Descripción del certificado autofirmado en Exchange 2007
Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Última modificación del tema: 2009-12-23
Un certificado digital es un archivo electrónico que funciona como una contraseña en línea para comprobar la identidad de un usuario o equipo. También se utiliza para crear un canal cifrado de SSL que se utiliza para las comunicaciones entre un servidor que ejecuta Microsoft Exchange y un equipo o dispositivo cliente. Un certificado digital es un comunicado emitido por una entidad de certificación (CA) que garantiza la identidad del poseedor del certificado y permite las comunicaciones cifradas.
Los certificados digitales hacen lo siguiente:
Dan fe de que sus poseedores (personas, sitios web e incluso recursos de red como enrutadores) son de verdad quien dicen ser.
Ayudan a proteger los datos que se intercambian en línea contra las manipulaciones o los robos.
Los certificados digitales pueden ser emitidos por una entidad de certificación de terceros o por una infraestructura de clave pública de Microsoft Windows de confianza mediante el uso de los servicios de Certificate Server, o también se pueden autofirmar. Al instalar la función del servidor Acceso de cliente o la función de servidor de mensajería unificada con Microsoft Exchange Server 2007, se instala un certificado autofirmado a no ser que exista un certificado digital previo. Este documento proporciona información general del certificado autofirmado en Exchange 2007 y sobre cuándo se debería utilizar y cuándo no.
Para obtener más información acerca de la seguridad del servidor de acceso de cliente de Exchange 2007, consulte Descripción de SSL para servidores de acceso de cliente.
Introducción al certificado autofirmado
Al instalar Exchange 2007 con la función del servidor Acceso de cliente, se crea un certificado autofirmado. El certificado autofirmado se creó para ayudar a proteger las comunicaciones entre los servidores de Exchange 2007 dentro de una organización y también para proporcionar un método temporal para cifrar las comunicaciones del cliente hasta la obtención e instalación de un certificado alternativo. El certificado autofirmado tiene dos entradas de nombre alternativo del sujeto: una para el nombre NetBIOS del servidor de acceso de cliente y uno para el nombre de dominio completo (FQDN) del servidor de acceso de cliente. Aunque el certificado autofirmado se puede utilizar para cifrar comunicaciones entre un servidor de acceso de cliente y otras funciones de servidor de Exchange Server 2007, no recomendamos que lo utilice con aplicaciones y dispositivos de clientes. Debido a las limitaciones de los certificados autofirmados, recomendamos que sustituya el certificado autofirmado por un certificado de terceros de confianza o por un certificado firmado por un PKI de Windows.
Nota
Un certificado autofirmado se instala en todas las funciones del servidor de Exchange 2007 excepto en la función del servidor Buzón de correo.
Limitaciones del certificado autofirmado
En la siguiente lista se enumeran algunas limitaciones del certificado autofirmado.
Fecha de expiración: El certificado autofirmado es válido para un año desde la fecha de creación en versiones de Exchange 2007 anteriores a Exchange 2007 Service Pack 2 (SP2). Los certificados autofirmados son válidos durante cinco años desde la fecha de creación en Exchange 2007 SP2 o en versiones posteriores. Cuando el certificado expira, se debe generar un nuevo certificado autofirmado manualmente mediante el cmdlet New-ExchangeCertificate.
Outlook en cualquier lugar: El certificado autofirmado no se puede utilizar con Outlook en cualquier lugar. Recomendamos que obtenga un certificado de un PKI de Windows o un certificado comercial de terceros de confianza si utiliza Outlook en cualquier lugar.
Exchange ActiveSync: el certificado autofirmado no se puede utilizar para cifrar comunicaciones entre dispositivos Microsoft Exchange ActiveSync y el servidor de Exchange. Recomendamos que obtenga un certificado de un PKI de Windows o un certificado comercial de terceros de confianza para utilizar con Exchange ActiveSync.
