Cómo configurar certificados de SSL para usar varios nombres de host del servidor Acceso de cliente

  • Artículo

 

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Última modificación del tema: 2007-10-24

En este tema se explica cómo usar el Shell de administración de Exchange para configurar los certificados de Nivel de sockets seguros (SSL) para usar varios nombres de host.

Cuando implementa los equipos que están ejecutando Microsoft Exchange Server 2007 y que tienen instalada la función del servidor Acceso de cliente, debe asegurarse de que todos sus clientes, como Outlook Web Access y Outlook 2007, sean capaces de conectarse a los servicios mediante una sesión cifrada sin recibir un mensaje de error que indique el certificado no es de confianza.

Nota

Para que Internet Security and Acceleration (ISA) Server controle las conexiones SSL a Exchange 2007, debe incluir el nombre del asunto del propio certificado como primera entrada SAN cuando solicite un certificado para usarlo en varios servidores o con varios nombres host.

Mediante el Shell de administración de Exchange, puede crear una solicitud de certificado que contenga todos los nombres de host de DNS de los servidores Acceso de cliente. A continuación, puede habilitar a los usuarios para que se conecten al certificado para usar servicios como Outlook en cualquier lugar, Detección automática, POP3, IMAP4 o mensajería unificada, enumerados en el atributo de nombres alternativos. Por ejemplo, los usuarios podrán conectarse a los servicios de Exchange especificando el nombre, como se indica en los siguientes ejemplos:

En lugar de necesitar varios certificados y de mantener la configuración de varias direcciones IP y de sitios web de Internet Information Services (IIS) para cada puerto IP y combinación de certificados, puede crear un certificado único que habilite a los clientes para conectarse correctamente a cada nombre de host mediante SSL o Seguridad de nivel de transporte (TLS).

Puede crear un certificado único agregando todos los valores posibles de nombre de DNS a la propiedad de certificado de nombre alternativo de asunto en la solicitud de certificado. Una entidad de certificación de Servicios de Certificate Server basada en Microsoft Windows debe crear un certificado para dicha solicitud.

Nota

Las terceras partes o las entidades de certificación sólo emitirán certificados para los nombres de DNS en los que esté autorizado. Por lo tanto, es probable que los nombres DNS de intranet no se aprueben.

Para configurar los certificados de SSL a fin de usar varios nombres de host de servidores Acceso de cliente, siga estos pasos:

  1. Use el cmdlet New-ExchangeCertificate para crear un archivo de solicitud de certificado.

  2. Envíe este archivo a una entidad de certificación de Servicios de Certificate Server de Windows y use la plantilla Web server en la página Entidad de certificación. De este modo, se creará un archivo .cer que se puede importar al servidor Acceso de cliente.

  3. Use el cmdlet Get-ExchangeCertificate para determinar la huella digital de su certificado.

  4. Una vez importado el certificado, puede asignarlo a IIS, IMAP4 o POP3 mediante el cmdlet Enable-ExchangeCertificate.

Antes de empezar

Para realizar los siguientes procedimientos, debe delegar en la cuenta que use la función Administrador con permiso de vista de Exchange.

Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Exchange 2007, consulte Consideraciones sobre permisos.

Importante

Antes de llevar a cabo los siguientes procedimientos, debe leer Administración de la seguridad del acceso de cliente.

Importante

Como práctica de seguridad recomendada, inicie sesión en el equipo usando una cuenta que no pertenezca al grupo de administradores y, a continuación, use el comando runas para ejecutar el administrador de IIS como Administrador. En la señal de comando, escriba runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc".

Importante

Hay muchas variables que se deben tener en cuenta durante la configuración de certificados para servicios de SSL o TLS. Debe estar seguro de entender cómo estas variables pueden afectar a su configuración general. Antes de continuar, lea Creación de un certificado o de una solicitud de certificado para TLS.

Procedimiento

Para usar el comando de Shell de administración de Exchange con el objeto de crear un archivo de solicitud de certificado

  1. Ejecute el siguiente comando:

    New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt

    Este comando creará un archivo de texto que contiene una solicitud de certificado en formato PKCS#10.

Para usar Shell de administración de Exchange con el objeto de importar un certificado

  1. Ejecute el siguiente comando:

    Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Para usar el Shell de administración de Exchange para determinar la huella digital de su certificado

  1. Para determinar la huella digital, ejecute el siguiente comando:

    Get-ExchangeCertificate -DomainName "CAS01"

Nota

Este comando devolverá varios certificados si hay varios que concuerdan con el nombre de host que ha especificado. Por lo tanto, compruebe que ha seleccionado la huella digital del certificado correcto para la solicitud.

Para usar el Shell de administración de Exchange para asignar el certificado a IIS, POP3 e IMAP4

  1. Para asignar el certificado a IIS, POP3 e IMAP4, ejecute el siguiente comando:

    Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

  2. O, si lo prefiere, para asignar el certificado a un servidor y que éste, a su vez, lo asigne a todos los servicios que se están ejecutando en el servidor de Exchange, ejecute el siguiente comando:

    Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Para obtener más información acerca de sintaxis y parámetros para los cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate y New-ExchangeCertificate, consulte Cmdlets globales.

Para obtener más información

Para obtener más información acerca de cómo crear certificados o sobre solicitudes de certificados para SSL o TLS, consulte Creación de un certificado o de una solicitud de certificado para TLS.