Antes que nada (obvio) se debe de tener un sistema Exchange instalado, en este pequeño tutorial daremos por hecho que es una instalación en un solo servidor y el cual cuenta con todos los roles instalados, incluyendo el servicio de UM. Además se requerirá que en el dominio de trabajo se tenga instalada un Autoridad Certificadora en alguno de los servidores de la red (CA), y contar con las credenciales apropiadas para acceder a ella vía Web (normalmente cualquier cuenta DomainAdmin)
Paso 1.
A estas alturas se encuentra instalado Exchange y se puede accesar al correo vía OWA sin ningun problema utilizando el certificado creado por Exchange 2007 durante la instalación. Bien; lo primero que hay que hacer es ingresar a la consola de administración de Internet Information Services (IIS) e iniciar el asistente para la generación de un certificado nuevo. La intención de hacerlo por medio de este asistente es la de obtener un archivo txt con la información requerida. Aqui solo se requiere el FQDN del servidor de exchange o del registro de DNS que utilizaremos para accesar a OWA, pero como estamos hablando de un servidor con todos los roles, es necesario utilizar el FQDN como nombre del certificado.
Ya obtenido el archivo txt y guardado en un lugar seguro nos vamos al paso 2.
Paso 2.
En este paso utilizaremos el archivo txt que obtuvimos en el paso anterior y generaremos el certificado directamente en la página web de la CA. Para esto, en la pantalla de RUN escribimos lo siguiente sin comillas "http:///certsrv ", presionamos OK o enter y nos mostrará la página web de nuestra Autoridad Certificadora.
Dentro de la pagina de la CA, escogemos la tarea que dice "Request a certificate". En la siguiente página seleccionamos la opcion "advanced certificate request". En la siguente página tendremos un cuadro de texto llamado "Saved request" ahi, copiaremos el contenido completo de nuestro archivo txt obtenido en el paso 1. Seleccionamos el template de "Web Server" y aqui viene el truco, en la parte de "Additional attributes" escribiremos todos los Nombres Alternativos del certificado (SAN) correspondientes a todos los servicios a los que responderá el servidor de Exchange 2007, es muy importante que se incluya el FQDN del servidor como SAN ya que sin este SAN no funciona el certificado (algo raro, ya que el nombre principal del certificado es el FQDN). Pero se preguntarán cómo se deben de poner los SAN en esta casilla, bueno, no solo basta con poner los FQND, sino que hay que seguir un formato específico.
Para agregar los SAN al certificado se hace de esta forma:
san:dns=miservidor.dominio.com
Para agregar múltiples SAN se separan con el símbolo de ampersand (&)
san:dns=miservidor.dominio.com&dns=miservidor2.dominio.com
Ya teniendo los SAN agregados solo basta con dar click en "Submit" y en la siguiente página seleccionamos la opción de descargar el certificado al disco duro. Así se obtiene el archivo .cer que se utilizará en el siguiene paso.
Paso 3.
Ahora tenemos que importar el archivo .cer que descargamos al servidor de Exchange 2007 por medio de Power Shell, así que es necesario abrir una consola de Exchange Management Shell, no WindowsPower Shell.
Puedes utilizar el siguiente comando para ver el certificado que actualmente tiene instlado exchange
"get-exchangecertificate" -> muestra los certificados instalados.
Ahora importaremos el certficado desde el archivo descargado.
"import-exchangecertificate -path:c:\certnew.cer"
Volvemos a aplicar el primer comando "get-exchangecertificate" pero ahora de este modo
"get-exchangecertificate | fl subject,services,thumbprint"
De este modo veremos la información más a detalle de los certificados instalados en el servidor de Exchange. Ahora el siguiente paso es habilitar el certificado recien importado para que sea utilizado por todos los servicios que deseemos. Para ello utilizamos el siguiente comando, pero antes debemos de copiar el thumbprint del nuevo certificado, para ellos pueden dar click derecho sobre la consola y seleccionar "mark" y seleccionar solo el thumbprint y presionar enter, con esto, se copiará al clipboard de windows y podemos utilizar despues, estoy ayuda a no tener que teclear todo el thumbprint
"enable-exchangecertificate -thumbprint 1AD12F59637929B1E75C8A4C5243C8332FF387A9 -services IIS,IMAP,POP,SMTP,UM"
Utilizar "get-exchangecertificate | fl subject,services,thumbprint" para verificar que ahora el certificado cuente con los servicios que habilitamos.
Por último, es recomendable borrar el certificado auto firmado por exchange, para ello ejecutar el siguiente comando
"remove-exchangecertificate -thumbprint 29A523705C63F7BD5C1F642ABD2EF0996D7543FD"
Listo, podemos checar con "get-exchangecertificate | fl subject,services,thumbprint" para verificar que solo se encuentre un solo certificado instalado.
Solo lo que resta es reiniciar el servidor de Exchange y listo, podremos verificar en OWA cual es el certificado que se está utilizando con solo entrar a la página de OWA.
