none
Certificado local auto-assinado expirado RRS feed

  • Pergunta

  • Bom dia, pessoal!

    Tenho um servidor Exchange 2007 que o FQDN dele tem um nome (nome do host) e o certificado de CA pública está com outro nome, no caso, o nome que é acessado via OWA.

    O certificado emitido por CA Pública está válido e funcionando normalmente. Porém, o certificado auto-assinado que possui o nome do FQDN, desde o momento da instalação do Exchange, está expirado. Há algum tempo o event viewer está informando a seguinte mensagem:

    "Event Type: Error
    Event Source: MSExchangeTransport
    Event Category: TransportService
    Event ID: 12014
    Computer: SERVIDOR
    Description:
    Microsoft Exchange couldn't find a certificate that contains the domain name servidor.dominio.net in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector SurfControl Connector with a FQDN parameter of servidor.dominio.net. If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key."

    Lendo a respeito, verifiquei que o motivo é justamente pelo fato de o certificado emitido para o nome FQDN (servidor.dominio.net) estar inválido.

    A dúvida é quanto às melhores práticas a serem adotadas:

    1. É possível executar o cmdlet "new-ExchangeCertificate" com o nome do FQDN e thumprint do certificado expirado? Por exemplo: Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate

    2. Outra dúvida: há problema se eu ficar com 2 certificados válidos? Um auto-assinado com o nome do FQDN e o serviço SMTP habilitado e outro assinado pela CA pública para o nome do OWA com os serviços IIS, POP, IMAP.

    Aguardo retorno, obrigada! 

    Juliane

     

     

    quinta-feira, 16 de setembro de 2010 14:16

Respostas

  • Olá Julianee, bom dia.

     

    Seguinte, o Exchange Server trabalha basicamente utilizando o IIS para prover alguns serviços do Client Access. Na instalação do CAS é criado um site (e diretorios virtuais) para prover estes serviços e viculado a este site é criado o certificado Self-Signed. Por conceito só é possivel vincular um certificado por site, ou seja, seu exchange server deve estar trabalhando apenas com 1 certificado (respondendo sua 2 duvida).

    O que pode ocorrer é o seguinte: No caso de vc utilizar o ISA Server para publicação, no Listner da regra é possivel que esteja trabalhando com o Certificado Valido e o Exchange com o certificado Self-Signed.

    Com relação a renovação do certificado, é necessário  q vc configure uma CA interna e solicite um novo certificado. A partir dai é possivel fazer sua renovação.

    Abs


    Thiago A. E. Carmo
    MCP-MCTS-MCSA-MCITP-MCT
    quinta-feira, 16 de setembro de 2010 15:03
  • Se você tem dos certificados assinados Você precisa Remover o Self e

    Enable-ExchangeCertificate -thumbprint "o thumb valido " -services iis

    remove-exchangeCertificate -Thumbprint "o thumb invalido "


    MCSA + M
    sexta-feira, 17 de setembro de 2010 13:45

Todas as Respostas

  • Olá Julianee, bom dia.

     

    Seguinte, o Exchange Server trabalha basicamente utilizando o IIS para prover alguns serviços do Client Access. Na instalação do CAS é criado um site (e diretorios virtuais) para prover estes serviços e viculado a este site é criado o certificado Self-Signed. Por conceito só é possivel vincular um certificado por site, ou seja, seu exchange server deve estar trabalhando apenas com 1 certificado (respondendo sua 2 duvida).

    O que pode ocorrer é o seguinte: No caso de vc utilizar o ISA Server para publicação, no Listner da regra é possivel que esteja trabalhando com o Certificado Valido e o Exchange com o certificado Self-Signed.

    Com relação a renovação do certificado, é necessário  q vc configure uma CA interna e solicite um novo certificado. A partir dai é possivel fazer sua renovação.

    Abs


    Thiago A. E. Carmo
    MCP-MCTS-MCSA-MCITP-MCT
    quinta-feira, 16 de setembro de 2010 15:03
  • Gerar Certificado Pelo próprio Shell do Exchange :

     

    Get-ExchangeCertificate | fl

    Obs: Esse comando lista todos os certificados do Exchange

     

    Pegue o  thumbprint do certificado que deseja copiar exemplos:

    Get-ExchangeCertificate -thumbprint  "D1DE44C6D47473885D14C9008A5D0B768F83831C" | New-ExchangeCertificate

    Por Padrão ele so habilita para 3 Serviços Pop,IMap4 e SMTP para habilitar tambem para o IIS OWA

     

    Enable-ExchangeCertificate -thumbprint "7CEA35D7BF6292A6CA7D3A343EC46209DEA3BB0A" -services iis

     

    depois delete o Certificado Antigo


    MCSA + M
    quinta-feira, 16 de setembro de 2010 15:53
  • Acho que não me expressei bem... vou refazer a pergunta...

    Com o cmdlet "Get-ExchangeCertificate | fl" foi que eu verifiquei o fato de possuir o certificado válido e correto para uso do OWA e também a existência do certificado auto-assinado com o nome do servidor, que é diferente do common name do certificado para o OWA, o qual está inválido porque expirou a data de validade.

    O problema é que o servidor exchange está configurado para uso de TLS no nome do host e não no nome do common name do OWA.

    Conforme alguns KBs da Microsoft (exemplo: http://support.microsoft.com/kb/555855/en-us; http://technet.microsoft.com/pt-br/library/bb232032(EXCHG.80).aspx) se o certificado existe, basta executar o cmdlet "Enable-ExchangeCertificate -Thumbprint 2afd26617915932ad096c48eb3b847fc7457662 -Services "SMTP"

    Já que o certificado existe (com status inválido por estar expirado), a questão é: "executar esse procedimento é a solução correta?".

    Aguardo retorno,  abraços,

    Juliane.

    quinta-feira, 16 de setembro de 2010 17:20
  • Se você tem dos certificados assinados Você precisa Remover o Self e

    Enable-ExchangeCertificate -thumbprint "o thumb valido " -services iis

    remove-exchangeCertificate -Thumbprint "o thumb invalido "


    MCSA + M
    sexta-feira, 17 de setembro de 2010 13:45