Usuário com melhor resposta
Erro de Certificado Quando Acessa de Fora da Rede Interna

Pergunta
-
Olá,
Boa Tarde,
Estou usando o procedimento do site do Anderson Patricio (AP911 - Criando certificados com Subject Alternative names em uma PKI interna).
Para criar mais certificados, mas quando eu acesso OWA de fora da minha rede interna aparece o erro de certificado invalido. Dentro da Rede está funcionando.
Coloquei o seguinte comando:
New-ExchangeCertificate -GenerateRequest -Path c:\NovoCertificado.req -SubjectName "dc=dominio,dc=local,cn=server-01" -DomainName server-01.dominio.local, server-01.dominio.com.br, -FriendlyName "server-01.dominio.local Certificado"
Import-ExchangeCertificate -Path c:\certnew.cer
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services IIS
Quando eu acesso o OWA interno com HTTPS://Server-01.dominio.local/owa acessa normal sem apresentar o problema de certificado, mas fora da minha rede quando vou acessar HTTPS://server-01.dominio.com.br/owa apresenta o problema de certificado, mesmo instalado o certificado nas autoridades de certificados Raiz confiável, no caso um computador externo.
Como procedo para criar um certificado que atenda dentro da minha rede e fora da minha rede.
Existe essa possibilidade?
Respostas
-
So uma pergunta voce gerou o seu certificado interno ? Utilizando a CA Interna. se foi isso o problema esta ai.. O Jeito mais correto é comprar um Certificado em alguma CA Externa, tem alguma outras maneira de publicar o certificado interno em GPO mas nao recomendo.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
-
Você está instalando o certificado da CA interna ou o certificado usado no site?
A instalação de certificado a ser feita em computadores externos tem que ser o certificado da CA interna e não o que está usando no site.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
-
Boa noite Astequio.
Para distribuir por GPO o certificado da CA:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies
Clique com o botão direito em cima de Trusted Root Certification Authorities e selecione a opção Import
Em relação ao questionamento sobre certificado digital auto assinado, se você tomar todos os cuidados possíveis com a chave privada emitida pelo servidor CA, manter o servidor CA protegido, não vejo problema, o único "problema" que pode ter é o trabalho de ficar instalando o certificado em máquinas externas para não apresentar erro de segurança, pois com a GPO não terá como instalar em computadores externos.
Se tiver a possibilidade, compre o certificado, tem várias, veja na Verisign www.verisign.com.br, para instalar é simples normalmente a própria certificadora possui um documento explicando todos os passos, desde a criação da solicitação, até a instalação. Mas é mais ou menos assim, após a emissão do certificado, a CA o enviará para você, é só instalar através da console do IIS do Exchange, e rodar o comando IISRESET /NOFORCE, que já estará valendo, normalmente o processo de emissão do certificado demora um pouco, pois eles precisam validar seus dados, e garantir que a sua empresa é realmente quem diz ser.
Comprando um certificado digital de terceiros, evita a mensagem de erro, e eles garantem a confiabilidade do certificado e que a chave privada da CA está bem armazenada e protegida.
Chave privada é uma chave que somente o servidor que disponibiliza o conteúdo e a CA que a emitiu junto ao certificado devem ter, pois ela é capaz de descriptografar todo o conteúdo criptografado.
EX: Ao acessar o site HTTPS://www.banco.com.br e enviar dados para o servidor, como número de conta e senha, você criptografa o conteúdo de forma que nem você mesmo consegue abrir novamente, criptografa usando a chave pública do certificado, com a chave privada o servidor consegue descriptografar os dados que você enviou.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
Todas as Respostas
-
So uma pergunta voce gerou o seu certificado interno ? Utilizando a CA Interna. se foi isso o problema esta ai.. O Jeito mais correto é comprar um Certificado em alguma CA Externa, tem alguma outras maneira de publicar o certificado interno em GPO mas nao recomendo.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
-
-
-
Você está instalando o certificado da CA interna ou o certificado usado no site?
A instalação de certificado a ser feita em computadores externos tem que ser o certificado da CA interna e não o que está usando no site.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
-
Olá vou descrever o meu ambiente.
Servidor controlador de domínio e Exchange, juntos.
Domínio interno: domínio.corp.
No servidor está instalado Também certification authority (Nome da Certificadora domínio-SERVIDOR-CA), onde eu gerei um certificado conforme os procedimentos do site do Anderson Patricio (AP911 - Criando certificados com Subject Alternative names em uma PKI interna).
Para acessar de fora da rede estamos usando o endereço, exemplo: HTTPS://server-01.dominio.com.br/owa.
Eu instalae o certificado da minha CA internar no micro externo e como já foi dito acima deu certo.
Não apresentou o erro de certificado, mas o ThiagoAleixo comentou que dava para publicar por GPO e disse também que não é recomendo.
Gostaria de saber como que faz essa publicação por GPO e se vai funcionar fora da minha rede também.
E porque não é recomendado.
Ou
Qual o procedimento que eu faço para adquiri um certificado de certificadora Externa e como eu instalo esse certificado em me servidor.
Desde já eu Agradeço a colaboração de TODOS.
Esse fórum sem duvida em muito bom, está me ajudando bastante nas minhas pesquisas sobre o Exchange, já que eu sou novato nesse assunto.
-
Boa noite Astequio.
Para distribuir por GPO o certificado da CA:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies
Clique com o botão direito em cima de Trusted Root Certification Authorities e selecione a opção Import
Em relação ao questionamento sobre certificado digital auto assinado, se você tomar todos os cuidados possíveis com a chave privada emitida pelo servidor CA, manter o servidor CA protegido, não vejo problema, o único "problema" que pode ter é o trabalho de ficar instalando o certificado em máquinas externas para não apresentar erro de segurança, pois com a GPO não terá como instalar em computadores externos.
Se tiver a possibilidade, compre o certificado, tem várias, veja na Verisign www.verisign.com.br, para instalar é simples normalmente a própria certificadora possui um documento explicando todos os passos, desde a criação da solicitação, até a instalação. Mas é mais ou menos assim, após a emissão do certificado, a CA o enviará para você, é só instalar através da console do IIS do Exchange, e rodar o comando IISRESET /NOFORCE, que já estará valendo, normalmente o processo de emissão do certificado demora um pouco, pois eles precisam validar seus dados, e garantir que a sua empresa é realmente quem diz ser.
Comprando um certificado digital de terceiros, evita a mensagem de erro, e eles garantem a confiabilidade do certificado e que a chave privada da CA está bem armazenada e protegida.
Chave privada é uma chave que somente o servidor que disponibiliza o conteúdo e a CA que a emitiu junto ao certificado devem ter, pois ela é capaz de descriptografar todo o conteúdo criptografado.
EX: Ao acessar o site HTTPS://www.banco.com.br e enviar dados para o servidor, como número de conta e senha, você criptografa o conteúdo de forma que nem você mesmo consegue abrir novamente, criptografa usando a chave pública do certificado, com a chave privada o servidor consegue descriptografar os dados que você enviou.
- Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
-