none
Erro de Certificado Quando Acessa de Fora da Rede Interna RRS feed

  • Pergunta

  • Olá,

    Boa Tarde,

     

    Estou usando o procedimento do site do Anderson Patricio (AP911 - Criando certificados com Subject Alternative names em uma PKI interna).

    Para criar mais certificados, mas quando eu acesso OWA de fora da minha rede interna aparece o erro de certificado invalido. Dentro da Rede está funcionando.

     

    Coloquei o seguinte comando:

     

    New-ExchangeCertificate -GenerateRequest -Path c:\NovoCertificado.req -SubjectName "dc=dominio,dc=local,cn=server-01" -DomainName server-01.dominio.local, server-01.dominio.com.br,  -FriendlyName "server-01.dominio.local Certificado"

     

    Import-ExchangeCertificate -Path c:\certnew.cer

     

    Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services IIS

     

    Quando eu acesso o OWA interno com HTTPS://Server-01.dominio.local/owa acessa normal sem apresentar o problema de certificado, mas fora da minha rede quando vou acessar HTTPS://server-01.dominio.com.br/owa apresenta o problema de certificado, mesmo instalado o certificado nas autoridades de certificados Raiz confiável, no caso um computador externo.

     

    Como procedo para criar um certificado que atenda dentro da minha rede e fora da minha rede.

     

    Existe essa possibilidade?

    quarta-feira, 8 de junho de 2011 19:05

Respostas

  • So uma pergunta voce gerou o seu certificado interno ? Utilizando a CA Interna. se foi isso o problema esta ai.. O Jeito mais correto é comprar um Certificado em alguma CA Externa, tem alguma outras maneira de publicar o certificado interno em GPO mas nao recomendo.
    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    quinta-feira, 9 de junho de 2011 00:05
  • Você está instalando o certificado da CA interna ou o certificado usado no site?

    A instalação de certificado a ser feita em computadores externos tem que ser o certificado da CA interna e não o que está usando no site.


    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    quinta-feira, 9 de junho de 2011 19:14
  • Boa noite Astequio.

    Para distribuir por GPO o certificado da CA:

    Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies

    Clique com o botão direito em cima de Trusted Root Certification Authorities e selecione a opção Import

    Em relação ao questionamento sobre certificado digital auto assinado, se você tomar todos os cuidados possíveis com a chave privada emitida pelo servidor CA, manter o servidor CA protegido, não vejo problema, o único "problema" que pode ter é o trabalho de ficar instalando o certificado em máquinas externas para não apresentar erro de segurança, pois com a GPO não terá como instalar em computadores externos.

    Se tiver a possibilidade, compre o certificado, tem várias, veja na Verisign www.verisign.com.br, para instalar é simples normalmente a própria certificadora possui um documento explicando todos os passos, desde a criação da solicitação, até a instalação. Mas é mais ou menos assim, após a emissão do certificado, a CA o enviará para você, é só instalar através da console do IIS do Exchange, e rodar o comando IISRESET /NOFORCE, que já estará valendo, normalmente o processo de emissão do certificado demora um pouco, pois eles precisam validar seus dados, e garantir que a sua empresa é realmente quem diz ser.

    Comprando um certificado digital de terceiros, evita a mensagem de erro, e eles garantem a confiabilidade do certificado e que a chave privada da CA está bem armazenada e protegida.

    Chave privada é uma chave que somente o servidor que disponibiliza o conteúdo e a CA que a emitiu junto ao certificado devem ter, pois ela é capaz de descriptografar todo o conteúdo criptografado.

    EX: Ao acessar o site HTTPS://www.banco.com.br e enviar dados para o servidor, como número de conta e senha, você criptografa o conteúdo de forma que nem você mesmo consegue abrir novamente, criptografa usando a chave pública do certificado, com a chave privada o servidor consegue descriptografar os dados que você enviou.



    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    sexta-feira, 10 de junho de 2011 21:30

Todas as Respostas

  • So uma pergunta voce gerou o seu certificado interno ? Utilizando a CA Interna. se foi isso o problema esta ai.. O Jeito mais correto é comprar um Certificado em alguma CA Externa, tem alguma outras maneira de publicar o certificado interno em GPO mas nao recomendo.
    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    quinta-feira, 9 de junho de 2011 00:05
  • Isso mesmo foi uma CA Interna.

