Daniel Nez Banega

MCSE / MCSA / MCITP / MCTS

Contenido
Introduccin ............................................................................................................................. 2
Seleccin de tipo de certificado ......................................................................................... 3
Certificado Auto firmado vs Interno vs Pblico ........................................................... 4
Certificado auto firmado (self signed) ............................................................... 4
Certificado interno .................................................................................................. 4
Certificado Pblico o externo ............................................................................... 5
Conclusin de tipo de certificado ........................................................................ 7
Flujo de decisin...................................................................................................................... 8
Configuracin de certificados............................................................................................. 9
Es realmente necesario cambiar el certificado predeterminado? ............. 9
Solicitar un nuevo certificado .......................................................................................... 11
Generar el CSR (Certificate Signing Request) ................................................. 11
Procesar la solicitud con una entidad certificadora .................................... 16
Completar la solicitud pendiente ...................................................................... 18
Habilitar el certificado a nivel de servicios de Exchange ............................ 19
Exportar certificado de Exchange ................................................................................... 21
Importar certificado ............................................................................................................ 22
Mejores prcticas y errores comunes............................................................................ 24
Errores tpicos de configuracin ........................................................................ 25
Prximos pasos...................................................................................................................... 26

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |1

Introduccin
El tema de certificados en Exchange se encuentra dentro de los que genera
mayor confusin. Hay mucha informacin sobre este tema particular y en
muchos casos opiniones muy variadas.
El tomar una decisin incorrecta tendra un impacto directo en el usuario,
desde advertencias y errores de certificados1 hasta incluso no poder acceder
al servicio.
En este ebook vamos a ver qu tipo de certificado utilizar y cules son las
tareas ms comunes en Exchange 2013 incluyendo:

2 0 1 5

Seleccin de tipo de certificado

Solicitud de certificado

Instalacin y configuracin

Exportacin

Importacin

Recomendaciones

Errores comunes

http://aprendiendoexchange.com/outlook-el-nombre-del-certificado-de-seguridad-no-es-valido

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |2

Seleccin de tipo de
certificado
Para asegurar el acceso a los servicios de Exchange podemos utilizar 3 tipos
de certificados:
1. Certificado Auto firmado. Al instalar Exchange 2010 o Exchange 2013
se genera automticamente un certificado auto firmado (self signed)
habilitado para IIS, POP, IMAP y SMTP. Este certificado incluye los
nombres de host y FQDN del servidor, ej: servidor1,
servidor1.dominio.local

2. Certificado interno. Este certificado es emitido por una CA interna.

Esta CA podra estar integrada con Active Directory (tipo de CA
Enterprise) o puede ser Stand alone, es decir no integrada.

3. Certificado pblico o externo. Este tipo de certificado es el que en

general se recomienda para cualquier servicio expuesto hacia
internet. Para obtener un certificado pblico es necesario una entidad
certificadora externa como Godaddy, Digicert o Comodo entre otras.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |3

Certificado Auto firmado vs

Interno vs Pblico
Veamos las caractersticas ms relevantes de cada caso.

Certificado auto firmado (self signed)

El certificado auto firmado habilita a que de forma predeterminada los
servicios de Exchange sean accedidos de forma segura.
Este certificado cumple con la funcin bsica pero presenta los siguientes
inconvenientes:
1. Los clientes no confan en el certificado. Este certificado fue emitido
por el propio servidor y la evaluacin sobre que es o no confiable se
basa en si la entidad que emiti el certificado se encuentra dentro de
las races emisoras de confianza del cliente.

2. Dependiendo del tipo de acceso, los clientes en algunos casos podran

aceptar las advertencias y acceder al servicio mientras que en otros
esto no sera posible.
En organizaciones sin requerimientos especficos de acceso desde Internet,
el administrador podra optar por distribuir la llave pblica del certificado y si
bien no sera la mejor opcin podra ser suficiente para el acceso interno.

Certificado interno
El certificado interno en primera instancia implica contar con una CA
(Certificate Authority) o instalarla para este propsito.
Utilizar un certificado emitido por una CA interna puede tener varias
ventajas, al menos frente al certificado auto firmado:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |4

1. Es posible emitir un certificado con nombres especficos, por ejemplo

mail.dominio.com, mail.dominio.local, etc.

2. Dependiendo de si la CA se encuentra integrada con Active Directory,

los clientes unidos al dominio confiaran de forma predeterminada.
Ac el tema es que pasa con el acceso externo? Especficamente que
sucedera al acceder al correo desde un dispositivo mvil o un equipo no
unido al dominio?
En este caso los usuarios van a encontrarse con errores de certificados.
Para corregir la situacin sera necesario acceder al equipo e instalar la raz
emisora de confianza (CA interna). Como alternativa se le puede indicar al
usuario (si tiene los permisos necesarios) y esto podra funcionar en una
infraestructura chica pero no resultara escalable. En el caso puntual de
dispositivos mviles dependiendo de la versin podra presentar la opcin de
que el usuario acepte confiar directamente en la CA.
Existe la posibilidad de crear mltiples sitios web y de este modo poder
utilizar ms de un certificado; en este caso un certificado interno incluyendo
el nombre del servidor y otro utilizando el nombre pblico por ejemplo
webmail.dominio.com (emitido por una CA externa). En internet pueden
encontrar tutoriales explicando el proceso pero en general esta no es una
prctica recomendada ya que implica mayor complejidad, configuracin,
mantenimiento e igualmente requiere un certificado pblico.

Certificado Pblico o externo

Dentro de los certificados pblicos, existen varios tipos, el que usualmente se
requiere para Exchange es el de tipo SAN (Subject Alternative Names) o UCC
(Unified Communications Certificate), dependiendo el proveedor el nombre
exacto. Este tipo de certificado nos permite utilizar mltiples nombres.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |5

Adicionalmente estn los certificados de tipo wildcard (*), estos habilitan a

utilizar cualquier nombre dentro de un dominio especfico (subdominios).
El certificado pblico a diferencia del auto firmado y del interno tiene un
costo directo al momento de la compra y en funcin al tipo, cantidad de
nombres y tiempo el precio.
A la fecha de este ebook, el costo por un certificado con 4 nombres en
Digicert2 es de U$S 299 al ao, disminuyendo hasta U$S 239 si se compra con
un vencimiento a 3 aos, es decir que por un certificado con 4 nombres con
una vigencia de 3 aos queda un total aproximado de U$S 719. En el caso de
los escenarios anteriores el clculo no es tan simple y en general a largo
plazo terminan siendo ms costosos a nivel administrativo.
El certificado pblico es ideal ya que entre otras cosas puede ser utilizado
interna como externamente. Este certificado sera confiable en clientes
internos, externos, dispositivos mviles, etc de forma predeterminada.
A tener en consideracin que actualmente no es posible incluir nombres
internos en certificados pblicos y si bien no se consideraba una buena
prctica era algo relativamente comn de encontrar. Dada esta situacin y
considerando que en la configuracin de Exchange debemos definir URLs
internas y externas, es necesario un mecanismo que habilite a configurar los
servicios con nombres vlidos y que estos puedan ser utilizados desde la red
interna e Internet.
Para cumplir con este requerimiento podemos utilizar Split DNS o PinPoint
DNS3. Este tipo de configuracin nos permite utilizar los mismos nombres
interna y externamente resolviendo a una IP privada o pblica dependiendo
desde donde consulta el cliente.

2
3

2 0 1 5

https://www.digicert.com/es/ssl-tls-comunicaciones-unificadas.htm
http://aprendiendoexchange.com/split-dns-con-exchange

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |6

Conclusin de tipo de certificado

El certificado auto firmado nos habilita a contar con una instalacin segura
de forma predeterminada, sin embargo el hecho de que no sea confiable y
solo incluya los nombres internos del servidor no lo hacen un candidato ideal
para produccin.
El certificado interno puede ser una buena opcin si no accedemos desde
internet o no se considera problemtico que los usuarios reciban
advertencias sobre seguridad. Claramente esto no es recomendado.
El certificado pblico cumple con las prcticas recomendadas por Microsoft4:

Es confiable

No incluira el nombre de los servidores

Mediante split DNS podemos minimizar la cantidad de nombres

Dentro de los certificados pblicos se recomienda de tipo SAN/UCC. Los

certificados de tipo wildcard implican un riesgo muchas veces innecesario ya
que habilitan a asegurar cualquier subdominio, de cualquier modo es muy
utilizado y si ya existe uno en la organizacin, de cumplir con los
requerimientos de diseo puede ser una opcin viable.

