none
Erro ao acessar OWA, certificado antigo... RRS feed

  • Pergunta

  • No final de Fevereiro fiz todo o passo a passo para criação de um novo certificado para utilização do OWA, Outlook Anywhere, etc... seguindo o tutorial do site do Anderson Patricio (http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?tut=912). Desde lá tudo ok... ficou funcionando tudo perfeitamente...

    Ontem tivemos problema com nosso modem, foi substituído, configuração toda ok, mas ao tentar realizar o acesso ao OWA estava apresentando 443... tentei renovar o certificado de outro site interno pelo IIS (certificado de produto de segurança para acesso a console) (acho que aqui que começou o problema), imaginei que seria a configuração do modem que estava com problema, mas ao recolocar outro modem igual ao que estava, o problema persiste...

    Ao entrar no endereço do OWA (sempre usamos HTTPS sem problemas) está apresentando o erro 403 Forbidden.

    Ao verificar o certificado, ele está me mostrando um certificado antigo, que já está expirado, só que como comentei acima, fiz todo o procedimento novamente para um novo certificado e habilitado está... mas não consigo descobrir porque ao acessar o OWA está puxando este certificado... que nem está mais na lista dos certificados do Exchange...

    Alguma idéia? O que pode ser feito?

    Obrigado.
    leosvi
    quinta-feira, 2 de abril de 2009 17:16

Respostas

Todas as Respostas

  • Ola Osmarin,

    Faz tudo via Exchange Management Shell, ou ainda se ja tiver instalado usa o enable-exchangecertificate para habilitar o certificado correto.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    quinta-feira, 2 de abril de 2009 19:54
  • Ola Osmarin,

    Faz tudo via Exchange Management Shell, ou ainda se ja tiver instalado usa o enable-exchangecertificate para habilitar o certificado correto.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org

    Conforme comentei acima foi realizado todo o passo a passo conforme o tutorial, tudo pelo Management Shell.
    Já está ativo o certificado mais atual... não consigo encontrar o que está errado, pois ao tentar acessar o OWA, ele não permite acesso, quando vou ver o certificado, é um antigo que não está mais ativo...
    leosvi
    quinta-feira, 2 de abril de 2009 20:02
  • Opa Leo,

    Mas ontem tu trocou no IIS, ou seja, a melhor forma nao e seguir o tutorial novamente pq ele e para criaçao. O que recomendo e usar o powershell para listar os certificados e te certificar que os servicos estao associados corretamente.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    quinta-feira, 2 de abril de 2009 22:22
  • Fala Anderson!

    Depois que foi realizada a troca no IIS, fiz todo o procedimento novamente, para criar um novo certificado e ativar ele...
    O mais estrando ainda é que este certificado, conforme a data de expiração que aparece ao acessar o OWA, não aparece na lista dos certificados quando é solicitado pelo powershell do Exchange 2007.

    Tentando acesso usando o Firefox dá o seguinte erro:


    Falha na conexão segura

    mail.xyz.com.br usa um certificado de segurança inválido.

    O certificado não é considerado confiável porque o certificado do expedidor é desconhecido.
    A validade do certificado venceu em 28/1/2009 16:51.

    (Código do erro: sec_error_unknown_issuer)


    Internamente o acesso está funcionando ok, para o Outlook internamente também ok o anywhere apresenta também erro de certificado.


    Os certificados que aparecem solicitando pelo powershell (datas):
    NotAfter           : 4/2/2011 12:06:47 PM (este é o que está ativo)
    NotAfter           : 3/2/2011 9:23:00 AM (criado para teste)
    NotAfter           : 5/10/2009 10:43:03 AM
    NotAfter           : 1/25/2008 5:56:09 PM (não está mais em uso)

    Como pode ver, nenhum dos certificados corresponde ao que é apresentado quando se faz o acesso ao OWA... eu não estou entendendo o porque ao acessar o OWA está pegando esse certificado antigo, que foi renovado no final de janeiro, e nem existe mais o tal certificado que venceu em 28/01/09...

    Alguma idéia do que pode estar acontecendo?


    leosvi
    sexta-feira, 3 de abril de 2009 11:35
  • Outro detalhe importante...
    Lá no IIS do servidor do Exchange, verificando o certificado do Default Web Site, me mostra o certificado último que foi criado e ativado pelo powershell (4/2/2011 12:06:47 PM)...
    leosvi
    sexta-feira, 3 de abril de 2009 12:19
  • Conforme vou testando e verificando vou colocando aqui, até resolver... :\

    Fechando VPN e acessando pelo endereço interno da rede, acessa o OWA, e o certificado que é exibido é esse mesmo válido até 2011... 4/2/2011 12:06:47 PM
    Acessando de fora da rede, pela Internet o owa está mostrando ainda o certificado antigo, inválido...
    leosvi
    sexta-feira, 3 de abril de 2009 12:40
  • Opa Leonardo,

    Primeira coisa, remove todos que nao esta usando atraves do Remove-ExchangeCertificate. Se for um certificado interno eu digo para instalar um novo e depois remover todos os outros e depois rodar o enable-exchangecertificate.


