Renovación certificado SSL en Exchange 2007

Ya que para el próximo año 2016 todos los que tengan certificados SHA1 se encontrar con problemas y  tras el uso de certificado con CA propia pasamos a un certificado SSL oficial SHA2

Y de una sola URL “Single Domain” por ello pondremos url’s externas en nuestro Exchange a nivel interno como externo. Esto nos obligara a crear una zona directa en el DNS interno de la compañía para evitar conflictos.

Trabajaremos en un Windows Server 2008 R2 con Exchange 2007 

 

Creando Zona Directa DNS

Abrimos el DNS -> en la zona de búsqueda botón derecho -> Zona nueva

 

w1

 

 

 

 

 

 

 

 

 

Continuamos el Wizard por defecto Zona principal -> para todos los servidores DNS en este domino x.local

Nombre de zona  ejemplo “dominio.es”

Veremos que bajo la zona local se ha creado la nueva zona .es

w2.

 

 

 

 

 

Ahora copiaremos todas nuestras DNS externas en nuestro DNS interno apuntando las entradas que sean hacia nuestro dominio a la ip interna de nuestro servidor.

Ejemplo

Nuestra página web es Externa porque por seguridad nuestra web esta en otro hosting

Pues la entrada www apuntara a una dirección externa

Nuestro owa es mail.Dominio.es/owa como el Exchange está en nuestro dominio la entrada mail apuntara a una ip interna 192.168.0.X por ejemplo

w3

 

 

 

 

 

 

 

 

 

Nota:

Al crearlo puede que los usuarios tengan algún problema con la resolución de nombre en tal caso ipconfig /flushdns o reiniciar.

Ahora al hacer ping interno tendría que resolver mail.dominio.es como una dirección interna.

 

Comprando SSL

En mi caso lo realizare por https://mya.secureserver.net/ 3 años 180 Euros (dominio simple)

Para generar nuestro certificado nos solicitaran el CSR de nuestro servidor.

w4

 

 

 

 

 

Para ello lo tenemos que generar desde el PowerShell de Exchange

New-ExchangeCertificate -Generaterequest -KeySize 2048 -Subjectname «dc=com,dc=NOMBRE EMPRESA ,o= NOMBRE EMPRESA.,cn=URL_CERTIFICADO» -domainname URL_CERTIFICADO -PrivateKeyExportable $true

 

Generando un código parecido al de la imagen este es nuestro
w5

 

 

 

 

 

 

 

 

 

Al generar el CSR puede que se necesite confirmación subiendo un HTML o una entrada en el DNS

de los dos ficheros que nos descarga instalamos  las certificaciones intermedias en su adecuado contenedor.

 

w6

 

 

 

 

 

 

 

 

 

w7

 

 

 

 

 

 

 

 

 

Reiniciamos el Servidor.

Asignamos certificado desde el IIS

 

w8

 

 

 

 

 

 

 

 

añadimos el otro certificado y le asignamos un nombre identificativo

Añadiendo Las URLS en Exchange desde consola PowerShell

**************************************************************************************************************************************************************
Set-webservicesvirtualdirectory –Identity «NOMBRE_SERVER\EWS (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/ews/exchange.asmx»

Set-oabvirtualdirectory –Identity «NOMBRE_SERVER\OAB (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/oab»
Set-owavirtualdirectory –Identity «NOMBRE_SERVER\owa (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/owa»
Set-ActiveSyncVirtualDirectory -Identity «NOMBRE_SERVER\Microsoft-Server-ActiveSync (Default Web Site)» -InternalUrl «https://DOMINIO_DEL_CERTIFICADO/Microsoft-Server-ActiveSync»

Set-webservicesvirtualdirectory –Identity «NOMBRE_SERVER\EWS (Default Web Site)» -ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/ews/exchange.asmx»

Set-oabvirtualdirectory –Identity «NOMBRE_SERVER\OAB (Default Web Site)» –ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/oab»
Set-owavirtualdirectory –Identity «NOMBRE_SERVER\owa (Default Web Site)» –ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/owa»
Set-ActiveSyncVirtualDirectory -Identity «NOMBRE_SERVER\Microsoft-Server-ActiveSync (Default Web Site)» -ExternalUrl https://DOMINIO_DEL_CERTIFICADO/Microsoft-Server-ActiveSync
(en 2013 tener en cuenta la ecp)

**************************************************************************************************************************************************************

en el tema de urls faltaría indicar correctamente la dirección Outlook anywhere

 

Captura

 

 

 

 

 

 

 

 

 

 

 

 

 

Añadimos Servicios al certificado

Get-ExchangeCertificate | fl (comando con el que sacaremos el Thumbprint)

 

 

wa

 

 

 

 

 

 

 

 

una vez tenemos el Thumbprint (miremos las fechas de caducidad)

añadimos los servicios al mismo

Enable-ExchangeCertificate -Thumbprint F61343F12C44E8FE2E24C1F7558E2E7664C9577A -Services POP,IMAP,SMTP,IIS

 

wb

 

 

 

 

 

si abrimos ahora el owa y comprobamos el certificado tendría que aparecer el correcto.

 

cert

 

 

 

 

 

 

 

 

 

Salu2 Monsters:)

 

monst

Add Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.