Gerenciando certificados no Exchange Server 2010

Com este tutorial base mostramos como gerenciar certificados no Exchange Server 2010.

por Anderson Patricio

Autor: Anderson Patricio / Rodrigo Rodrigues

Overview

O Exchange Server 2007 trouxe inúmeras novidades para o ambiente de mensageria e uma delas foi o requerimento de certificados por padrão, que depois foi seguido de perto por outros produtos da família, tais como OCS. Infelizmente no Exchange Server 2007 a única forma de fazer o gerenciamento dos mesmos é através da linha de comando, já no Exchange Server 2010 podemos estar gerenciando via Exchange Management Console, como iremos demonstrar neste tutorial.

Os certificados continuam sendo um mistério para muitos administradores, os processos descritos aqui ajudam em parte da solução, após o certificado configurado os web services e outros serviços tem que ser ajustados para os certificados existentes. Outro ponto é entender o funcionamento dos certificados, saber a relação entre eles e nome de hosts, serviços e IP. Pode ser um pouco complicado no início mas depois de entendido a arquitetura o processo se torna simples e prático.

Solução

Neste tutorial vamos ver como gerenciar certificados usando o Exchange Management Console através das seguintes seções.

Visualizando os certificados existentes....

No Exchange Server 2010 o gerenciamento de certificados ficou muito mais simples, podemos ver todos os certificados relacionados ao Exchange através do Exchange Management Console, clicando em Server Configuration e depois clicando no servidor desejado, para cada servidor a listagem dos certificados será mostrado abaixo, teremos as seguintes colunas para ajudar no gerenciamento dos certificados:

• Nome
• Tipo do certificado (Self-Signed ou externo)
• Status
• Serviços
• Subject (CN do certificado)
• Issuer (Emissor)
• Expiration Date (data de expiração)

Fora isso, temos como gerenciar o certificado através do Toolbox Actions, entre as tarefas principais temos: criar, remover, associar serviços ao certificados, importar, exportar.

Criando um novo certificado...

O processo para criar um novo certificado pode ser visto nos seguintes passos.

1. Na página Introduction. Vamos colocar um nome para este certificado, este nome é somente para identificação, feito isso vamos clicar em Next.

2. Na página Domain Scope. Aqui podemos definir se o certificado vai ser wildcard certificate. Exchange Server 2007/2010 aceitam este tipo de certificado, mas o problema com este tipo de certificado é que eles são mais caros e se alguém tiver acesso ao mesmo pode criar qualquer host com o nome do seu domínio (ou seja, podem se tornar uma ameaça em mão erradas). Para nos mantermos na mesma linha de raciocínio um wildcard certificate é quando temos o certificado no formato *.andersonpatricio.org.
   A recomendação é usar UC Certificates, ou seja, certificados que aceitam mais de um nome associado ao mesmo. Vamos deixar as opções padrão aqui e vamos clicar em Next.

3. Na página Exchange Configuration. É aqui que podemos configurar os nomes para os mais variados serviços. A recomendação é manter o menor número possíveis de nome, mesmo que a sua empresa tenha todos os serviços usando certificados (POP,IMAP, Outlook Anywhere, OWA, SMTP) eles podem estar utilizando um único nome, os mais comuns são webmail e mail para estes serviços.
   O mais importante é ir abrindo os serviços que o assistente oferece e informar os nomes do certificado para tal serviço.
   Nota: A escolha dos nomes precisa ser bem analizada e validado baseado nos serviços, utilização, infra-estrutura DNS e por ai vai. Algumas empresas não gostam de publicar nomes internos e preferem usar split-dns.

Ainda na mesma página o assistente já auxilia também no processo de Autodiscover externo, perguntando como será publicado o serviço na Internet e com isto ele já cria os nomes requeridos. No caso deste tutorial vamos utilizar autodiscover.andersonpatricio.org (Long URL). Feito as escolhas de todos os serviços, clique em Next.

Se houver coexistência com o Exchange Server 2003, a seção Legacy Exchange Server precisa ser configurada, a boa prática é usar um nome simples, no caso legacy.dominio.com.br. Mas isto é totalmente a critério do Administrator.

4. Na página Certificate Domains. Baseado na página anterior, todos os nomes utilizados serão listados e podemos selecionar qual será o CN (Common Name) do certificado, é aconselhado deixar o nome que será utilizado pelo Outlook Anywhere como CN, da mesma forma como mostramos na figura abaixo.

5. Na página Organization and Location. Aqui devemos colocar as informações da empresa que está solicitando a informação. Clique em Browse e defina um caminho e nome para o pedido que será criado após a conclusão deste assistente. Feito isso clique em Next.

6. Na página Certificate Configuration. Um sumário de tudo que já vimos e configuramos até agora será mostrado, clique em New.

7. Tela final do assistente, mostrando os commandlet utilizados para gerar o pedido. Clique em Finish.
   Nota: Atentem para o detalhe que PrivateKeyExportable já está no cmdlet.

Agora podemos olhar o Certificado que acabamos de fazer a requisição na figura abaixo e podemos ver que ele não possui o ícone de válido como o certificado da linha debaixo. Agora que já temos o arquivo com o request do certificado contendo todas informações que usamos nos passos anteriores, devemos ir para uma CA Publica e seguir o procedimento da mesma e colocar o conteúdo daquele arquivo quando solicitado. Também podemos usar o conteúdo daquele arquivo em uma CA interna para fazer o pedido do certificado. O resultado, independente de ser uma CA Publica ou uma CA interna será um arquivo .cer que será fornecido pela CA. Em posso daquele arquivo, podemos clicar em Complete Pending Request como mostrado na figura abaixo.

Na primeira tela do assistente, clique em Browse e selecione o arquivo fornecido pela Certification Authority, e depois de escolhido o mesmo clique em Complete.

Na tela final podemos ver que o certificado, devemos clicar em Finish.

Está pronto o processo? Não!! até agora criamos um novo pedido a agora completamos o processo e o certificado está instalado e válido mas não está associado a nenhum serviço ainda... como mostrado na figura abaixo.

Associando o certificado...

Depois de criar um certificado o próximo passo é associar o certificado aos serviços ao qual ele foi designado. Feito isso, vamos clicar em um certificado válido da lista, como mostrado abaixo, e vamos clicar em Assign Services to Certificate...

Na página Select Servers, podemos selecionar mais de um servidor que contenha o mesmo certificado e fazer o processo apenas uma vez, em nosso ambiente temos apenas um servidor, então vamos clicar em Next.

Na página Select Services, podemos selecionar os serviços ao qual este certificado será utilizado. Lembrando, que para funcionar no serviço o DNS e a configuração do mesmo tem que estar configurado, somente associando um certificado não vai fazer o serviço funcionar automaticamente. Feito as escolhas clique em Next.

Na página Assign Services, um resumo com os serviços que serão associados ao servidor serão mostrados, apenas clique em Assign.

Na última tela podemos ver que o processo de associação do certificado com o serviço é mostrado. Podemos clicar em Finish.

Para serviços de OWA e Outlook Anywhere as vezes é necessário rodar um iisreset /noforce para dar um refresh no IIS.

Exportando o certificado...

Para exportar o certificado basta selecionar o certificado a ser exportado, e clicar em Export Exchange Certificate na Toolbox Actions. Na tela Introduction devemos associar uma senha e um nome de arquivo (através do botão Browse..). Não é necessário digitar extensão de arquivo na caixa que se abre do Browse somente o local e o nome do arquivo onde desejamos o arquivo exportado. Feito isto, basta clicar em Export.

O processo de export executa dois processos e o resultado pode ser visto na figura abaixo. Podemos clicar em Finish para concluir o processo.

O resultado deste processo será o arquivo criado e para importar só precisamos seguir o procedimento de importação que também é descrito neste artigo, utilizando a senha que foi definido.

Detalhes importantes:

• Para ocorrer a exportação o certificado precisa ter o atributo de exportar chave privada marcado, por padrão todo certificado criado pela interface gráfica possui isso. Se for via linha de comando tem que usar o -PrivateKeyExportable $true

• Pode-se exportar mais de uma vez um certificado existente

• A senha é somente para aquela exportação, uma segunda exportação pode ter uma senha diferente

• A senha é só utilizado no processo de importação, no entanto ela é definida na exportação

Renovando um certificado built-in (self-signed)

O processo de renovação é diferenciado para self-signed certificados (aquele criado durante a instalação) e Certificados externos (que podem ser numa CA interna ou ainda em uma Pública). Nesta seção vamos mostrar como fazer a renovação do self-signed certificates.

Para identificar se um certificado é self-signed ou não basta olhar na segunda coluna (Self Signed) e deve estar como True.

Para atualizarmos devemos selecionar o certificado em questão e clicar em Renew Exchange Certificate... na Toolbox Actions. E na tela Renew Exchange Certificate selecione todos os serviços que este certificado está executando e clique em Renew.

Se ele for um dos certificados padrão para o SMTp a seguinte figura será mostrada. Clique em Yes para continuar com o processo.

O processo efetuará três sequencias (new-exchangecertificate, enable-exchangecertificate e remove-exchangecertificate) e o resultado pode ser visto na figura abaixo.

Renovando um certificado Público...

Para renovarmos um certificado existente, basta clicarmos no mesmo e clicar em Renew Exchange Certificate como o certificado já existe e todas informações do primeiro assisntente já estão respondidas, a primeira tela será para especificar o nome do arquivo com o pedido do certificado e o local no disco. Feito isso apenas clique em Renew.

Feito isso o pedido já será feito e o arquivo estará com a requisição já estará pronto para ser enviado para a Certificadora, como mostrado na figura abaixo.

O certificado existente irá continuar ativo, o próximo passo é fazer o mesmo processo com a CA externa e receber o novo .cer arquivo e depois disto, selecionar o certificado (único que não está com o ícone de OK) e clicar em Complete Pending Request, os passos serão os mesmos que vimos na criação de um novo certificado.

Removendo um certificado..

O processo de remoção é extremamente simples, basta selecionar o certificado desejado e clique em Remove que se encontra na Toolbox Actions, e na caixa de diálogo que aparecer clique em yes.
Nota: Só será permitido a remoção de certificado se ele não for o único associado a um serviço essencial, caso ele esteja sendo utilizado um novo certificado tem que ser associado aos serviços como pré-requisito para a remoção do certificado.

Criando certificado via linha de comando (Exchange Management Shell)...

O processo de criação é semelhante ao do Exchange Server 2007 e o processo pode ser visto no seguinte tutorial aqui:

AP912 - Criando certificados com Subject Alternative names em uma PKI interna

Conclusão

Com este tutorial base mostramos como gerenciar certificados no Exchange Server 2010.