SSL Exchange Server.

SSL Exchange Server son Certificados Digitales que, con los servicios de autenticación de Symantec™ y la tecnología de cifrado más avanzada de la Industria, garantizan seguridad electrónica a las Organizaciones en sus conexiones con clientes y visitantes web. En términos prácticos, SSL Exchange Server resguardan las comunicaciones que se establecen con los servidores de correo electrónico y tienen funciones avanzadas como proteger los Nombres Alternativos de Sujeto (SAN, Subject Alternative Names).

SSL Exchange Server conjuga la aplicación de infraestructura SSL con la versión Microsoft Exchange Server 2010 que ofrece grandes avances en administración y seguridad. Para proteger las soluciones de Exchange se pueden usar tres tipos de Certificados SSL: 1) Auto firmados, creados por las propias Organizaciones; 2) De infraestructura de clave pública (PKI, Public Key Infrastructure) de Windows; y 3) Públicos, emitidos por Autoridades de Certificación independientes.

Microsoft recomienda usar un Certificado SSL emitido por una Autoridad de Certificación o de Confianza, consolidada antes de implantar un nuevo servidor de correo electrónico en el entorno de producción. De este modo, se evitan las complicaciones de tener que instalar el propio Certificado raíz a cada cliente que acceda al servidor de Exchange. Y se reducen las complicaciones de soporte técnico porque no se tienen que responder las solicitudes de configuración cada vez que se intente conectar un cliente de navegador o móvil.

Finalmente, tienen preferencia los Certificados SSL de un Tercero de Confianza porque el protocolo de Outlook Anywhere no funciona con los Certificados SSL auto firmados.

1. Asignación de nombre a los servidores de Exchange.

Antes de comprar e instalar los Certificados SSL es necesario identificar el nombre de dominio completo, también denominado URL o FQDN (Fully Qualified Domain Name), y añadirlo a la lista de servidores de confianza de Active Directory. El FQDN, tiene la estructura: mail.suservidor.com.

Es probable que el servidor lleve a cabo varios servicios, así que es necesario identificar todos los posibles nombres de dominio que pueda usar otro servidor o cliente cuando se dirija al servidor de Exchange. Entonces, se necesitará más de un FQDN para el servidor.

A veces, el nombre común debe coincidir con el FQDN, como cuando se trata de proteger un servidor de transporte perimetral que utiliza el protocolo simple de transferencia de correo con SSL (SMTPS). En este caso, se debe usar el FQDN tal como aparece en el registro D del servidor en el servidor DNS de Internet público.

Si no se puede usar el FQDN o es preferible evitarlo, como ocurre con frecuencia, los administradores pueden emplear como nombre común la forma breve del nombre de dominio del FQDN.

Algunos nombres comunes que podrían estar asociados a un solo servidor de Exchange son mail.suservidor.com, owa.suservidor.com, autodiscover.suservidor.com y outlook.suservidor.com.

Este paso es importante para proteger y autenticar los nombres comunes con Certificados SSL porque todo dispositivo dirigido al servidor tendrá que usar exactamente dichos nombres. Con frecuencia, el personal de soporte técnico tiene que resolver errores de funcionamiento de la implantación de Exchange debidos a confusiones relacionadas con el nombre común del servidor. De esta forma, al crear desde el principio un sistema eficaz de asignación de nombres para el entorno de Exchange, se evitarán problemas graves en el futuro.

Sin embargo, el usar los nombres comunes de Exchange 2010 en formato FQDN se debe tener en cuenta que existen limitaciones. Los nombres comunes no pueden tener más de 64 caracteres y, si el nombre FQDN supera dicho límite, no se podrá usar como nombre común. Además, los nombres comunes son compatibles con Unicode, mientras que los FQDN sólo aceptan parte de los caracteres ASCII. Si a pesar de estas restricciones se puede usar el FQDN como nombre común la configuración resulta más sencilla.

