¿Como se hace?InformáticaSin categoríaWindows

Renovación certificado SSL en Exchange 2007

Ya que para el próximo año 2016 todos los que tengan certificados SHA1 se encontrar con problemas y  tras el uso de certificado con CA propia pasamos a un certificado SSL oficial SHA2
Y de una sola URL “Single Domain” por ello pondremos url’s externas en nuestro Exchange a nivel interno como externo. Esto nos obligara a crear una zona directa en el DNS interno de la compañía para evitar conflictos.
Trabajaremos en un Windows Server 2008 R2 con Exchange 2007 
 
Creando Zona Directa DNS
Abrimos el DNS -> en la zona de búsqueda botón derecho -> Zona nueva
 
w1
 
 
 
 
 
 
 
 
 
Continuamos el Wizard por defecto Zona principal -> para todos los servidores DNS en este domino x.local
Nombre de zona  ejemplo “dominio.es”
Veremos que bajo la zona local se ha creado la nueva zona .es
w2.
 
 
 
 
 
Ahora copiaremos todas nuestras DNS externas en nuestro DNS interno apuntando las entradas que sean hacia nuestro dominio a la ip interna de nuestro servidor.
Ejemplo
Nuestra página web es Externa porque por seguridad nuestra web esta en otro hosting
Pues la entrada www apuntara a una dirección externa
Nuestro owa es mail.Dominio.es/owa como el Exchange está en nuestro dominio la entrada mail apuntara a una ip interna 192.168.0.X por ejemplo
w3
 
 
 
 
 
 
 
 
 
Nota:
Al crearlo puede que los usuarios tengan algún problema con la resolución de nombre en tal caso ipconfig /flushdns o reiniciar.
Ahora al hacer ping interno tendría que resolver mail.dominio.es como una dirección interna.
 
Comprando SSL
En mi caso lo realizare por https://mya.secureserver.net/ 3 años 180 Euros (dominio simple)
Para generar nuestro certificado nos solicitaran el CSR de nuestro servidor.
w4
 
 
 
 
 
Para ello lo tenemos que generar desde el PowerShell de Exchange
New-ExchangeCertificate -Generaterequest -KeySize 2048 -Subjectname «dc=com,dc=NOMBRE EMPRESA ,o= NOMBRE EMPRESA.,cn=URL_CERTIFICADO» -domainname URL_CERTIFICADO -PrivateKeyExportable $true
 
Generando un código parecido al de la imagen este es nuestro
w5
 
 
 
 
 
 
 
 
 
Al generar el CSR puede que se necesite confirmación subiendo un HTML o una entrada en el DNS
de los dos ficheros que nos descarga instalamos  las certificaciones intermedias en su adecuado contenedor.
 
w6
 
 
 
 
 
 
 
 
 
w7
 
 
 
 
 
 
 
 
 
Reiniciamos el Servidor.
Asignamos certificado desde el IIS
 
w8
 
 
 
 
 
 
 
 
añadimos el otro certificado y le asignamos un nombre identificativo
Añadiendo Las URLS en Exchange desde consola PowerShell
**************************************************************************************************************************************************************
Set-webservicesvirtualdirectory –Identity «NOMBRE_SERVER\EWS (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/ews/exchange.asmx»
Set-oabvirtualdirectory –Identity «NOMBRE_SERVER\OAB (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/oab»
Set-owavirtualdirectory –Identity «NOMBRE_SERVER\owa (Default Web Site)» –internalurl «https://DOMINIO_DEL_CERTIFICADO/owa»
Set-ActiveSyncVirtualDirectory -Identity «NOMBRE_SERVER\Microsoft-Server-ActiveSync (Default Web Site)» -InternalUrl «https://DOMINIO_DEL_CERTIFICADO/Microsoft-Server-ActiveSync»
Set-webservicesvirtualdirectory –Identity «NOMBRE_SERVER\EWS (Default Web Site)» -ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/ews/exchange.asmx»
Set-oabvirtualdirectory –Identity «NOMBRE_SERVER\OAB (Default Web Site)» –ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/oab»
Set-owavirtualdirectory –Identity «NOMBRE_SERVER\owa (Default Web Site)» –ExternalUrl «https://DOMINIO_DEL_CERTIFICADO/owa»
Set-ActiveSyncVirtualDirectory -Identity «NOMBRE_SERVER\Microsoft-Server-ActiveSync (Default Web Site)» -ExternalUrl https://DOMINIO_DEL_CERTIFICADO/Microsoft-Server-ActiveSync
(en 2013 tener en cuenta la ecp)
**************************************************************************************************************************************************************
en el tema de urls faltaría indicar correctamente la dirección Outlook anywhere
 
Captura
 
 
 
 
 
 
 
 
 
 
 
 
 
Añadimos Servicios al certificado
Get-ExchangeCertificate | fl (comando con el que sacaremos el Thumbprint)
 
 
wa
 
 
 
 
 
 
 
 
una vez tenemos el Thumbprint (miremos las fechas de caducidad)
añadimos los servicios al mismo
Enable-ExchangeCertificate -Thumbprint F61343F12C44E8FE2E24C1F7558E2E7664C9577A -Services POP,IMAP,SMTP,IIS
 
wb
 
 
 
 
 
si abrimos ahora el owa y comprobamos el certificado tendría que aparecer el correcto.
 
cert
 
 
 
 
 
 
 
 
 
Salu2 Monsters:)
 
monst

Deja una respuesta