A differenza delle nuove versioni di Exchange 2010 o 2013, che permettono di gestire le richieste di creazione e rinnovo del certificato per il sito web OWA direttamente dalla consolle Windows o dall’interfaccia web, Microsoft Exchange 2007 non aiuta l’utente in queste attività.
La situazione tipo in cui ci si imbatte è che dopo un periodo di circa un’anno dall’installazione, il certificato di Exchange Server 2007 scade,outlook continua a funzionare, ma sul client appare un fastidioso messaggio che segnala come non più valido il certificato del server di posta e i dispositivi mobili potrebbero avere difficoltà nel sincronizzarsi con il nostro server.
Vediamo passo per passo come procedere al rinnovo nel certificato.
Se, come spesso accade, il vostro certificato è self-signed, cioè non emesso da una autorità di certificazione (questo significa che non avete acquistato da un fornitore un certificato attendibile), è necessario prima generare una richiesta di rinnovo e poi emettere un nuovo certificato basato su quest’ultima.
Come detto in precedenza, a differenza delle nuove versioni di Microsoft Exchange 2010 o 2013, per la versione 2007 la richiesta si genera solamente dalla Management Shell , tramite il commandlet New-ExchangeCertificate.
La sintassi non è complicata ma si può usare questa risorsa online : https://www.digicert.com/easy-csr/exchange2007.htm
che ci permette di ottenere il comando da incollare nella command shell, il risultato ottenuto potrebbe essere una stringa di questo tipo :
New-ExchangeCertificate -GenerateRequest -Path c:\exchange_miosito_it.csr -KeySize 2048 -SubjectName “c=IT, s=09, l=Italy, o=Organizzazione, ou=CED, cn=exchange.miosito.it” -DomainName autodiscover.miosito.it, exchange.dominio.locale -PrivateKeyExportable $True
Durante la compilazione della form sopra prestate attenzione a non inserire caratteri non convenzionali come trattini, caratteri accentati o simbolici. Molto importante è il common name che deve essere uguale al sito dove è pubblicato l’owa, come visibile nell’immagine di esempio, e ai nomi alternativi; deve sempre comparire l’autodiscover e l’hostname completo di dominio locale della vostra macchina di Exchange.
Apriamo ora la Management Shell e incolliamo il comando, il quale genera la richiesta salvandola nel file c:\xxxx.csr
.
Nella vostra rete dovreste già avere un server CA (CAS: Certificate Authority Server) se non ne foste dotati dovete necessariamente installarne uno. Non fatelo sul server di Exchange che in caso di dismissione o migrazione potrebbe darvi qualche grattacapo in quanto la CA è pubblicata in Active Directory; scegliete piuttosto un serve di supporto qualsiasi.
Terminata l’installazione, accedete a https://nomeserver/certsvr
, cliccate Request a certificate, poi Advanced certificate request, poi Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file.
Copiate il contenuto del file c:\xxxx.csr nel box Saved Request, selezionate Web Server in Certificate Template, e cliccate su Submit. Scaricate il certificato dalla schermata successiva e salvate il file .cer
in c:\ del vostro server di Exchange
.
Ora siete in possesso del vostro certificato rinnovato non dovete far altro che importarlo sempre da Management shell tramite questo comando:
import-exchangecertificate -path c:\certnew.cer | enable-exchangecertificate -services iis
Visto che il certificato viene usato anche per il connettore SMTP dovete sempre tramite shell impartire il seguente comando:
Enable-ExchangeCertificate -Thumbprint 3afc24427425882ca096a45ec6c4171z72111112 -Services “SMTP”
sostituendo il valore Thumbprint qui indicato con quello visibile facendo doppio click sul certificato precedentemente salvato ( file .cer ) sotto la voce “Identificazione Personale”
Con questi semplici passaggi avete portato a termine il rinnovo del certificato, per verificare che sia tutto andato a buon fine visitate l’owa e verificate che il browser convalidi il vostro nuovo certificato, noterete che il “luchetto” della sicurezza non è rosso con la X come nell’immagine sotto :