzionare. 

    A.

    PS Ma rpc over http l'hai installato vero...perchè leggo un errore server proxy...
    sabato 1 dicembre 2012 10:16
    Moderatore
  •  @Alessandro

    Si ovvio, ma se uno ha una CA, per quanto privata, tanto vale usarla! Meglio esportare il solo certificato della CA piuttosto che ogni singolo certificato server sui client...

    Forse sono stato un po' troppo sintetico nel post... ;)

    Ciao,


    Dario Palermo

    sabato 1 dicembre 2012 10:41
  • Nei client è installato il certificato della CA?

    Ciao,


    Dario Palermo

    da dove lo installo?

    ma quanti certificati devo installare? CA + Exchange o basta solo uno per tutto? e poi perchè il certificato generato da EMC lo indica come FALSO?

    sabato 1 dicembre 2012 11:19
  • Di norma quando si usa una CA è bene (e sufficiente) distribuire il solo certificato CA ai client. Ed infatti, il vantaggio di comprare certificati SSL da CA pubbliche è che i client hanno già il certificato CA in pancia e quindi non c'è bisogno di alcuna distribuzione, semplificando il lavoro soprattutto quando si hanno client esterni all'organizzazione (su quelli interni la distribuzione avviene attraverso Active Directory automaticamente).

    Esporta il certificato CA dal server (SENZA LA PK!) ed aggiungilo sui client come autorità di certificazione radice attendibile.

    Il certificato non è autofirmato nel tuo caso (l'ha emesso una autorità di certificazione, per quanto privata ed installata sullo stesso server).

    Puoi fare i test con l'ExRCA, dicendogli di ignorare gli errori di certificato?

    Inoltre, come suggerito da Alessandro, prova le connessioni da browser sia ad OWA sia all'indirizzo esterno di autodiscover e riporta eventuali errori di certificato.

    Ciao,


    Dario Palermo

    sabato 1 dicembre 2012 11:27
  • Di norma quando si usa una CA è bene (e sufficiente) distribuire il solo certificato CA ai client. Ed infatti, il vantaggio di comprare certificati SSL da CA pubbliche è che i client hanno già il certificato CA in pancia e quindi non c'è bisogno di alcuna distribuzione, semplificando il lavoro soprattutto quando si hanno client esterni all'organizzazione (su quelli interni la distribuzione avviene attraverso Active Directory automaticamente).

    Esporta il certificato CA dal server (SENZA LA PK!) ed aggiungilo sui client come autorità di certificazione radice attendibile.

    Il certificato non è autofirmato nel tuo caso (l'ha emesso una autorità di certificazione, per quanto privata ed installata sullo stesso server).

    Puoi fare i test con l'ExRCA, dicendogli di ignorare gli errori di certificato?

    Inoltre, come suggerito da Alessandro, prova le connessioni da browser sia ad OWA sia all'indirizzo esterno di autodiscover e riporta eventuali errori di certificato.

    Ciao,


    Dario Palermo

    è esattamente quello che ho fatto, ma non funziona

    riepilogando:

    - nuova richiesta di certificato in EMC

    - generazione e download del certificato (64bit) dal server (https://srvdc.domain.lan/certsrv)

    - import del certificato in EMC

    - Assegnazione dei servizi al certificato (IMAP-SMTP...)

    - export del nuovo certificato (con password)

    - installazione del certificato sul client outlook

    p.s. quando importo il certificato nel client, lo mette nei "certificati personali" e non nella radice delle auth attendibili, come mai?

    • Modificato gabrigabra sabato 1 dicembre 2012 12:09
    sabato 1 dicembre 2012 11:59
  • p.s. quando importo il certificato nel client, lo mette nei "certificati personali" e non nella radice delle auth attendibili, come mai?

    ecco dove sta il problema! Guarda che ce lo devi mettere tu nelle autorità radice, mai al mondo un certificato che installi ci va a finire da solo!! Se gli dici "metti automaticamente" lui te lo mette nei personali. Fai manuale e mettilo al posto giusto! e secondo me il problema sta tutto li...quindi riceveresti errore anche da owa!

    A.

    sabato 1 dicembre 2012 12:13
    Moderatore
  • p.s. quando importo il certificato nel client, lo mette nei "certificati personali" e non nella radice delle auth attendibili, come mai?

    ecco dove sta il problema! Guarda che ce lo devi mettere tu nelle autorità radice, mai al mondo un certificato che installi ci va a finire da solo!! Se gli dici "metti automaticamente" lui te lo mette nei personali. Fai manuale e mettilo al posto giusto! e secondo me il problema sta tutto li...quindi riceveresti errore anche da owa!

