Certificat Exchange

15 juny 2014
  • es Español
    • Professionals TIC
    Josep Ma Solanes 0
    | |

    Quan tot es concentra en un únic punt en el temps, tot ha de volar, ha de córrer, però la veritat és que no arribes a tot arreu i les coses corrents, la majoria, surten malament. Per fer una entrada setmanal maldestre prefereixo deixar en el seu lloc, una costelleta que molts i molts cops has de tenir a mà a corre-cuita: canviar el certificat de Microsoft Exchange.

    Per què ho has de fer sempre a corre-cuita? Doncs perquè quan el certificat està vigent ningú se’n recorda d’ell, només quan ja ha caducat el certificat del servidor de correu electrònic Microsoft Exchange correm-hi tots: els usuaris no poden accedir amb normalitat al correu electrònic.

    Sé que el tema certificats costa, és un món desconegut per la majoria, ja no de mortals, sinó també per administradors de sistemes. Però només és això, un desconegut. Si te’l presenten les coses es tornen més fàcils per a tots.

    El què hem de saber d’aquest certificat en concret és que l’ha d’emetre una entitat certificadora en què confiïn tots els dispositius que s’hi hagin de connectar com a usuaris (ordinadors, smartphones), per exemple la pròpia de l’empresa o també es pot adquirir en una entitat comercial un certificat multidomini. Usuaris, són totes aquelles persones que tenen una bústia al servidor de Microsoft Exchange i utilitzen un client de correu per connectar-s’hi, ja sigui Microsoft Outlook, OWA, l’iPhone, l’Android, etc…

    El certificat el què fa és xifrar la capa de transport, és a dir, la comunicació entre el servidor i el client de correu electrònic. No, no és un certificat per validar usuaris o signar, com el cas del DNIe, el d’Hisenda, idCat, etc… Aquest certificat només s’instal·la en els frontals dels servidors de correu electrònic, no als usuaris. La seva petició a l’entitat certificadora és mitjançant una plantilla de servidor Web, però a diferència d’una web, aquest certificat ha d’incloure tots els noms alternatius que pugui utilitzar el servidor de correu: autodiscover, webmail, el nom del servidor, el nom del domini, etc….

    Instruccions PowerShell

    La petició (el fitxer request a passar a l’entitat certificadora) es realitza mitjançant la PowerShell de Microsoft Exchange amb una instrucció que varia segons sigui Microsoft Exchange 2007 o bé Microsoft Exchange 2010 i 2013:

    No obstant, abans de fer la petició, convé fer un llistat i prendre nota dels certificats actuals amb la seva empremta digital, a fi de poder localitzar millor el nou per activar-lo als diferents serveis:

    Get-ExchangeCertificate

    Desglossant una mica la instrucció a passar hem de saber perquè serveixen certs paràmetres:

    • SubjectName. Les dades de qui genera el certificat: nom, adreça, població, província, país. Especial atenció al paràmetre cn que ha de contenir el nom principal amb la què s’accedeix al servidor de correu electrònic.
    • DomainName. Els diferents noms amb el que es pot accedir a algun dels serveis del servidor de correu electrònic. Forçosament ha d’incloure el nom NetBIOS del servidor, el nom del domini d’Active Directory, la combinació d’ambdós i l’alias autodiscover en tots els possibles dominis del servidor de correu. A més dels noms amb el que es criden els diferents serveis: webmail, correu, pop, smtp…
    • FriendlyName. Un altre cop el nom principal amb el què s’accedeix al servidor de correu electrònic. Per exemple: correu.jmsolanes.cat.

     

    Microsoft Exchange 2007

    La instrucció per generar la petició de certificat a passar a l’entitat certificadora és:

    New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES,s=Tarragona,l=VALLS,o=JMSolanes,cn=correu.jmsolanes.cat" -DomainName srvcorreu, jmsolanes.cat, srvcorreu.jmsolanes.cat, correu.jmsolanes.cat,pop.jmsolanes.cat, autodiscover.jmsolanes.cat, imap.jmsolanes.cat -FriendlyName "correu.jmsolanes.cat" -PrivateKeyExportable $True -Force -Path "c:\peticio_de_certificat.req" -keysize 2048

    Microsoft Exchange 2010 i 2013

    En aquest cas, primer s’assigna la petició a una variable i després es guarda el resultat en un fitxer:

    $Data = New-ExchangeCertificate -GenerateRequest -SubjectName "c=ES,s=Tarragona,l=VALLS,o=JMSolanes,cn=correu.jmsolanes.cat" -DomainName srvcorreu, jmsolanes.cat, srvcorreu.jmsolanes.cat, correu.jmsolanes.cat,pop.jmsolanes.cat, autodiscover.jmsolanes.cat, imap.jmsolanes.cat -FriendlyName "correu.jmsolanes.cat" -PrivateKeyExportable $True -keysize 2048
    Set-Content -path "c:\peticio_de_certificat.req" -Value $Data

    El contingut del fitxer “peticio_de_certficat.req” és el que s’ha de copiar i passar a l’Entitat Certificadora per obtenir el certificat. Un cop tinguem el certificat, cal importar-lo. És MOLT important fer-ho des del mateix equip que és qui s’ha quedat la clau PRIVADA!.

    Per a Microsoft Exchange 2007 la importació es fa amb la següent instrucció:

    Import-ExchangeCertificate -path "c:\correu.jmsolanes.cat.cer"

    En Microsoft Exchange 2010 i 2013, segons el tipus de codificació del certificat, cal utilitzar una instrucció (extensió p7b):

    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\correu.jmsolanes.cat.p7b -Encoding byte -ReadCount 0))

    O bé l’altre (extensió cer):

    Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path C:\correu.jmsolanes.cat.cer -Encoding byte -ReadCount 0))

    Si la importació és correcte, en acabar, apareix l’empremta digital (Thumbprint) del mateix. És necessària per fer l’assignació del certificat als diferents serveis del servidor de correu electrònic. En cas de no veure-la correctament, es pot fer un llistat dels certificats amb la següent instrucció i localitzar-lo:

    Get-ExchangeCertificate

    Finalment, s’activa el certificat als diferents serveis. Aquest canvi és immediat:

    Enable-ExchangeCertificate -Thumbprint 999999999999999999999999999999 -Services "IIS,SMTP,POP,IMAP"

    Ja hi ha el certificat de Microsoft Exchange canviat i per tant, ja podeu tornar a respirar.

    En cas de disposar de més d’un servidor frontal de Microsoft Exchange o un proxy revers al seu davant, cal exportar el certificat amb la seva clau privada, per entorn gràfic mateix i com qualsevol altre certificat, i importar als altres servidors, associant-lo als serveis corresponents (correu electrònic, proxy revers, etc…)

     

    T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

    Similar Posts by The Author: