1.3K
Los servidores de Exchange utilizan certificados SSL para cifrar las conexiones entre el cliente y los servidores. Ya sea que use Outlook Desktop o en la web, el certificado SSL proporciona una forma de proteger la comunicación cliente-servidor de miradas indiscretas.
Pero los certificados SSL tienen fecha de caducidad. Si el certificado caduca sin que usted se dé cuenta, los usuarios verán un mensaje emergente al iniciar Outlook, similar al que se muestra a continuación.
Debe renovar el certificado de Exchange para corregir el error cuando esto suceda. El procedimiento variará y depende de si el certificado SSL es autofirmado o emitido por una autoridad de certificación. En este tutorial, aprenderemos cómo hacer ambas cosas.
Nota. A partir de Exchange Server 2019 CU12 y Exchange Server 2016 CU23, la renovación de un certificado de Exchange Server desde la GUI (Centro de administración de Exchange) ya no está disponible. Solo puede renovar certificados mediante PowerShell.
Renovar un certificado de intercambio autofirmado
Si su Exchange Server usa un certificado autofirmado, puede renovarlo rápidamente. El proceso de renovación básicamente significa que está creando un nuevo certificado basado en el anterior.
Uso del Centro de administración de Exchange
Recordatorio. Este procedimiento solo funciona con versiones anteriores a Exchange Server 2019 CU12 y Exchange Server 2016 CU23. Si su versión de Exchange Server es más reciente, solo puede renovar el certificado en PowerShell.
Siga estas instrucciones para renovar un certificado de Exchange Server autofirmado mediante el EAC.
- Inicie sesión en su Centro de administración de Exchange en https://your_exch_srv_fqdn/ecp/.
- Navegar a servidor > certificados.
- Seleccione el servidor de la lista desplegable, seleccione el certificado que desea renovar y haga clic en el Renovar enlace a la derecha:
- Sobre el Renovar certificado de intercambio ventana emergente, haga clic en DE ACUERDO.
El certificado se renovará y el antiguo se eliminará. Como puede ver a continuación, el certificado ahora es válido.
Uso de PowerShell
Para renovar el certificado de Exchange autofirmado a través de PowerShell, proceda de la siguiente manera.
- Abra Exchange Management Shell y ejecute este comando para enumerar los certificados de Exchange actuales:
Get-ExchangeCertificate | Select-Object Thumbprint,Subject,Services,NotBefore,NotAfter
- Busque el certificado para renovar y copie su valor de huella digital.
- Ahora, vamos a renovar el certificado. Este comando obtiene el objeto de certificado con la huella digital E6EC2420EE5CCD7B8F988573A39D9AAC1774D122 y crea un nuevo certificado basado en sus detalles.
Get-ExchangeCertificate -Thumbprint E6EC2420EE5CCD7B8F988573A39D9AAC1774D122 | ` New-ExchangeCertificate -Force -PrivateKeyExportable $true
El nuevo certificado ha sido creado.
- Copie la huella digital del nuevo certificado y ejecute el siguiente comando para asignar todos los servicios para usarlo:
# Assign Services. Enable-ExchangeCertificate ` -Thumbprint C37E73C7E1C6878A6D21F59A1707847D7F2D97AF ` -Services IIS, IMAP, POP, SMTP # Confirm the new certificate details. Get-ExchangeCertificate ` -Thumbprint C37E73C7E1C6878A6D21F59A1707847D7F2D97AF | ` Select-Object Thumbprint, Subject, Services, NotBefore, NotAfter
El siguiente resultado muestra que se instaló el certificado renovado y se asignaron los servicios.
Tareas posteriores a la renovación
Dado que renovar un certificado de Exchange autofirmado es esencialmente crear uno nuevo, el servidor y otros clientes no confían en este nuevo certificado.
Para deshacerse de este error de certificado y asegurarse de que los dispositivos confíen en este certificado, debe copiar el certificado del Personal tienda a la Autoridad de certificación raíz de confianza almacenar.
Por supuesto, no debe hacer esto manualmente en todos los dispositivos de Windows. Tal vez pueda implementar estos certificados a través de una política de grupo o scripts de inicio de sesión. Lo mismo ocurre con los dispositivos que no son de Windows, pero eso no se trata en este tutorial.
Renovar un certificado de intercambio emitido por CA
En organizaciones más grandes, o cuando Exchange Server se publica externamente, es común ver certificados emitidos por una autoridad de certificación en lugar de autofirmados. La renovación de este tipo de certificado tiene más matices ya que otra parte está involucrada en la emisión del certificado.
A continuación se muestran los pasos de alto nivel en este escenario de renovación de certificados de Exchange:
- El administrador genera la solicitud de firma de certificado (CSR).
- El envía la solicitud al emisor,
- El emisor acepta la solicitud y genera el nuevo certificado SSL de Exchange.
- El problema envía el certificado renovado al administrador.
- El administrador instala el nuevo certificado de Exchange.
Realizaremos esta tarea en las siguientes secciones a través del Centro de administración de Exchange y PowerShell.
Uso del Centro de administración de Exchange
Recordatorio. Este procedimiento solo funciona con versiones anteriores a Exchange Server 2019 CU12 y Exchange Server 2016 CU23. Si su versión de Exchange Server es más reciente, solo puede renovar el certificado en PowerShell.
