Exchange 2007 e certificato OWA scaduto, come rinnovare passo per passo

A differenza delle nuove versioni di Exchange 2010 o 2013, che permettono di gestire le richieste di creazione e rinnovo del certificato per il sito web OWA  direttamente dalla consolle Windows o dall’interfaccia web, Microsoft Exchange 2007 non aiuta l’utente in queste attività.

La situazione tipo in cui ci si imbatte è che dopo un periodo di circa un’anno dall’installazione,  il certificato di Exchange Server 2007 scade,outlook continua a funzionare, ma sul client  appare un fastidioso messaggio che segnala come non più valido il certificato del server di posta e i dispositivi mobili potrebbero avere difficoltà nel sincronizzarsi con il nostro server.

 

scaduto

 

Vediamo passo per passo come procedere al rinnovo nel certificato.

Se, come spesso accade, il vostro certificato è self-signed, cioè non emesso da una autorità di certificazione (questo significa che non avete acquistato da un fornitore un certificato attendibile), è necessario prima generare una richiesta di rinnovo e poi emettere un nuovo certificato basato su quest’ultima.
Come detto in precedenza, a differenza delle nuove versioni di Microsoft Exchange 2010 o 2013, per la versione 2007 la richiesta si genera solamente dalla Management Shell , tramite il commandlet New-ExchangeCertificate.

La sintassi non è complicata ma si può usare questa risorsa online :  https://www.digicert.com/easy-csr/exchange2007.htm

 

certireq

che ci permette di ottenere il comando da incollare nella command shell, il risultato ottenuto potrebbe essere una stringa di questo tipo :

New-ExchangeCertificate -GenerateRequest -Path c:\exchange_miosito_it.csr -KeySize 2048 -SubjectName “c=IT, s=09, l=Italy, o=Organizzazione, ou=CED, cn=exchange.miosito.it” -DomainName autodiscover.miosito.it, exchange.dominio.locale -PrivateKeyExportable $True

Durante la compilazione della form sopra prestate attenzione a non inserire caratteri non convenzionali come trattini, caratteri accentati o simbolici. Molto importante è il common name che deve essere uguale al sito dove è pubblicato l’owa, come visibile nell’immagine di esempio, e ai nomi alternativi; deve sempre comparire l’autodiscover e l’hostname completo di dominio locale della vostra macchina di Exchange.

Apriamo ora la Management Shell e incolliamo il comando, il quale genera la richiesta salvandola nel file c:\xxxx.csr.

Nella vostra rete dovreste già avere un server CA (CAS: Certificate Authority Server) se non ne foste dotati dovete necessariamente installarne uno. Non fatelo sul server di Exchange che in caso di dismissione o migrazione potrebbe darvi qualche grattacapo in quanto la CA è pubblicata in Active Directory; scegliete piuttosto un serve di supporto qualsiasi.

Terminata l’installazione, accedete a https://nomeserver/certsvr,  cliccate Request a certificate, poi Advanced certificate request, poi Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file.

Copiate il contenuto del file c:\xxxx.csr nel box Saved Request, selezionate Web Server in Certificate Template, e cliccate su Submit. Scaricate il certificato dalla schermata successiva e salvate il file .cer  in c:\ del vostro server di Exchange.

 

Ora siete in possesso del vostro certificato rinnovato non dovete far altro che importarlo sempre da Management shell tramite questo comando:

import-exchangecertificate -path c:\certnew.cer | enable-exchangecertificate -services iis

Visto che il certificato viene usato anche per il connettore SMTP dovete sempre tramite shell impartire il seguente comando:

Enable-ExchangeCertificate -Thumbprint 3afc24427425882ca096a45ec6c4171z72111112 -Services “SMTP”

sostituendo il valore Thumbprint qui indicato con quello visibile facendo doppio click sul certificato precedentemente salvato ( file .cer ) sotto la voce  “Identificazione Personale”

 

Con questi semplici passaggi avete portato a termine il rinnovo del certificato, per verificare che sia tutto andato a buon fine visitate l’owa e verificate che il browser convalidi il vostro nuovo certificato, noterete che il “luchetto” della sicurezza non è rosso con la X  come nell’immagine sotto :

 

certlink

 

 

 

Author: admin

Share This Post On

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *