Setup a Certification Authority to Issue a Certificate with Windows Server and enable RPC over HTTP on Exchange 2007 and Exchange 2010

Spanish Keywords:

Trabaja para Exchange 2010 y Exchange 2007
Primer Paso: Deshabilitar Outlook Anywhere

1. Abre la consola de Exchange
2. Navega en el árbol de la consola hasta llegar a "Configuración de Servidor" - "Acceso de Cliente"
3. Dentro de Acceso de Cliente, haz clic derecho en el nombre del servidor y escoge "Deshabilitar Outlook Anywhere" (si no tienes esta opción, no escojas "Habilitar Outlook Anywhere")
4. Cierra la consola de Exchange
5. (para Windows 2008) Clic en Inicio abre las Herramientas Administrativas - "Administrador del Servidor", navega hasta "Características", da clic en "Quitar Características" y desmarca "RPC sobre el proxy de HTTP"
6. REINICIA (no es broma)

Segundo Paso: Validar que tengas una entidad certificadora en el dominio y que tenga las opciones de certificación vía Web habilitadas

1. (para Windows 2008) Clic en Inicio abre las Herramientas Administrativas - "Administrador del Servidor", navega hasta "Funciones", en el lado derecho da clic en "Agregar Función", verifica que esté marcado lo siguiente: "Servicios de Certificate Server de Active Directory", y en los servicios de función esté marcado: "Entidad de Certificación" e "Inscripción web de entidad de certificación", si al poner continuar te solicitan otro requisitos de IIS da clic en Continuar y Finaliza el asistente
2. Si encuentras que los servicios de Certificate Server ya están instalados en el servidor prueba que la "Inscripción web de entidad de certificación" esté activada poniendo https://localhost/certsrv, si no responde ve nuevamente al "Administrador de Servidor", navega en la función de "Servicio de Certificate Server de Active Directory" y a la derecha encontrarás "Agregar servicios de función", da clic allí y luego marca "Inscripción web de entidad de certificación"
3. Si te pide reiniciar, no dudes en hacerlo
4. Al regresar prueba que puedas acceder al https://localhost/certsrv

Tercer Paso: Crear el certificado de Exchange para que funcione con un nombre principal y varios alias internos/externos

1. (para Windows 2008) Clic en Inicio, "Todos los Programas", "Microsoft Exchange 200x", abre el que dice "Exchange Management Shell"
2. Cuándo tengas acceso al Shell de Exchange, ejecuta el siguiente comando:
   
   New-ExchangeCertificate -GenerateRequest -Domainname mail.dominio.com, servidor.dominio.local, autodiscover.dominio.com, servidor -FriendlyName mail.dominio.com -PrivateKeyExportable: $True
   (al dar Enter con el teclado obtendrás un texto similar al siguiente, copia ese texto en el Portapapeles o en un documento nuevo del Bloc de Notas, no cierres la consola de comandos de Exchange)

-----BEGIN NEW CERTIFICATE REQUEST-----MIID/zCCAucCAQAwGzEZMBcGA1UEAwwQbWFpbC5kb21pbmlvLmNvbTCCASIwDQYJ
KoZIhvcNAQEBBQADggEPADCCAQoCggEBALyY0mqutdzu07iQBYB3A0FVCvJfOZeq
CkM+y6cIBVYt0zf8SsdqXVXxmT2IcXsABKpBDfMgHibswSBZOmIt360RmpFp6b7q
-----END NEW CERTIFICATE REQUEST-----
Ojo que debes cambiar el comando de la siguiente forma:

• dominio.com (es tu dominio externo)
• dominio.local (es tu dominio interno)
• mail.dominio.com (nombre válido que debe responder a tu dirección pública, firewall o proxy, pregunta a tu isp o ingresa a www.cualesmiip.com para ver si el apuntador es correcto puedes usar http://centralops.net/co/DomainDossier.aspx y colocar el "mail.dominio.com" para ver si responde tu ip pública)
• servidor (nombre NETBIOS interno del servidor)
• servidor.dominio.local (nombre FQDN interno del servidor)

[PS] C:\Windows\System32>certreq -submit -attrib "CertificateTemplate:WebServer"
 c:\certreq.txt

Cuarto Paso: Crear el certificado a partir de la solicitud

1. Entra en https://localhost/certsrv
2. Da clic en "Solicitar un certificado"
3. En la siguiente Pantalla escoge "Solicitud Avanzada de Certificado"
4. En la siguiente Pantalla escoge: "Enviar una solicitud de certificado con un archivo codificado en base64 CMC o PKCS #10 o una solicitud de renovación con un archivo codificado en base64 PKCS #7."
5. Pega el contenido del texto en el bloc de notas en el casillero que dice: "Guardar Solicitud", debes incluir TODO incluyendo las lìneas -----BEGIN NEW CERTIFICATE REQUEST----------END NEW CERTIFICATE REQUEST-----
6. En Plantilla de certificado escoge: Servidor Web y luego da clic en "Enviar"
7. En la pantalla Siguiente da clic en "Descargar Certificado", por favor grábalo en la raíz del disco c:\certnew.req

Quinto Paso: Importar certificado a Exchange y activar los servicios de Exchange con el certificado

1. De vuelta en la consola de comandos de exchange y con el certificado anterior emitido corre el siguiente comando:

Import-ExchangeCertificate -path c:\certnew.cer  | Enable-ExchangeCertificate -Services IIS, SMTP, POP, IMAP
2. Si te consulta por "està seguro de reemplazar los certificados" confirmalos aceptando el cuadro de diálogo con el botón "Si"

Sexto Paso: Para poder Re-Habilitar Outlook Anywhere

1. (para Windows 2008) Clic en Inicio abre las Herramientas Administrativas - "Administrador del Servidor", navega hasta "Características", da clic en "Agregar Características" y marca "RPC sobre el proxy de HTTP", si te pide reiniciar hazlo sin dudar
2. Abre la consola de Exchange
3. Navega en el árbol de la consola hasta llegar a "Configuración de Servidor" - "Acceso de Cliente"
4. Dentro de Acceso de Cliente, haz clic derecho en el nombre del servidor y escoje "Habilitar Outlook Anywhere"
5. DEBES ESPERAR 15 minutos para poder conectar clientes via RPC desde IPADs, Outlook, etc. para clientes fuera del dominio con Windows debes exportar el certificado de la CA

Con estos procedimientos evitas los mensajes de error de certificado de Outlook 2007 cuándo se conecta a un servidor de exchange que también tiene Outlook Web App, Outlook Anywhere y donde el nombre del equipo y el del dominio interno no coincide con el del alias de internet. Desde el paso 3 se deberá ejecutar en todos los servidores de exchange del dominio, o dominios hijos de modo que se valide contra la misma entidad certificadora aunque se puede instalar una CA por dominio, no es necesaria.