2 0 1 5

https://technet.microsoft.com/en-us/library/dd351044(v=exchg.150).aspx

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |7

Flujo de decisin
Complementando la informacin, en el diagrama de flujo se detalla el
proceso de decisin de tipo de certificado en base a requerimientos
puntuales. Si bien la recomendacin en general es utilizar un certificado
pblico pueden haber escenarios especficos donde esto no sea 100%
necesario.
En base a la informacin presentada y el resultado del flujo evaluar la mejor
opcin:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |8

Configuracin de
certificados
Como vimos en la primer parte del ebook, con la instalacin de Exchange
20135 se genera automticamente un certificado auto firmado (self signed).
Este certificado se denomina Microsoft Exchange y viene habilitado para IIS,
POP, IMAP y SMTP.

Es realmente necesario cambiar el certificado

predeterminado?
El tema principal es que como vimos, los clientes no confan en el certificado
y esto deriva en ventanas y carteles molestos alertando sobre la seguridad.
Los errores indicados varan dependiendo del cliente, en caso de Outlook
2013 y OWA encontraramos los siguientes:
Outlook:
El certificado de seguridad ha sido emitido por una compaia que no es de
confianza. Vea el certificado para determinar si desea que esta entidad
emisora de certificados sea de confianza
The security certificate was issued by a company you have not chosen to
trust. View the certificate to determine whether you want to trust the
certifying authority.

2 0 1 5

http://aprendiendoexchange.com/como-instalar-exchange-2013

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

Pgina |9

OWA:
There is a problem with this websites security certificate

Importante: Los errores en relacin a confianza tambin se presentan con

certificados emitidos por algunas CA pblicas, por este motivo es
importante seleccionar una CA que sea lo ms confiable posible en el
sentido de que venga predeterminada en los principales sistemas.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 10

Solicitar un nuevo certificado

Independientemente del tipo de certificado a utilizar el procedimiento en
Exchange es similar en todos los casos:
1. Generar la solicitud de certificado (CSR) en Exchange
2. Procesar la solicitud con una entidad certificadora interna o externa
3. Completar la solicitud pendiente en Exchange con el archivo devuelto
por la CA
4. Habilitar el certificado para que los servicios de Exchange puedan
utilizarlo

Generar el CSR (Certificate Signing Request)

Para generar la solicitud de certificado utilizando el EAC (Exchange Admin
Center) de Exchange 2013:
1. Ingresar al EAC: HTTPS://ServidorCAS/ECP, donde ServidorCAS es el
nombre del servidor Exchange 2013 con el rol de CAS)
2. Hacer clic en Servidores y luego Certificados

Nota: El certificado auto firmado con el que interactan los clientes es el

que se llama Microsoft Exchange. Los otros 2 se recomienda no
modificarlos.
3. Hacer clic en + y seleccionar Crear una solicitud para un certificado
desde una entidad de certificacin:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 11

4. Especificar un nombre descriptivo y hacer clic en Siguiente:

5. Si es una solicitud para certificado de tipo comodn (wildcard) activar la

casilla, de lo contrario hacer clic en siguiente:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 12

6. Hacer clic en Examinar y seleccionar el servidor donde realizar la

solicitud:

7. Seleccionar los servicios en uso y definir los nombres a utilizar en el

certificado. La informacin que viene auto completada es en base a la
configuracin de las propiedades de URL interna, externa de cada uno de
los servicios web (las URLs configuradas son de vital importancia para que
todo funcione segn lo esperado):