2. SSL Exchange Server y los Nombres Alternativos de Sujeto.

Como es imprescindible autenticar, mediante tecnología SSL, todos los nombres comunes, sería costoso y complicado tener que comprar e instalar un Certificado para cada nombre común. En este caso, la solución es proteger varios nombres comunes de un solo servidor con un Certificado SAN, haciendo sencillo este requisito para los servidores de Exchange.

Los Certificados compatibles con SAN funcionan del mismo modo que los SSL tradicionales, ofrecen el mismo nivel de cifrado y autenticación, especialmente permiten proteger varios nombres comunes dentro de un mismo Certificado. El campo SAN es muy flexible y funciona prácticamente con todos los navegadores y dispositivos móviles. Además de proteger los nombres de dominio de Exchange 2010 lo hacen en distintos dominios, direcciones IP, nombres de servidor, locales y de intranet.

Asimismo, los Nombres Alternativos de Sujeto representan una función opcional para las comunicaciones unificadas (UCC) que permite proteger Microsoft Exchange 2007 Server, Office Communications Server 2007 o Mobile Device Manager. Los certificados SAN de Symantec™ permiten proteger hasta 24 nombres de dominio adicionales y basta añadirlos en el campo SAN en el momento de la inscripción.

3. Elección del Certificado SSL Exchange Server.

Una vez asignados los nombres SAN, es momento de elegir al proveedor y Autoridad de Certificación, es importante que ésta garantice que las raíces sean compatibles con todos los navegadores. Numerosas Autoridades Certificadoras aseguran compatibilidad del 99%, pero eso no significa que los Certificados se activen sin mostrar una advertencia de seguridad en el navegador.

En el caso de las Autoridades de Confianza más pequeñas o de creación reciente, es posible que las raíces no se hayan incluido en el almacén raíz de ciertos navegadores, sobre todo los más antiguos. Los Certificados SSL de Symantec™ no presentan este problema, pues prácticamente todos los fabricantes de navegadores añaden las raíces SSL de Symantec™ a su almacén raíz cuando lanzan nuevas versiones del navegador.

Entre muchas otras ventajas, los Certificados SSL Exchange Server de Symantec™ ofrecen:

• Presencia del sello de Symantec™, la marca de confianza con mayor reconocimiento en Internet.
• Posibilidad de gestionar varios Certificados, necesarios con las implantaciones de Exchange 2010, reduciendo las inscripciones, emisiones y renovaciones de forma individual.
• Distintos niveles de control, que se pueden elegir en función de las exigencias de las Organizaciones.
• Opciones de revocar y volver a emitir los Certificados de forma gratuita.
• Diversos tipos de Certificados de comunicaciones unificadas y que permiten añadir y editar los SAN.
• Uso del nuevo asistente para Certificados de Microsoft Exchange que ayuda a agilizar la configuración de nombres de dominio.

4. Proceso de instalación de SSL Exchange Server.

Lo primero es generar una Solicitud de Firma de Certificado (CSR, Certificate Signing Request) con el asistente para Certificados de Exchange 2010 mediante seis pasos:

• Hacer click en Inicio > Programas > Microsoft Exchange 2010 > Consola de administración de Exchange y, una vez abierta la Consola de administración, seleccionar «Administrar bases de datos».
• Seleccionar «Configuración del servidor» en el menú de la izquierda y «Nuevo certificado de intercambio» en el panel de acciones de la derecha. Cuando el sistema pida que escriba un nombre se sugiere elegir uno descriptivo, fácil de recordar y que identifique claramente al Certificado. (Este nombre se usará solo para fines de identificación y no formará parte de la CSR).
• En «Ámbito de dominio», marcar la casilla si desea solicitar un Certificado comodín. En caso contrario, hacer click en «Siguiente».
• En el menú de configuración de Exchange, seleccionar los servicios que se desea proteger y, cuando lo solicite el sistema, escribir los nombres con los que se conecta a dichos servicios. En la siguiente pantalla, se puede consultar una lista de nombres que Exchange 2010, se sugiere añadirlos a la Solicitud del Certificado.
• En la página «Organización y ubicación», indicar bajo «Organización» el nombre completo de la Empresa tal como se ha registrado oficialmente y, bajo «Unidad de organización», el departamento que se ocupa de los Certificados SSL. Si no existe una provincia ni estado, indicar la localidad o ciudad.
• Hacer click en «Examinar» para guardar la CSR en el equipo en forma de archivo .req. Después dar la secuencia: «Guardar», «Siguiente», «Nuevo» y «Finalizar».