Outlook Web Access: los usuarios de Microsoft Outlook Web Access recibirán un mensaje en el que se les informa de que el certificado que se utiliza para proteger Outlook Web Access no es de confianza. Este error se produce porque el certificado no está firmado por una autoridad de confianza del cliente. Los usuarios podrán omitir el mensaje y utilizar el certificado autofirmado para Outlook Web Access. Sin embargo, recomendamos que obtenga un certificado de un PKI de Windows o un certificado comercial de terceros de confianza.
Expiración del certificado
El certificado autofirmado es válido durante un año desde la instalación de la función del servidor Acceso de clientes o durante un año después de crearlo en versiones de Exchange 2007 anteriores a Exchange 2007 SP2. Los certificados autofirmados son válidos durante cinco años desde la fecha de creación en Exchange 2007 SP2 o en versiones posteriores. Los componentes internos que confían en los certificados autofirmados predeterminados siguen funcionando aunque el certificado autofirmado haya expirado. Con todo, una vez que ha expirado un certificado autofirmado, en el Visor de eventos se registran los siguientes eventos:
Tipo de evento: Error |
Origen del evento: MSExchangeTransport |
Categoría del evento: TransportService |
Id. de evento: 12014 |
Fecha: Fecha |
Hora: Hora |
Usuario: N/D |
Equipo: Server_Name |
Descripción: Microsoft Exchange no encontró un certificado que contenga el nombre de dominio Domain_Name en el almacén personal del equipo local. Por este motivo, no se puede ofrecer el verbo STARTTLS SMTP para el conector Default Server con un parámetro de FQDN de FQDN. Si el FQDN de conector no está especificado, se usará el FQDN del equipo. Compruebe la configuración del conector y los certificados instalados para asegurarse de que existe un certificado con un nombre de dominio para este FQDN. Si este certificado existe, ejecute Enable-ExchangeCertificate -Services SMTP para asegurarse de que el servicio de transporte de Microsoft Exchange tiene acceso a la clave de certificado. Para obtener más información, consulte el Centro de ayuda y soporte técnico en https://go.microsoft.com/fwlink/?LinkID=34258. |
Tipo de evento: Advertencia |
Origen del evento: MSExchangeTransport |
Categoría del evento: TransportService |
Id. de evento: 12015 |
Fecha: Fecha |
Hora: Hora |
Usuario: N/D |
Equipo: Server_Name |
Descripción: Un certificado de confianza interno ha expirado. Huella digital:Thumb_Print_Value Para obtener más información, consulte el Centro de ayuda y soporte técnico en https://go.microsoft.com/fwlink/?LinkID=34258. |
Es aconsejable renovar los certificados autofirmados antes de que expiren. Puede utilizar el Shell de administración de Exchange para renovar el certificado autofirmado clonando el certificado. Puede clonar el certificado utilizando primero el cmdlet Get-ExchangeCertificate para obtener la huella digital del certificado predeterminado para su dominio.
Nota
Los siguientes cmdlets se deben ejecutar desde el servidor de acceso de cliente de Exchange 2007 local y no se pueden ejecutar de forma remota.
Get-ExchangeCertificate -DomainName CAS01.contoso.com
En Servicios, seleccione el certificado que contenga una "W**"** de la lista de certificados. Por ejemplo, seleccione IP.WS. La "W" indica que el certificado está asignado a IIS.
A continuación, para clonar el certificado, ejecute el siguiente cmdlet.
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate
El nuevo certificado clonado se marcará con una nueva fecha de expiración un año después de la fecha de ejecución del cmdlet.
Cuándo puede utilizar el certificado autofirmado
Existen varios protocoles y situaciones donde se puede utilizar el certificado autofirmado para cifrar las comunicaciones. Los clientes de Outlook que pertenecen a un dominio pueden utilizar el certificado autofirmado para cifrar mensajes de correo electrónico y para cifrar el canal de comunicaciones entre el cliente y el servidor de Exchange. Como se ha mencionado anteriormente, los usuarios de Outlook Web Access también pueden utilizar el certificado autofirmado para cifrar canales de comunicación. También puede utilizar el certificado autofirmado para cifrar las comunicaciones entre los servidores de acceso de clientes en diferentes sitios del servicio de directorio de Active Directory. Este escenario, conocido como conexiones proxy CAS-CAS, necesita una modificación en el Registro para funcionar correctamente.