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 13

Nota: En general conviene utilizar Split DNS 6de tal forma de utilizar los
mismos nombres interna y externamente minimizando la cantidad en el
certificado. De cualquier modo esto depende de cada escenario especfico,
hay varios factores que pueden afectar los nombres requeridos.
8. En informacin de la organizacin completar cada uno de los campos y
hacer clic en Siguiente:

2 0 1 5

http://aprendiendoexchange.com/split-dns-con-exchange

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 14

9. Especificar una ruta UNC vlida para guardar la solicitud. Ej:

\\servidor\temp\cert.req

10. Finalizar el asistente y verificar que la solicitud figure como Pedido

Pendiente:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 15

A partir de este momento estaramos en condiciones de enviar la solicitud

sea a una entidad certificadora interna o a una externa.

Procesar la solicitud con una entidad

certificadora
En caso de procesar el certificado con una CA interna, continuar el
procedimiento de lo contrario ir directamente al punto siguiente (Completar
la solicitud):
1. Abrir Internet Explorer (u otro navegador) y escribir la URL de la entidad
certificadora: Https://CA/Certsrv
2. En la ventana de bienvenida hacer clic en Request a Certificate y luego en
advanced certificate request

3. Hacer clic en Submit a certificate request by using a base-64-encoded

CMC or PKCS #10 file

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 16

4. Abrir con el bloc de notas el archivo con extensin REQ y copiamos todo
el texto

5. En la ventana de Submit a Certificate Request, en el cuadro de Saved

Request pegamos el texto del REQ. En Certificate Template seleccionamos
Web Server y hacemos clic en Submit

6. Seleccionar Base 64 encoded y clic en Download certificate

7. Guardar el archivo .CER

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 17

Completar la solicitud pendiente

Con el archivo devuelto por la entidad certificadora procedemos a completar
la solicitud pendiente:
1. Ir al EAC Servidores Certificados. Hacer clic en completo (completar
solicitud)

2. En Completar pedido pendiente ingresar la ruta al archivo CER (la

extensin puede variar) utilizando el formato UNC (\\servidor\recurso).
Aceptar para finalizar

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 18

Habilitar el certificado a nivel de servicios de

Exchange
Para utilizar el nuevo certificado primero debemos habilitarle servicios:
1. En el EAC Servidores Certificados, seleccionamos el certificado y
hacemos clic en Modificar (el icono que parece un lpiz)

2. Seleccionar los servicios que deseamos utilizar. Por ejemplo si los clientes
utilizan nicamente OWA, Outlook Anywhere y Activesync con seleccionar
IIS es suficiente. Guardar los cambios.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 19

Luego de esto los clientes Outlook no deberan presentar ms ventanas

relacionadas a certificados y si vamos por OWA y hacemos clic sobre el
certificado deberamos ver algo similar a la siguiente imagen:

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 20

Exportar certificado de
Exchange
Una vez instalado el certificado para Exchange 2013 y teniendo en cuenta el
tiempo que involucra el proceso de solicitud, especialmente cuando se trata
de una entidad emisora pblica es recomendable realizar un respaldo y
almacenarlo en un lugar seguro.
El respaldo de este certificado nos sera de utilidad frente a cualquiera de los
siguientes escenarios:
1. Caso de reinstalacin o reconstruccin del servidor
2. Para instalar el mismo certificado en varios servidores balanceados
Por fuera estara quedando error humano, pero es real y esto nos cubre
frente a cualquier eventualidad por lo que ejecutar este procedimiento nos
puede ahorrar un buen rato a futuro.
Para respaldar el certificado de Exchange debemos exportarlo junto a su
llave privada:
1. Ingresar al EAC de Exchange 2013 (HTTPS://ServidorCAS/ECP, donde
ServidorCAS es el nombre del servidor Exchange 2013 con el rol de CAS)
2. Ir a Servidores > Certificados y seleccionar el certificado a exportar.

3. Hacer clic en el icono y hacer clic en Exportar certificado de Exchange

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 21

4. Especificar la ruta donde almacenar el archivo PFX y hacer clic

en Aceptar. La ruta debe ser en formato UNC
(\\Servidor\recurso\archivo.pfx)

Importar certificado
Algunos motivos por los cuales podra necesitar importar un certificado:
1. Instalacin de un mismo certificado en mltiples servidores (por ejemplo,
servidores balanceados)
2. Restauracin de certificado
Para importar un certificado en Exchange 2013:
1. Ingresar al EAC de Exchange 2013 (HTTPS://ServidorCAS/ECP, donde
ServidorCAS es el nombre del servidor Exchange 2013 con el rol de CAS)
2. Ir a Servidores > Certificados

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 22

3. Hacer clic en el icono y hacer clic en Importar certificado de Exchange

4. Especificar la ubicacin del PFX previamente exportado. Se debe utilizar

ruta en formato UNC (\\servidor\recurso\archivo.pfx)

5. Seleccionar el servidor al cual importar el certificado y clic en Finalizar

Por ltimo habilitar los servicios que correspondan al certificado.

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 23

Mejores prcticas y errores

comunes
Recapitulo las prcticas recomendadas ms relevantes:
1. Adquirir un certificado de una entidad certificadora (CA) externa. De las
recomendadas para Exchange encontramos Godaddy, Digicert y Comodo
entre otras.
2. Utilizar certificados con atributo de SAN (Subject Alternative Names). Esto
nos permite utilizar un nombre principal en el certificado por ejemplo
webmail.contoso.com y agregar otros en el campo de SAN como por
ejemplo autodiscover.contoso.com, etc.
3. Si dentro del asistente de solicitud de certificado se sugieren nombres
internos para el certificado es porque probablemente algn servicio no este
correctamente configurado, en este caso editar los nombres a incluir y
verificar qu servicio est utilizando un nombre incorrecto (en general el
FQDN del servidor).
4. Minimizar la cantidad de nombres a utilizar en el certificado. Para esto
podemos utilizar un Split DNS. La idea ac sera utilizar un espacio de
nombre unificado.
5. Utilizar el mismo certificado en todos los servidores con el rol de CAS. Se
realiza el procedimiento de solicitud, procesamiento, etc en uno de los
servidores y posteriormente se exporta junto a su llave privada y se importa
en el resto de los servidores

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 24

Errores tpicos de configuracin

A continuacin algunos errores tpicos a nivel de configuracin:
1. Dejar los servicios con las URLs internas predeterminadas. Esto implica
que utilizan el nombre de servidor en lugar de un nombre comn como por
ejemplo webmail.contoso.com.
2. Incluir el nombre netbios y FQDN de cada servidor Exchange en el
certificado. Esto no debera ser necesario, tendramos que incluir
nicamente los nombres asociados a los distintos servicios en uso.
3. Configuracin de Autodiscover. Dependiendo del mecanismo
seleccionado de autodiscover si es necesario afectar los certificados en uso
cuando agregamos un nuevo dominio o no. Por ejemplo si utilizamos
registros SRV no es necesario modificar el certificado, pero si deseamos que
usuarios de un nuevo dominio utilicen autodiscover.nuevodominio.com, si
lo es. El tema de autodiscover es bastante extenso por lo que dejo en pie de
pgina el enlace al White paper7 de Microsoft (si bien fue hecho para
Exchange 2010 los conceptos aplican a 2013).

http://technet.microsoft.com/en-us/library/jj591328(v=exchg.141).aspx

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 25

Prximos pasos
Por ltimo dejo un link a un artculo dedicado a la resolucin de errores de
certificados en Outlook, en este post se incluye un diagrama de flujo para
resolucin de problemas comunes incluyendo errores de confianza y de
nombres entre otros:
http://aprendiendoexchange.com/outlook-el-nombre-del-certificado-deseguridad-no-es-valido

Ahora, si te gusto el ebook quisiera que hagas lo siguiente:

1. Enviarme un mail a admin@aprendiendoexchange.com contndome
2. Compartir el siguiente enlace al menos con un colega:
http://aprendiendoexchange.com/guia-certificados-exchange-2013
3. Dejar un comentario en la pgina principal del ebook:
http://aprendiendoexchange.com/guia-certificados-exchange-2013

2 0 1 5

T o d o s

l o s

d e r e c h o s

r e s e r v a d o s

P g i n a | 26