Configurar certificados SSL para usar varios nombres de host del servidor de acceso de cliente

Artículo
05/13/2016

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2012-07-23

Puede usar el Shell para configurar los certificados de Capa de sockets seguros (SSL) para usar varios nombres de host.

Cuando implementa los servidores de acceso de cliente de Microsoft Exchange Server 2010, debe asegurarse de que todos sus clientes, como Microsoft Office Outlook Web App y Office Outlook 2007, sean capaces de conectarse a los servicios mediante una sesión cifrada sin recibir un mensaje de error que indique que el certificado no es de confianza.

Mediante el Shell, puede crear una solicitud de certificado que contenga todos los nombres de host de DNS de los servidores de acceso de cliente. A continuación, puede habilitar a los usuarios para que se conecten al certificado para usar servicios como Outlook en cualquier lugar, Detección automática, POP3, IMAP4 o mensajería unificada, enumerados en el atributo de nombres alternativos. Por ejemplo, los usuarios podrán conectarse a los servicios de Exchange especificando el nombre, como se indica en los siguientes ejemplos:

https://CAS01/owa
https://CAS01.FQDN.name/owa
https://CASIntranetName/owa
https://autodiscover.emaildomain.com

En lugar de necesitar varios certificados y de mantener la configuración de varias direcciones IP y de sitios web de Internet Information Services (IIS) para cada puerto IP y combinación de certificados, puede crear un certificado único que habilite a los clientes para conectarse correctamente a cada nombre de host mediante SSL o Seguridad de nivel de transporte (TLS).

Puede crear un certificado único al agregar todos los valores posibles de nombre DNS a la propiedad de certificado de Subject Alternative Name en la solicitud de certificado. Una entidad de certificación de Servicios de servidor de certificados basada en Windows debe crear un certificado para dicha solicitud.

Nota

Las terceras partes o las entidades de certificación solo emitirán certificados para los nombres DNS que esté autorizado a usar. Por lo tanto, los nombres DNS de intranet probablemente no serán admitidos.

Para configurar los certificados de SSL a fin de usar varios nombres de host de servidores Acceso de cliente, siga estos pasos:

Use el cmdlet New-ExchangeCertificate para crear un archivo de solicitud de certificado.
Envíe este archivo a una entidad de certificación de Servicios de servidor de certificados de Windows y use la plantilla de servidor web en la página Entidad de certificación. De este modo, se creará un archivo .cer que se puede importar al servidor Acceso de cliente.
Use el cmdlet Get-ExchangeCertificate para determinar la huella digital de su certificado.
Una vez importado el certificado, puede asignarlo a IIS, IMAP4 o POP3 mediante el cmdlet Enable-ExchangeCertificate.

¿Está buscando otras tareas de administración relacionadas con SSL? Consulte Administrar SSL para un servidor de Acceso de cliente.

Requisitos previos

Ha iniciado sesión en el equipo con una cuenta que no pertenece al grupo de administradores y ha usado el comando runas para ejecutar el Administrador de IIS como un administrador. Esto es una práctica de seguridad recomendada. Para ello, en el símbolo del sistema, escriba **runas /user:**Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc".
Lea Funcionalidad de la TLS y terminología relacionada en Exchange 2010. Aquí encontrará información sobre las distintas variables que debe considerar al configurar certificados para servicios SSL o TLS y cómo estas variables pueden afectar la configuración general.

Usar el Shell para crear un archivo de solicitud de certificado

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Configuración de seguridad del servidor de acceso de cliente" en el tema Permisos de acceso de cliente.

Este ejemplo crea un archivo de texto que contiene una solicitud de certificado en formato PKCS#10.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Usar el Shell para importar un certificado

En este ejemplo, se importa un certificado obtenido previamente.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Usar el Shell para determinar la huella digital de su certificado

En este ejemplo, se determina qué huella digital de un certificado coincide con el nombre de host de CAS01.

Get-ExchangeCertificate -DomainName "CAS01"

Nota

Este ejemplo devolverá varios certificados si hay varios que concuerdan con el nombre de host que ha especificado. Por lo tanto, compruebe que ha seleccionado la huella digital del certificado correcto para la solicitud.

Usar el Shell para asignar el certificado a IIS, POP3 e IMAP4

En este ejemplo, se asigna el certificado a IIS, POP3 e IMAP4.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

En este ejemplo, se asigna el certificado a un servidor, que a su vez, asigna el certificado a todos los servicios que se están ejecutando en el servidor de Exchange.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Para obtener más información acerca de la sintaxis y los parámetros para los cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate y New-ExchangeCertificate, consulte Cmdlets globales.