Come rinnovare i certificati Self Signed in Exchange 2007

Wednesday 27 April 2011

Una delle novità introdotte da Microsoft con la versione 2007 di Exchange Server è il largo uso dei certificati “self signed” per i servizi quali SMTP, POP, IMAP, HTTP e UM. L’uso di questi certificati comporta un notevole aumento della sicurezza nelle comunicazioni tra i suddetti servizi ma è necessario considerare la situazione di default come transitoria.

In un mondo ideale si dovrebbe procedere alla sostituzione dei certificati temporanei con certificati rilasciati da un’authority esterna o generati da una CA aziendale trusted. Detto questo può accadere che per le più svariate ragioni si decida di rimandare l’acquisto dei certificati e si abbia la necessità di rinnovare quelli self signed.

Prima di tutto sarà opportuno dare un’occhiata all’Event Viewer per identificare il messaggio di warning che vi avvisa della presenza di un certificato scaduto. Normalmente l’evento è il 12015 che ha come origine l’MSExchangeTransport: giusto a titolo di verifica annotatevi il thumbprint.

Aprite l’EMS e curiosate nel dettaglio del supporto certificato incriminato:

 

Get-ExchangeCertificate -domain “exc-01.ipi.priv” | fl

 

Questo comando dovrebbe rivelarvi tutto quello che avete bisogno di sapere sul certificato scaduto, come ad esempio la data di scadenza ma soprattutto i servizi a cui è associato. Inoltre, se abbiamo identificato il certificato corretto, il thumbprint del messaggio di errore nel registro degli eventi deve corrispondere al thumbprint restituito dal comando Powershell.

 

rinnovare-certificato-interno-exchange-2007

 

Copiatevi il thumbprint e digitate il seguente comando per richiedere un nuovo certificato:

 

Get-ExchangeCertificate -thumbprint “1BE8BA890CDB89AA513450B81CAD51BB90D06F6F” | New-ExchangeCertificate

 

A questo punto verrà generato un nuovo certificato con una nuova data di scadenza: se il certificato scaduto era utilizzato anche per il servizio SMTP vi verrà chiesto di confermarne la sovrascrittura. Una volta digitato Y il nuovo certificato sarà generato, operativo e associato ai vari servizi.

 

sovrascrittura-vecchio-certificato-interno-exchange-2007

 

Copiatevi il nuovo thumbprint ed eseguite il comando:

 

Get-ExchangeCertificate -thumbprint “B589C7FD9BC438E2BE4E8E571F3A472029CFA8DB” | fl

 

nuovo-certificato-exchange-2007

 

Noterete che, a differenza di quello precedente, il nuovo non sarà automaticamente associato al servizio IIS. Per abilitarlo anche per quest’ultimo sarà sufficiente eseguire il comando:

 

Enable-ExchangeCertificate -thumbprint “B589C7FD9BC438E2BE4E8E571F3A472029CFA8DB” -services IIS

 

Ricordatevi di inserire il thumbprint del nuovo certificato e non di quello vecchio. Inoltre tenete presente che se associate un certificato a un servizio questo non potrà più essere disabilitato se non mediante l’esportazione del certificato, la cancellazione e la successiva reimportazione: procedura decisamente lunga e noiosa.

A questo punto il lavoro è terminato e se il nuovo certificato funziona correttamente potete procedere alla rimozione di quello vecchio con il comando:

 

Remove-ExchangeCertificate -thumbprint “1BE8BA890CDB89AA513450B81CAD51BB90D06F6F”

 

Un’ultima avvertenza: il thumbprint del certificato da rimuovere è il thumbprint che vi siete annotati dal warning del registro degli eventi!!!

Catalogato in: Microsoft Exchange

Add comment




  Country flag
biuquote
  • Comment
  • Preview
Loading