Question

Tengo un certificado que en principio supongamos que esta correctamente configurado, cual es el procedimiento de instalacion del certificado en el cliente si yo copio ese certificado en el escritorio de la maquina.

yo lo que hago es ejecutar mmc, agregar o quitar complementos, certificados, cuenta de equipo, equipo local, boton derecho en entidades de certificacion raiz de confianza, todas la tareas, importar, y sigo el asistente para importar certificados, este es el procedimineto correcto ?

 

Comments

Certificado a Nivel de Exchange??? Si es emitido por una entidad certificadora interna por defecto las maquinas confían en esa entidad. Ahora para el tema de Exchange no es necesario instalar el certificado en los Clientes, eso debe ir en los Cas con el nombre FQDN que utilicen los clientes al conectarse

Answer 1

1) Tu procedimiento es correcto, pero esto necesitas hacerlo para configurar Outlook Anywhere por RPC HTTPS en un equipo que no es miembro del dominio ?

2) Puedes hacerlo desde el IIS o desde Exchange si este ultimo es exchange 2010 y usando la Entidad Certificadora Interna o una de pago, tu decides. Tiene un asistente para realizar un certificado SAN (Subject Alternative Names) para configurar varios FQDN para la IP que va a servir al Exchange, por ejemplo: owa.tuempresa.com, mail.tuempresa.com, autodiscover.tuempresa.com, etc...

3) Si vas a hacer esto para un equipo / laptop que no esta en dominio, asegurate de crear el registro _SRV en donde tiene los MX publicos, y ademas de importarle este certificado, deberas importarle el certificado de la CA en el caso de que sea interna, para que el equipo confie en esta y no se produzca el tipico error de certificado, de la misma manera que importas manualmente el anterior. Deberia salirte una leyenda mas grande con el HASH del certificado, lo aceptas y todo ok.

Saludos.

Comments

Muchas Gracias a todos por responder.
1) si exactamente, si el equipo esta unido al dominio no tengo inconvenientes, pero cuando necesito acceder desde una maquina que esta fuera del dominio y abro el outlook me aparece error de certificado.
2) yo use el asistente como vos decis y luego lei que hay que configurar las rutas AIA y CDP
3) no me queda muy claro como deberia crear el registro _srv decime porfavor como deberia hacerlo


aprovecho para quien este luchando con certificados dar unos link que me fueron de utilidad

http://jbouzada.wordpress.com/2009/03/03/trabajando-con-certificados-en-windows-server-2008-1/
http://jbouzada.wordpress.com/2009/03/12/trabajando-con-certificados-en-windows-server-2008-2/
http://jbouzada.wordpress.com/2009/03/16/trabajando-con-certificados-en-windows-server-2008-3/
http://jbouzada.wordpress.com/2009/03/18/trabajando-con-certificados-en-windows-server-2008-4/
http://jbouzada.wordpress.com/2009/03/25/trabajando-con-certificados-en-windows-server-2008-5/
http://jbouzada.wordpress.com/2009/03/30/trabajando-con-certificados-en-windows-server-2008-%E2%80%A6y-6/

saludos y muchas gracias nuevamente a Malaver y a vos Gustavo.

---

Osvaldo,

El registro SRV _autodiscover._tcp.tuempresa.com  en tu ISP publico, es quien le indica al exchange 2010 en que direccion y puerto deberia buscar la conexion RPC para el outlook enywhere, si creas un certificado SAN deberia funcionarte igual, pero por las dudas es recomendable que crees este registro.

Primero consulta si tu Proveedor soporta la creacion en los DNS de este registro y la forma en que se configura seria la siguiente:

Suponiendo que tu direccion de email es: osvaldo@tuempresa.com

Service: _autodiscover
Protocol: _tcp
Port Number: 443
Host: mail.tuempresa.com (direccion externa de tu acceso OWA)

El registro se veria asi:

_autodiscover._tcp.tuempresa.com

Luego validas en:

https://www.testexchangeconnectivity.com/

y desde el cliente de outlook de 2010 puedes tambien hacer la prueba de Test E-mail Autoconfiguration y quitarle los check de "Use Guest Smart" y "Secure Guessmart Authentication"

Ete aqui un ejemplo: http://i33.tinypic.com/2qvr09e.jpg

Si sale todo en verde, es porque todo ha salido bien.

Otro punto a tener en cuenta es modificar el outlook para que la cuenta use HTTP tanto para conexines lentas como rapidas y setealo en autenticacion basica.

Corrijanme si me equivoco por favor. !

Saludos

Answer 2

Hola osvaldodegregorio, cuando instalas una entidad certificadora raíz en tu dominio, automáticamente los servidores y las máquinas del dominio, reciben una copia del certificado público de la entidad certificadora del dominio.

Con este certificado, las máqunas pueden evaluar si un certificado ofrecido por un servicio (ej: OWA,Outlook Anyware, etc) es válido (ha sido firmado por la entidad certificadora del dominio). Por eso es que lo deben tener localmente o no podrían validar los certificados.

Nota: No es que se copie el certificado privado de la entidad certificadora del dominio a las máquinas, lo que se copia es el certificado público, tal como tenemos en nuestras máquinas los certificados públicos como se ve en la imagen.

En esta misma lista debes verificar que los clientes tengan el certificado raíz de tu entidad certificadora, si no lo tienen, entonces debes revisar si hay un problema con la entidad certificadora o con el Active Directory.

El proceso que describes en tu pregunta, lo debes realizar manualmente para máquinas que no pertenecen al dominio y que van a usar el servicio de Outlook Anyware, OWA, etc.

Esto también se debe hacer en los teléfonos móviles para que puedan verificar la valides de los certificados que reciben al conectarse a nuestro Exhange.

Si no queremos hacer este proceso manualmente, debemos entonces comprar un certificado público. Al tener las máquinas y los teléfonos instalados ya de fábrica, los certificados raíz de estas empresas, no es necesario importarlos manualmente. Por eso se recomienda usar un certificado comprado en vez de uno "hecho en casa".

 

Comments

Agrego tambien que si la CA es una enterprise, deberias habilitar el autoenrollment por GPO para hacer el deploy, sino estas no hacen el push a los equipos del dominio automaticamente. Que alguien me corrija, pero creo que es asi.