    A.

    non faccio l'import automatico, bensi seleziono manualmente dove salvarlo ma non me lo ritrovo

    se faccio l'import automatico allora lo inserisce in quelli personali

    update:

    - ho cancellato tutti i certificati presenti in EMC (ho lasciato solo quello originale quando ho installato exchange)

    - ho riavviato il server e mi ritrovo un nuovo certificato: senza nome, autofirmato(vero), servizi (SMTP)

    • Modificato gabrigabra sabato 1 dicembre 2012 12:41
    sabato 1 dicembre 2012 12:17
  • no, qualcosa non va nel client. deve metterlo dove vuoi tu non dove vuole lui...Ora ti trovi solo quello iniziale. riparti da zero. :-)

    A.

    sabato 1 dicembre 2012 12:56
    Moderatore
  • Forse è il caso di chiarire un attimo come funzionano i certificati... :)

    Prima di tutto, un certificato serve per due motivi:

    1) Autenticazione

    2) Crittografazione

    Il primo scopo lo si raggiunge esclusivamente se c'è, oltre che il server e il client, un terzo soggetto che garantisce l'identità del certificato sul server. Questo terzo soggetto è la CA (che può a sua volta essere certificata da terze parti).

    Il certificato autofirmato, infatti, autentica se stesso. Ma chiunque può autenticare se stesso come vuole... pensa se ognuno di noi potesse scriversi la propria carta d'identità!

    Ora, per fare in modo che i client ritengano valido il certificato del tuo Exchange, devono fidarsi della CA che l'ha emesso, ossia della tua CA. Devi quindi esportare il certificato CA dalla tua autorità di certificazione ed importarlo nei client, nello store appropriato. Su XP ti basterebbe un semplice doppio clic sul file, ci pensa lui a dirti che stai importanto un certificato CA che andrà a finire nello store apposito.

    Su Vista/7/8 non puoi procedere in questo modo. Devi aprire una mmc, aggiungere l'applet certificati (utente se vuoi che l'autorità di certificazione venga ritenuta valida per il solo utente e computer se vuoi che tutti gli utenti che si loggano sul portatile vedano la CA come valida), selezionare lo store Autorità di certificazione radice attendibile e importarci dentro il tuo certificato CA.

    Dopo fai le prove da browser collegandoti ad OWA ad esempio.

    PS

    Se importi il certificato CA, lo ribadisco, non dovrai più toccare nulla un domani per validare i certificati emessi dalla tua CA per altri servizi (siti web ad esempio), per cui è la strada da preferire rispetto all'importazione del singolo certificato assegnato ad Exchange.

    Tutto chiaro?

    Ciao,


    Dario Palermo

    sabato 1 dicembre 2012 19:03
  • Forse è il caso di chiarire un attimo come funzionano i certificati... :)

    Prima di tutto, un certificato serve per due motivi:

    1) Autenticazione

    2) Crittografazione

    Il primo scopo lo si raggiunge esclusivamente se c'è, oltre che il server e il client, un terzo soggetto che garantisce l'identità del certificato sul server. Questo terzo soggetto è la CA (che può a sua volta essere certificata da terze parti).

    Il certificato autofirmato, infatti, autentica se stesso. Ma chiunque può autenticare se stesso come vuole... pensa se ognuno di noi potesse scriversi la propria carta d'identità!

    Ora, per fare in modo che i client ritengano valido il certificato del tuo Exchange, devono fidarsi della CA che l'ha emesso, ossia della tua CA. Devi quindi esportare il certificato CA dalla tua autorità di certificazione ed importarlo nei client, nello store appropriato. Su XP ti basterebbe un semplice doppio clic sul file, ci pensa lui a dirti che stai importanto un certificato CA che andrà a finire nello store apposito.

    Su Vista/7/8 non puoi procedere in questo modo. Devi aprire una mmc, aggiungere l'applet certificati (utente se vuoi che l'autorità di certificazione venga ritenuta valida per il solo utente e computer se vuoi che tutti gli utenti che si loggano sul portatile vedano la CA come valida), selezionare lo store Autorità di certificazione radice attendibile e importarci dentro il tuo certificato CA.

    Dopo fai le prove da browser collegandoti ad OWA ad esempio.

    PS

    Se importi il certificato CA, lo ribadisco, non dovrai più toccare nulla un domani per validare i certificati emessi dalla tua CA per altri servizi (siti web ad esempio), per cui è la strada da preferire rispetto all'importazione del singolo certificato assegnato ad Exchange.

    Tutto chiaro?

    Ciao,


    Dario Palermo

    Ottima delucidazione!

    un paio di chiarimenti:

    - come esporto dal server CA il certificato della CA (da importare poi sui client)

    - e se esiste un modo alternativo oltre all'installazione manuale sui client,  per distribuire il suddetto Certificato in maniera automatica per i pc fuori dominio (via browser per esempio)



    • Modificato gabrigabra domenica 2 dicembre 2012 08:01
    domenica 2 dicembre 2012 08:00
  • Intervengo con un esempio pratico senza entrare in merito alla discussione che state portando avanti che è molto interessante e costruttiva.