    Como que faz para publicar a CA Interna por GPO, dessa forma funciona externo também?

    E Porque não é recomendado???

     

    Valeu

    quinta-feira, 9 de junho de 2011 03:27
  • Você instalou o certificado da CA que gerou o certificado?

    Exemplo:

    CA: teste

    Certificado: correio.teste.com.br

     


    quinta-feira, 9 de junho de 2011 15:20
  • Você está instalando o certificado da CA interna ou o certificado usado no site?

    A instalação de certificado a ser feita em computadores externos tem que ser o certificado da CA interna e não o que está usando no site.


    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    quinta-feira, 9 de junho de 2011 19:14
  • Olá vou descrever o meu ambiente.

     

    Servidor controlador de domínio e Exchange, juntos.

    Domínio interno: domínio.corp.

    No servidor está instalado Também certification authority (Nome da Certificadora domínio-SERVIDOR-CA), onde eu gerei um certificado conforme os procedimentos do site do Anderson Patricio (AP911 - Criando certificados com Subject Alternative names em uma PKI interna).

     

    Para acessar de fora da rede estamos usando o endereço, exemplo: HTTPS://server-01.dominio.com.br/owa.

     

    Eu instalae o certificado da minha CA internar no micro externo e como já foi dito acima deu certo.

    Não apresentou o erro de certificado, mas o ThiagoAleixo comentou que dava para publicar por GPO e disse também que não é recomendo.

    Gostaria de saber como que faz essa publicação por GPO e se vai funcionar fora da minha rede também.

    E porque não é recomendado.

     

    Ou

     

    Qual o procedimento que eu faço para adquiri um certificado de certificadora Externa e como eu instalo esse certificado em me servidor.

     

    Desde já eu Agradeço a colaboração de TODOS.

    Esse fórum sem duvida em muito bom, está me ajudando bastante nas minhas pesquisas sobre o Exchange, já que eu sou novato nesse assunto.


    sexta-feira, 10 de junho de 2011 20:18
  • Boa noite Astequio.

    Para distribuir por GPO o certificado da CA:

    Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies

    Clique com o botão direito em cima de Trusted Root Certification Authorities e selecione a opção Import

    Em relação ao questionamento sobre certificado digital auto assinado, se você tomar todos os cuidados possíveis com a chave privada emitida pelo servidor CA, manter o servidor CA protegido, não vejo problema, o único "problema" que pode ter é o trabalho de ficar instalando o certificado em máquinas externas para não apresentar erro de segurança, pois com a GPO não terá como instalar em computadores externos.

    Se tiver a possibilidade, compre o certificado, tem várias, veja na Verisign www.verisign.com.br, para instalar é simples normalmente a própria certificadora possui um documento explicando todos os passos, desde a criação da solicitação, até a instalação. Mas é mais ou menos assim, após a emissão do certificado, a CA o enviará para você, é só instalar através da console do IIS do Exchange, e rodar o comando IISRESET /NOFORCE, que já estará valendo, normalmente o processo de emissão do certificado demora um pouco, pois eles precisam validar seus dados, e garantir que a sua empresa é realmente quem diz ser.

    Comprando um certificado digital de terceiros, evita a mensagem de erro, e eles garantem a confiabilidade do certificado e que a chave privada da CA está bem armazenada e protegida.

    Chave privada é uma chave que somente o servidor que disponibiliza o conteúdo e a CA que a emitiu junto ao certificado devem ter, pois ela é capaz de descriptografar todo o conteúdo criptografado.

    EX: Ao acessar o site HTTPS://www.banco.com.br e enviar dados para o servidor, como número de conta e senha, você criptografa o conteúdo de forma que nem você mesmo consegue abrir novamente, criptografa usando a chave pública do certificado, com a chave privada o servidor consegue descriptografar os dados que você enviou.



    • Marcado como Resposta Astequio domingo, 12 de junho de 2011 15:43
    sexta-feira, 10 de junho de 2011 21:30
  • Obrigado
    domingo, 12 de junho de 2011 15:43