martes, 20 de abril de 2010

Problemas con el certificado de seguridad del servidor de Exchange 2007 al abrir Outlook

Podemos ver que tenemos problemas con este certificado , cuando desde equipos cliente con Outlook, nos muestran mensajes de aviso, informándonos que el servidor al que queremos acceder no tiene un certificado válido y nos da la opción de continuar.

Esto sucede porque Exchange 2007 utiliza un servicio "Autodiscover" para facilitar a los clientes Outlook a obtener lo necesario para conectarese. En el caso de clientes externos, faciliata las URL necesarias y los internos acceden a través de una entrada  en el directorio activo llamada "Service Connection Point".
Para realizar estas comunicaciones utilizan SSL, que necesita un certificado digital válido. Si no disponemos de un certificado de una empresa externa, podemos utilizar los certificados autofirmados de Exchange.

Artículo interesantes sobre Autodisocover Service de Exchange ( ingles) http://msexchangeteam.com/archive/2007/04/30/438249.aspx


Libro blanco de Microsoft sobre el tema
http://technet.microsoft.com/en-us/library/bb332063(EXCHG.80).aspx


Volviendo a nuestro error, si miramos el visor de sucesos del servidor, encontramos en la rama de Aplicación, avisos y errores de la categoría MSExchangeTransport.

  • “Microsoft Exchange no encontró un certificado que contenga el nombre de dominio ….”
  • “El certificado de confianza directo entrante con la huella digital 26AA7F40122F76F04553DC... ha expirado. Ejecute New-ExchangeCertificate para generar un nuevo certificado de confianza directo.
  • Un certificado de confianza directo ha expirado. Huella digital: 40160209F26AA7F40122F76F045...
La solución se nos la indica en estos mismos avisos del visor de sucesos, tenemos que ejecutar desde la consola de administración de Exchange el comando New-ExchangeCertificate y crea de forma inmediata un nuevo certificado para el servidor donde se ejecuta, dando permisos para el grupo de seguridad Servicios de Red de acceso a la clave privada y se publica en el Active Directory.

Podemos comprobar los certificados que tenemos en nuestro servidor utilzando el comando del shell de Exchange Get-ExchangeCertificate -domain "nombre del dominio" |fl  que nos mostrará la información detallada.

Puede pasar que despues de realizar estos pasos siga saliendo el mensaje de aviso en el Outlook por lo que podemos forzar la activación del certificado para diferentes servicios, ejecutando el comando del shell de Exchange Enable-ExchangeCertificate - thumbprint "cadena exadecimal del certificado" - services "POP, SMTP, IIS"