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    sexta-feira, 3 de abril de 2009 14:41
  • Anderson,

    Fiz o procedimento indicado... removi todos e tudo mais...
    Depois de enable, fui fazer o teste e continua puxando o certificado que expirou em 28/1/2009 16:51

    Este não aparece mais na lista dos certificados do Exchange, e no IIS o certificado que está ativo é o que acabei de criar...

    Continuo com o problema... :\

    leosvi
    sexta-feira, 3 de abril de 2009 15:13
  • Abre o mmc, adiciona certfiicates de computador e remove tudo de la, agora atraves do powershell valida que o certificado que ta la existe tb no certificates store. E depois roda o enable-exchangecertificate -thumbprint <numero> -services IIS


    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    sexta-feira, 3 de abril de 2009 15:16
  • Você fala de remover todos em Personal -> Certificates ?
    leosvi
    sexta-feira, 3 de abril de 2009 15:25
  • Você fala de remover todos em Personal -> Certificates ?
    leosvi
    Supondo que sim, deletei o certificado, ele não me deixou ativar pelo shell dizendo que não existia... tive que criar um novo certificado... e continua na mesma... ao abrir o owa ele pega um certificado que venceu em 28/1/2009 16:51...

    leosvi
    sexta-feira, 3 de abril de 2009 15:44
  • Mais um detalhe, neste local (mmc certificados) não aparece o certificado com data de vencimento 28/1/2009 16:51 .........
    Não consigo encontrar onde está esse certificado...

    leosvi
    sexta-feira, 3 de abril de 2009 17:34
  • Tem certificado de computador e pessoal, provavelemnte foi adiciona em outro store, remove ele do pessoal se tiver (nao deveria estar lá), mas so garante que no exchange nao esta e associa novamente com o exchange management shell que deve ficar tranquilo.
    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    sexta-feira, 3 de abril de 2009 18:06
  • Anderson, este procedimento já foi realizado.
    Não encontro em lugar algum esse certificado com vencimento 28/01/2009 16:51 :\
    Não está lá no mmc... pelo shell está ok o certificado novo e no iis fui ver o certificado está ok pelo novo também, só que continua sempre que o owa pela rede externa o tal certificado esse que não consigo encontrar......

    no exchange também não está...


    leosvi
    sexta-feira, 3 de abril de 2009 18:36
  • so rede externa? ai é firewall meu amigo, tem que trocar no isa tb.
    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    sexta-feira, 3 de abril de 2009 19:18
  • Semana nova, problema antigo...

    Firewall? O certificado lá no ISA? É isso?
    Dá mais uma luz ai... onde que faço essa alteração?
    segunda-feira, 6 de abril de 2009 12:36
  • Achei o tal certificado lá no mmc -> certificates.........
    importei o novo e deletei o antigo... vamos testar...
    segunda-feira, 6 de abril de 2009 12:44
  • Opa Leonardo,

    Forum de ISA meu amigo, la o pessoal pode te ajudar, se internamente ta funcionando e sinal que no Exchange ta rolando na boa.

    Grande abraço, Anderson Patricio http://www.andersonpatricio.org .:. http://blog.andersonpatricio.org
    • Sugerido como Resposta leosvi segunda-feira, 6 de abril de 2009 15:23
    • Marcado como Resposta Jonathan SantosModerator quarta-feira, 30 de março de 2011 12:42
    segunda-feira, 6 de abril de 2009 12:44
  • Resolvido!!!
    A dica do ISA me levou ao caminho correto.

    Fiz uma nova solicitação de certificado para o ISA, e criei um novo Web Listner para acessar o OWA com este novo certificado ;)
    Conforme o artigo abaixo
    http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSync-RPCHTTP-using-2006-ISA-Firewall-Part1.html

    Abraços!!!
    • Sugerido como Resposta leosvi segunda-feira, 6 de abril de 2009 15:23
    • Marcado como Resposta Jonathan SantosModerator quarta-feira, 30 de março de 2011 12:42
    segunda-feira, 6 de abril de 2009 15:21