Uso del certificado autofirmado con clientes de Outlook 2007 que pertenecen a un dominio
El certificado autofirmado funciona sin configuración adicional para los clientes de Microsoft Office Outlook 2007 que pertenecen a un dominio. Estos clientes se pueden conectar sin recibir advertencias de seguridad ya que las URL que utilizan para conectarse al servicio Detección automática hacen todas referencia al FQDN interno del servidor de acceso de cliente. El certificado autofirmado tiene un nombre común que corresponde al nombre NetBIOS del servidor. El certificado autofirmado también incluye el FQDN del servidor como nombre DNS adicional que se almacena en el campo nombre alternativo del sujeto del campo. Esto permite que los clientes que pertenecen a un dominio se conecten correctamente al servicio Detección automática sin recibir ninguna advertencia de certificado ya que el certificado no ha expirado y el FQDN del servidor al que se conecta se almacena en el nombre alternativo del sujeto del certificado. Aunque el cliente no puede validar el certificado autofirmado hasta la raíz de confianza, este error de validación se permite cuando los clientes que pertenecen a un dominio se conectan al servicio Detección automática mediante el certificado autofirmado. Sin embargo, no recomendamos un uso a largo plazo de este certificado autofirmado ya que se creó con el principal objetivo de facilitar la urgencia de obtener un certificado correcto de forma que los clientes de Outlook 2007 puedan empezar a utilizar inmediatamente las características de Exchange 2007.
Uso del certificado autofirmado con conexiones proxy
Hay varios pasos que se deben realizar antes de poder utilizar correctamente el certificado autofirmado para cifrar comunicaciones entre clientes y servidores en un escenario de conexiones proxy. Para obtener más información acerca de las conexiones proxy, consulte Descripción del uso de proxy y redirección.
Debe modificar el Registro para permitir el uso de certificados autofirmados con conexiones proxy. Sus clientes recibirán un mensaje cuando se conecten al servidor de acceso de clientes de Exchange 2007 ya que la mayoría de aplicaciones cliente no consideran válido el certificado autofirmado, como Exchange ActiveSync y Microsoft Office Outlook 2007. Exchange ActiveSync y Outlook Web Access admiten las conexiones proxy desde un servidor de acceso de cliente a otro. Para que las conexiones proxy funcionen utilizando un certificado autofirmado, debe configurar las siguientes claves del Registro en un servidor de acceso de cliente orientado a Internet:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1
Estas clave de Registro permitirán que el servidor de acceso de cliente abierto a Internet se conecte a un servidor de acceso de cliente no orientado a Internet mediante un certificado autofirmado instalado en el servidor de acceso de cliente no abierto a Internet. Si el servidor de acceso de cliente abierto a Internet utiliza un certificado autofirmado para las comunicaciones de clientes, se aplicarán todas las limitaciones mencionadas anteriormente.
UNRESOLVED_TOKEN_VAL(exRegistry)
Cuándo no puede utilizar el certificado autofirmado
Aunque el certificado autofirmado se admite para clientes de Microsoft Office Outlook 2007 que pertenecen a un dominio y Outlook Web Access, no recomendamos un uso a largo plazo del certificado autofirmado para un uso distinto al de cifrar las comunicaciones entre servidores de Exchange 2007 dentro de su organización. Recomendamos que para admitir muchas, si no todas, las características del servidor de acceso de cliente como Exchange ActiveSync, Outlook Web Access y Outlook en cualquier lugar, obtenga un certificado de un PKI de Windows o una CA de terceros de confianza y que se asegure de que este certificado se importa en el almacén raíz de confianza de cada equipo o dispositivo.
Importante
El certificado autofirmado no es compatible con el uso de Outlook en cualquier lugar ni Exchange ActiveSync.
Para obtener más información
Para obtener más información acerca de SSL, los certificados y Exchange 2007, consulte los siguientes temas: