none
Certificado RRS feed

  • Pergunta

  • Ola boa tarde a todos do forum....talvez nao seja o local adequado para a questao mas vou tentarpor aqui...

    Recentemente em um cliente que usa um exchange 2007 tive um problema com o certificado para uso do sincronismo em 

    iphones com versao de IOS 10.3.1.

    O certificado que o servidor gera nao é compativel com a solicitacao da Apple e alega que nao é de umacertificadora oficial e por isso nao é seguro.

    Antes era possivel passarpor esta tela alegando quer era pra usar mesmo assim...mas agora nao da mais, assim sendo pedi ao cliente para comprar um certificado.

    Certificado comprado e agora vem o enrosco....pra instalar meparece ser simples :

    mport-ExchangeCertificate -Path c:\empresa.crt | Enable-ExchangeCertificate -Services "SMTP, POP, IMAP, IIS"

    Mas assim que o comando é dado aparece um erro dizendo que ja existe uma assinatura digital 

    Import-ExchangeCertificate : Não é possível importar, pois já existe um certifi
    cado com impressão digital 40AD96BC823D1C99D66FA1814BB1B5A0838A6EE4.
    At line:1 char:27
    + Import-ExchangeCertificate  <<<< -Path c:\certificado.crt | Enable-Excha
    ngeCertificate -Services "SMTP, POP, IMAP, IIS"

    Não posso apagar, editar ou colocar outro....mas o curioso que posso gerar um novo!

    Gostaria de apenas usar o que foi comprado!

    Se aguma boa almo puder ajudar.

    att

    terça-feira, 6 de junho de 2017 18:27

Respostas

  • Entendi Kiko,

    Provavelmente ele está reclamando da exportable key, que é necessária para configuração do certificado. Esse atributo é gerado de duas formas: quando é finalizada sua configuração do mesmo servidor que gerou o .cer, ou quando essa opção é marcada como exportable.

    Uma das duas questões acima falhou. Não acredito que seja obrigatório o self-signed.

    Tente refazer o processo do certificado, do início novamente.

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     


    terça-feira, 20 de junho de 2017 12:31

Todas as Respostas

  • Bom dia Kiko_Galhardi,

    Tudo bem?

    Infelizmente o Exchange Server 2007 já encerrou seu período de suporte, então a recomendação é que o ambiente seja atualizado para pelo menos para a versão 2010, até por questões de segurança.

    Como você pode ver no link abaixo, o suporte foi até 11/04/2017.

    Microsoft Lifecycle Policy

    Porém, verifique se não há nenhum outro certificado que já contenha esse mesmo Thumbprint no servidor. Para verificar, rode o comando: Get-ExchangeCertificate | fl

    Espero ter ajudado.

    Abraço.


    terça-feira, 6 de junho de 2017 20:38
  • Bom dia, 

    Pela mensagem de erro, o certificado que você esta tentando configurar já esta instalado no servidor. 

    Execute o artigo para adicionar e configurar um novo certificado: 

    https://br.godaddy.com/help/exchange-server-2007-install-a-certificate-4877

    Utilize o Get-ExchangeCertificate | fl para listar todos os certificados configurados no servidor. 

    att


    Fernando Lugão Veltem MVP Lync Server Please mark posts as answers/helpful if it answers your question.

    quinta-feira, 8 de junho de 2017 12:56
  • Fernando obrigado pela resposta , mas agora o problema é outro...

    Ao enviar o certificado o Shell me reporta erro dizendo que a Key nao existe, mas existe!

    O problema é que esta Key tem que estar inserida no certificado, o que nao sei como proceder!

    Acho que o certificado tem que ser autoassinado!

    quinta-feira, 8 de junho de 2017 13:07
  • Olá Kiko,

    O dispositivo móvel deve estar reclamando por conta do certificado ser emitido por uma CA (Certificate Authority) interna, só confiável para os computadores e dispositivos que tiverem o root CA certificate instalados em seus dispositivos. Dá pra fazer isso no iPhone, mas não é automático.

    O cmdlet de Import falhou, pq depois que o certificado já está no servidor você precise executar um Enable-ExchangeCertificate, escolhendo os serviços que quer fazer o assign no Exchange, como SMTP, IIS, POP, IMAP.

