cert_icoAl acceder al buzón por OWA bajo un entorno Exchange 2007, es muy posible que recibamos un error de certificado. Dicho error no es tal ya que en realidad se nos está informando de que aunque el certificado es válido, ha sido emitido por una CA que no es de confianza. Esta advertencia también se produce al acceder al buzón mediante un cliente Outlook 2007. La solución para eliminar tan molestos mensajes es la de instalar el certificado de seguridad en todos y cada uno de los clientes de la organización. Veamos como hacerlo sin necesidad de ir uno a uno.

En la instalación de Exchange 2007 se genera, por defecto,  una CA interna en el primer servidor instalado con rol de “Concentrador de Transporte” (Hub Transport). Esta CA emitirá un certificado para cifrar las conexiones a cada uno de los buzones. Si iniciamos un cliente Outlook/OWA, el aviso de que la conexión utiliza un certificado emitido por una CA que nos es de confianza. A continuación se muestran errores similares a los producidos al acceder por Outlook y OWA:

cert_01

cert_00

Como decíamos al principio, la solución para confiar en esa entidad (servidor CA – Rol Hub) es la de instalar el certificado en nuestra máquina. Con ello haremos que cada vez que accedamos a nuestro buzón, el certificado ya es reconocido y no haya aviso alguno. El problema puede surgir cuando estamos ante una organización de bastantes usuarios. No es nada cómodo ni rápido el despliegue de este certificado en un dominio de cientos de usuarios. Para distribuir el certificado entre todas las máquinas del dominio, podemos crear una política asociada a la Unidad Organizativa principal de la organización, y que afecte a todos los usuarios (si te da respeto hacerlo con todos, puedes empezar por una unidad organizativa o departamental). Nos dirigimos a un Controlador de Dominio, para crear la política asociada. Una vez dentro de la “Directiva de Seguridad de Controlador de Dominio”, escogeremos la rama Configuración del Equipo/Configuración de Windows/Configuración de Seguridad/Directivas de claves públicas/Entidades emisoras draíz de confianza. En el panel derecho, con el botón secundario, añadiremos el certificado de nuestro Exchange 2007 que previamente hemos exportado desde el IIS de nuestra entidad certificadora o una máquina que lo haya instalado desde OWA. En la imagen que se muestra a continuación, aparecen dos certificados a distribuir en esta política: Uno asociado al servidor interno (srvcorreo) y otro si se intenta acceder por el exterior (owa.dominio.com):

cert_02

De este modo, cada vez que las máquinas inicien sesión en el dominio, se les instalarán estos certificados con sus correspondientes autorizaciones de confianza para sus entidades emisoras. Ello evitará el molesto mensaje de inicio en Outlook 2007 y OWA.

NOTA: Este procedimiento solo es válido para instalar el certificado en todas las máquinas de un dominio que inicien sesión en el mismo, no siendo válido para estaciones externas a la red corporativa (a no ser que hayan iniciado sesión en dominio previamente). Por tanto, usuarios que accedan al correo por el OWA público, seguirán obteniendo este aviso inicial, ya que la política no se les aplica. Se aconseja  instalarles manualmente el certificado, o bien instalarles un certificado emitido por una CA pública de confianza (Thawte, Verisign, etc.).