A partir de este momento, se podrá abrir la CSR con un editor de texto como el Bloc de notas. Se debe copiar todo lo que aparece desde el primer guión (-) de la línea BEGIN hasta el último guión de la línea END y pegarlo en el formulario de solicitud en línea.

En este paso es importante recordar que Exchange 2010 utiliza de forma predeterminada claves RSA con una longitud de 1024 bits, pero es muy recomendable optar por una longitud de 2048 bits. De igual forma, si se está creando una CSR para obtener un certificado con Extended Validation o con un período de validez que termine después del 31 de diciembre de 2013, se tendrá que seleccionar necesariamente una clave de 2048 bits.

Instalación del certificado SSL Exchange Server

Una vez adquirido el Certificado se recibirá un mensaje de correo electrónico con datos cifrados entre un encabezado y un pie, similar al siguiente texto:

-----BEGIN CERTIFICATE-----

[datos cifrados]

-----END CERTIFICATE-----

Entonces, se utiliza el Bloc de notas, u otro editor de texto sin formato, para crear un archivo con el contenido del mensaje de correo electrónico. Es necesario comprobar que haya cinco guiones a ambos lados de las palabras BEGIN CERTIFICATE y END CERTIFICATE, y que no se hayan añadido por error espacios, saltos de línea ni caracteres. Para continuar, se debe guardar el archivo con la extensión .txt o .p7b y seguir esta serie para instalar el Certificado de Seguridad:

• Iniciar la Consola de administración de Exchange: Inicio > Programas > Microsoft Exchange 2010 > Consola de administración de Exchange.
• Elegir «Administrar bases de datos», «Configuración del servidor» y seleccionar el Certificado en el menú central (aparece con su nombre descriptivo) y «Completar solicitud pendiente» en el panel «Acciones».
• Buscar el archivo del Certificado y seleccionar Abrir > Completar.
• Pulsar la tecla F5 para actualizar el Certificado y comprobar que aparezca la palabra «Falso» bajo «Autofirmado». Si aún se visualiza la palabra «Verdadero», es posible que se haya seleccionado un Certificado erróneo o que se haya generado la solicitud en un servidor distinto. Para resolver este problema, es necesario crear una nueva CSR en este servidor de Exchange y pedir a Symantec™ que vuelva a emitir el Certificado.
• Para habilitar el certificado, volver a la Consola de administración de Exchange y hacer click en el enlace «Asignar servicios a certificado». Seleccionar el servidor en la lista que aparece y dar «Siguiente».
• Seleccionar los servicios que se deseen asignar al Certificado y hacer la secuencia: Siguiente > Asignar > Finalizar.

A partir de ese momento, el Certificado SSL de Symantec™ debe estar instalado y listo para usar con el servidor de Exchange 2010. No obstante, probablemente Exchange 2010 muestre el mensaje de error: «Los datos de origen están dañados o no se han codificado correctamente en Base64». Por lo general, se puede hacer caso omiso de esta advertencia, pues el Certificado se instala correctamente a pesar del mensaje.

Si existe alguna pregunta acerca del funcionamiento de SSL Exchange Server o de su instalación se puede consultar a los ejecutivos de soporte en el portal de CertSuperior.com.