    Para facilitar, existe um app que ajuda na gestão de certificados do Exchange 2007, já que o Certificate Wizard só vai surgir no Exchange 2010 em diante. ;)

    Certificate Manager for Exchange 2007
    https://blogs.technet.microsoft.com/jribeiro/2010/05/27/certificate-manager-for-exchange-2007/

    Reforço o comentário do Thales, o Exchange 2007 está fora da política de ciclo de suporte, e deve ser migrado o quanto antes.

    Exchange 2007 reaches end of life on April 11th. What’s your plan to move?
    https://blogs.technet.microsoft.com/exchange/2017/02/27/exchange-2007-reaches-end-of-life-on-april-11th-whats-your-plan-to-move/

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     


    sexta-feira, 9 de junho de 2017 16:40
  • Bruno, obrigado pela resposta 

    Ao enviar o certificado o Shell me reporta erro dizendo que a Key nao existe, mas existe!

    O problema é que esta Key tem que estar inserida no certificado, o que nao sei como proceder!

    Acho que o certificado tem que ser autoassinado!

    Ja tenho o app do certificado.

    sexta-feira, 9 de junho de 2017 18:34
  • Entendi Kiko,

    Provavelmente ele está reclamando da exportable key, que é necessária para configuração do certificado. Esse atributo é gerado de duas formas: quando é finalizada sua configuração do mesmo servidor que gerou o .cer, ou quando essa opção é marcada como exportable.

    Uma das duas questões acima falhou. Não acredito que seja obrigatório o self-signed.

    Tente refazer o processo do certificado, do início novamente.

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     


    terça-feira, 20 de junho de 2017 12:31
  • Ola bom da Bruno! Obrigado pela resposta!

    Problemas de certificado já superado, agora tenho outro problema.

    Como não é possível fazer um certificado para um ip fixo, tive que registrar um domínio interno que possuo neste servidor.

    Meu cenário é o seguinte:

    -Gerei um certificado (servidor.meudominio.com.br).

    -Meu domínio é igual acima porem sem o servidor ( meudominio.com.br)

    Quando tento acesso externo ( via owa) ele diz que o certificado não é valido! ( por que o certificado esta apontando pro meu Exchange que tem a url (servidor.meudominio.com.br) e de fora a url é meudominio.com.br/owa ( que aponta pro meu ip externo.

    Como o endereço não corresponde ao que foi gerado no certificado ele então diz que nao é valido!

    Se for acessado internamente então ele valida sem problemas....

    Ai vem a questão, teria que registrar um outro domínio ( servidor.meudominio.com.br)? Achoque nem é possível....

    Como proceder?

    obrigado pela atenção

    terça-feira, 20 de junho de 2017 13:21
  • Kiko,

    Seu certificado está com mensagem de "não confiável" pelo motive de ter sido emitido pela sua CA (Certificate Authority) interna. A questão das URLs não é um problema, pois o certificado valida um ou mais nomes, que podemos chamar de SANs (Subject Alternative Names) ou até um domínio inteiro, no que chamamos de wildcard (*.contoso.com).

    No seu caso, as reclamações de certificado não confiável se dão pq vc não usou uma entidade certificadora pública, mas optou por usar a sua interna. Você tem 2 opções para corrigir isso:

    1) Comprar um certificado de uma CA pública e confiável (GoDaddy, CertSign, VeriSign, etc);

    2) Instalar os certificados da root CA interna nas máquinas que reclamaram de confiabilidade do certificado.

    Quanto aos nomes de domínio, o Exchange Server tem dois parâmetros para acesso; InternalURL e ExternalURL. Ambos são customizáveis, e você pode até deixar eles "iguais". Quando o usuário estiver interno, vai consultar seu DNS interno, e redirecionar para o nome que estará criado no seu DNS, assim q você fizer isso. ;) Se ele estiver externo, vai consultar um DNS público e vai encontrar o nome que você vai registrar no público tbém.

    Essa é a melhor config pro administrador de Exchange. #FicaDica

    Abços,


    Bruno Lopes | MVP & Technical Trainer
    MCP Certification Profile | Linkedin | Facebook Page | http://blogdolopez.com

     

    quinta-feira, 6 de julho de 2017 12:19