- Inicie sesión en su Centro de administración de Exchange en https://your_exch_srv_fqdn/ecp/.
- Navegar a servidor > certificados.
- Seleccione el servidor de la lista desplegable, seleccione el certificado que desea renovar y haga clic en el Renovar enlace a la derecha.
En la siguiente captura de pantalla, puede ver que el certificado caducará en dos días. - Ingrese la ruta UNC para guardar el archivo de solicitud de certificado en la ventana emergente. Asegúrese de que esta ruta UNC exista y sea accesible. Hacer clic DE ACUERDO.
- Ahora, ubique el archivo de solicitud de certificado que generó y envíelo al emisor de su certificado. El emisor podría ser una CA interna o una CA de terceros como DigiCert, GoDaddy, etc.
- Suponiendo que la CA haya emitido el nuevo certificado, muy probablemente en *.cer formato, cópielo en la ruta UNC.
- De vuelta en el EAC, haga clic en Completar.
- En la siguiente ventana, ingrese la ruta UNC del nuevo certificado y haga clic en Aceptar.
- El estado del certificado ahora ha cambiado a Válido, lo que significa que la renovación fue exitosa. Pero como puede ver a continuación, los servicios SMTP e IIS no se asignaron automáticamente al nuevo certificado. Para asignar el servicio, haga clic en el botón Editar.
- Navegar a servicios, Compruebe el SMTP y IIS casillas y haga clic en Ahorrar.
- Cuando reciba una advertencia sobre la sobrescritura de la asignación de certificado existente, haga clic en Sí.
Los servicios de Exchange ahora están asignados al nuevo certificado.
Uso de PowerShell
Siga estos pasos para renovar un certificado emitido por una autoridad de certificación mediante PowerShell.
- Abra Exchange Management Shell y ejecute este comando para enumerar todos los certificados de Exchange:
Get-ExchangeCertificate | Select-Object Thumbprint,Subject,Services,NotBefore,NotAfter
- Encuentre el certificado vencido o caducado que planea renovar. Copie su huella digital para el siguiente paso.
- Ahora que ha determinado la huella digital del certificado para renovar, ejecute los siguientes comandos:
## Create a Base64 encoded certificate request $certRequest = Get-ExchangeCertificate ` -Thumbprint 76B73B456B9ECF746D282F271ED6AA8DABCFD37C | ` New-ExchangeCertificate -GenerateRequest ## Save the CSR to a file [System.IO.File]::WriteAllBytes('\exc1.o365things.mlc$certreqcertificate_renewal.req', ` [System.Text.Encoding]::Unicode.GetBytes($certRequest))
El primer comando recupera el certificado existente con la huella digital 76B73B456B9ECF746D282F271ED6AA8DABCFD37C y usa sus detalles para crear una solicitud. El segundo comando exporta la solicitud a un archivo en la ruta UNC \exc1.o365things.mlc$certreqcertificate_renewal.req.
- Envíe la solicitud de certificado resultante a su CA.
- Una vez que reciba el nuevo certificado del emisor, cópielo en la ruta UNC de su elección. En este ejemplo, pongámoslo en la misma ruta UNC que el archivo de solicitud de certificado.
- De vuelta en PowerShell, ejecute este comando para completar la renovación del certificado. Este ejemplo importa el \exc1.o365things.mlc$certreqcertnew.cer certificado que no requiere contraseña. Además, la clave privada del certificado será exportable según lo definido por el -PrivateKeyExportable $verdadero parámetro.
Import-ExchangeCertificate -FileData ` ([System.IO.File]::ReadAllBytes('\exc1.o365things.mlc$certreqcertnew.cer')) ` -PrivateKeyExportable $true
El certificado de Exchange se ha importado. Copie la huella digital del nuevo certificado.
- Ejecute el siguiente comando para asignar los servicios IIS, SMTP, POP e IMAP al certificado. Asegúrese de reemplazar el valor de la huella digital antes de ejecutar el comando.
Enable-ExchangeCertificate ` -Thumbprint 1870728CA24594EC2378675EF4819AAD0F7FC7D1 ` -Services IIS, IMAP, POP, SMTP ` -Force
- Finalmente, confirme que el nuevo certificado es válido y tiene asignados todos los servicios de Exchange.
Get-ExchangeCertificate ` -Thumbprint 1870728CA24594EC2378675EF4819AAD0F7FC7D1 | ` Select-Object Thumbprint, Subject, Services, NotBefore, NotAfter
¡Eso es todo! Ha renovado el certificado del servidor de Exchange.
- En OWA o ECP, Exchange utilizará el nuevo certificado para cifrar la conexión.
Conclusión
La renovación de un certificado de servidor de Exchange vencido o por vencer puede ser desalentador, especialmente para los novatos. Esta tarea de mantenimiento es crítica para mantener los dispositivos de los usuarios conectados sin errores y seguros.
Ya sea que su servidor de Exchange use un certificado autofirmado o sea emitido por una autoridad certificadora, el proceso de renovación es similar. La planificación adecuada y la ejecución cuidadosa contribuirán en gran medida a garantizar que la renovación del certificado se realice sin problemas.