INTO DATACENTER: mayo 2008

Bueno,
ya tengo el Exchange 2007 instalado ( roles CAS,HUB y MAILBOX en el mismo servidor ), he instalado la Entidad certificadora para generar el certificado que usare para la conexión Outlook Anywhere (anteriormente conocida como RPC sobre HTTP)como tengo diferentes dominios, aquí os dejo un manual que redacté en su día para generar un certificado con varios nombres de host validos, lo redacte usando Exchange 2007 y Windows 2003 64, pero es totalmente valido para este entorno.
Espero que os sirva de ayuda.

Cómo configurar certificados de SSL para usar varios nombres de host

Aquí explico cómo usar el Shell de gestión de Exchange para configurar un certificados de Nivel de sockets seguros (SSL) que contenga varios nombres de host.
Cuando implementamos Microsoft Exchange Server 2007 y tiene instalada la función del servidor Acceso de cliente(CAS), hay que asegurarse de que todos los clientes, como Outlook Web Access y Outlook 2007, sean capaces de conectarse a los servicios mediante una sesión cifrada sin recibir un mensaje de error que indique el certificado no es de confianza.
Mediante el Shell de administración de Exchange, podemos crear una solicitud de certificado que contenga todos los nombres de host de DNS de los servidores Acceso de cliente. A continuación, podemos habilitar a los usuarios para que se conecten al certificado para usar servicios como Outlook Anywhere, Descubrimiento automático, POP3, IMAP4 o mensajería unificada, enumerados en el atributo de nombres alternativos. Por ejemplo, los usuarios podrán conectarse a los servicios de Exchange especificando el nombre, como se indica en los siguientes ejemplos:
• https://empresa1.com
• https://empresa2.com
• https://www.empresa1.com
• https://www.empresa2.com
• https://exch2007.dominio.local
• https://autodiscover.empresa1.com
• https://autodiscover.empresa2.com
• https://autodiscover.dominio.local

Para configurar los certificados de SSL a fin de usar varios nombres de host de servidores Acceso de cliente, realizamos lo siguiente:

1. Usamos el cmdlet New-ExchangeCertificate para crear un archivo de solicitud de certificado con los nombres validos que queremos asignar a nuestro certificado
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=midominioexterno,o=my Corporation(ponemos lo que queramos),cn=exch2007.dominio.local" -domainname empresa1.com,empresa2.com,www.empresa1.com,www.empresa2.com,exch2007.dominio.local,autodiscover.empresa1.com,autodiscover.empresa2.com,autodiscover.dominio.local -path c:\perticioncert_multi.txt

2. Envíamos este archivo a una entidad emisora de certificados de Servicios de Certificate Server de Windows y utilizamos la plantilla Web server en la página Entidad emisora de certificados. De este modo, se creará un archivo .cer que se puede importar al servidor Acceso de cliente.

Para ello realizamos lo siguiente:
- vamos a la entidad certificadora vía web ( https://entidadcertificadora/certsrv) nos logeamos con la cuenta de administrador.
- seleccionamos SOLICITAR UN CERTIFICADO
- seleccionamos SOLICITUD AVANZADA DE DE CERTIFICADO
- seleccionamos Enviar una solicitud de certificados usando un archivo cifrado de base64 CMC o PKCS #10 o una solicitud de renovación usando un archivo cifrado de base64 PKCS #7.
- Abrimos la petición de certificado que se nos a creado en el paso anterior (peticioncert_multi.txt) y hacemos copiar/pegar sobre el cuadro.
- En la plantilla de certificado, seleccionamos Servidor Web
- Hacemos clic en enviar
- Si queremos podemos descargar el certificado para guardarlo.
- Ya tenemos nuestro certificado creado.

3. Importamos el certificado desde la Shell
[PS] C:\>Import-ExchangeCertificate -path n:\multidominio.cer -friendlyname "multidominio"
Aquí nos mostrará la huella digital, que la usaremos en el siguiente paso.

4. Ahora podemos asignar el certificado a IIS,POP3 o IMAP, lo asignamos a IIS
[PS] C:\>Enable-ExchangeCertificate -thumbprint 12A77B1504B2008647268A67AB10CF4E6CAA4CD8 -services "IIS"