    Per installare la CA direttamente sul client con IE vai su OWA: https://mail.miodominio.it/owa, dovresti ricevere la segnalazione che il sito non ha un certificato valido, prosegui.

    Nella pagina di login, accanto all'indirizzo dovresti avere il lucchetto sicurezza aperto, segno della mancanza del certificato. Click sul lucchetto e selezioni "Visualizza certificati".

    Verrà visualizzato lo stato del certificato con evidenziato che il certificato radice CA non è presente sul client (certificato_1).

    certificato_1

    Installa il certificato selezionando l'opzione "Colloca tutti i certificati nel seguente archivio"  > "Autorità di certificazione radice attendibili" (certificato_2).

    certificato_2


    Segue >
    • Modificato NinoRCTN domenica 2 dicembre 2012 09:04
    domenica 2 dicembre 2012 09:03
  • Collegati alla tua CA via web  (https://srvdc.domain.lan/certsrv avevi scritto in un tuo post precedente)

    e clicca su "Download a CA certificate, certificate chain, or CRL" e poi su "Download CA certificate" per scaricare il certificato.

    La "distribuzione facile" ai client esterni è un po' più laboriosa come operazione. Ti illustro come faccio io:

    1. Ho creato un file autoestraente (un .exe quindi) con WinRAR che contiene il certificato CA, un batch script e un paio di file di file a supporto. L'autoestraente è programmato per lanciare lo script ad estrazione completata. Sfruttando una caratteristica di WinRAR, l'autoestraente chiede di elevare i permessi in fase di esecuzione, dettaglio fondamentale per la corretta installazione del certificato sotto Vista/7/8 e corrispettivi os server mentre XP lo ignora e procede tranquillamente.
    2. Ho messo l'autoestraente di cui al punto 1 su un sito web aziendale raggiungibile da internet. Gli utenti esterni che hanno bisogno del certificato CA vanno su questo sito, scaricano l'exe e lo lanciano. Fatto.

    Se vuoi ti passo l'exe privo del mio certificato CA, così ci aggiungi il tuo e hai il pacchetto bello e pronto.

    Ciao,

     

    Dario Palermo

    • Proposto come risposta NinoRCTN domenica 2 dicembre 2012 09:36
    • Contrassegnato come risposta Anca Popa venerdì 7 dicembre 2012 11:01
    domenica 2 dicembre 2012 09:03
  • Prosegui e confermi l'installazione del certificato CA (certificato_3).

    certificato_3

    Chiudi e riapri IE, ti riconnetti ad OWA (https://mail.miodominio.it/owa), non ti verrà segnalato l'errore certificato ed il lucchetto sarà chiuso.

    Saluti

    Nino

    domenica 2 dicembre 2012 09:07
  • @NinoRCTN

    Abbiamo incrociato i flussi... ehm... i post :)

    Si, il tuo metodo va benissimo ed è tutto sommato semplice... ma vallo a far fare agli utenti ignoranti (il 95%, poi c'è anche un 5% di ignoranti e presuntuosi!)

    Ciao,


    Dario Palermo

    domenica 2 dicembre 2012 09:09
  • @Alessandro

    Interessante l'utilizzo di selfssl, in particolare per gli ambienti che già si sa che non acquisteranno un certificato.

    Saluti

    Nino


    • Modificato NinoRCTN domenica 2 dicembre 2012 09:21
    domenica 2 dicembre 2012 09:11
  • Ovviamente non mi riferisco a gabrigabra quando dico "utenti", ma agli utenti dei sistemi che gestiamo noi tecnici.

    Ciao,


    Dario Palermo

    domenica 2 dicembre 2012 09:11
  • Dario,

    la procedura funziona perfettamente!!!

    ho scaricato il certificato e installato sul client manualmente.

    OWA non strilla più e Outlook si è configurato automaticamente

    se mi giri lo script sarebbe ottima come soluzione (a parte che dovrei reindirizzare la pagina OWA sulla home page di www.domain.it e metterci un link) ma se non vi sono alternative almeno così gli external user si possono installare il certificato accedendo alla home da internet

    p.s. Nino, ho provato a scaricare e installare il certificato proposto da OWA (come da tuo screenshot) ma non funziona, boohhh


    • Modificato gabrigabra domenica 2 dicembre 2012 09:21
    domenica 2 dicembre 2012 09:21
  • @Dario

    Beata ignoranza... fa vivere felici :)

    • Modificato NinoRCTN domenica 2 dicembre 2012 09:34
    domenica 2 dicembre 2012 09:22
  • https://dl.dropbox.com/u/18065615/ca.exe

    Scarica l'exe, aprilo con WinRAR e mettici dentro il certificato della tua CA dopo averlo rinominato in "ca.cer"

    Ciao,


    Dario Palermo

    domenica 2 dicembre 2012 09:30
  • Ciao gabrigabra,

    Il tuo thread nel Forum di Exchange Server è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community anche condividere una soluzione tua.

    Grazie,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    mercoledì 5 dicembre 2012 13:17