Il certificato autofirmato di Exchange 2007
Durante l’installazione del ruole Client Acces di Exchange 2007 viene creato un certificato autofirmato che ha lo scopo di garatire un metodo temporaneo per criptare le comunicazioni client fino a che non viene installato un certificato alternativo. Il certificato autofirmato ha due Subject Alternative Name: uno per il nome NetBIOS e uno per il FQDN del server Client Access. Non è raccomandabile usare tale certificato con applicazioni client e dispositivi, ma è preferibile usare un certificato di terze parti o un certificato firmato da un CA interna Windows PKI.
Il certificato autofirmato ha le seguenti limitazioni:
- Ha una durata di 12 mesi e alla scadenza va rinnovato tramite il cmdlet New-ExchangeCertificate.
- Non può essere utilizzato con Outlook Anywhere.
- Non può criptare le comunicazioni tra dispositivi Microsoft Exchange ActiveSync e Exchange server.
- Gli utenti Microsoft Outlook Web Access riceveranno l’avviso che il certificato non è attendibile in quanto non è firmato da un’autorità riconosciuta dal client come attendibile. E’ possibile ignorare l’avviso e utilizzare il certificato.
- Il certificato predefinito ha la chiave privata contrassegnata come non esportabile quindi non è possibile utilizzarla per pubblicare Exchange 2007 tramite una Exchange Web Client Access Publishing Rule di ISA Server 2006. E’ possibile clonare il certificato creandone un nuovo con la chiave privata esportabile.
Per clonare o rinnovare il certificato auto firmato è possibile utilizzare la seguente procedura
- Ottenere il Thumbprint (xxx) del certificato tramite il seguente cmdlet:
CodeGet-ExchangeCertificate -DomainName ServerName.DomainName.Ext |fl - Clonare il certificato tramite il seguente cmdlet:
Get-ExchangeCertificate -thumbprint xxx | New-ExchangeCertificate- Confermare con S la sovrascrittura del SMTP esistente.
- Viene visualizzato il Thumbprint (yyy) del nuovo certificato.
- Nel caso si intenda creare un certificato con chiave privata esportabile utilizzare il seguente cmdlet:
Get-ExchangeCertificate -thumbprint xxx | New-ExchangeCertificate -PrivateKeyExportable $true
- Visualizzare il nuovo certificato tramite il seguente cmdlet:
CodeGet-ExchangeCertificate -thumbprint yyy |fl- Il nuovo certificato sarà abilitato solo per IMAP, POP, SMTP e non per IIS
- Abilitare il nuovo certificato per IIS tramite il seguente cmdlet:
Enable-ExchangeCertificate -thumbprint yyy -services IIS - Verificare che il nuovo certificato sia abilitato anche per IIS tramite il seguente cmdlet:
CodeGet-ExchangeCertificate -thumbprint yyy |fl - Controllare la funzionalità dei servizi con il nuovo certificato.
- Eliminare il vecchio certificato tramite il seguente cmdlet:
Remove-ExchangeCertificate -thumbprint xxx- Confermare con S la rimozione del certificato.
Sebbene la clonazione permetta di continuare ad utilizzare il certificato autofirmato il consiglio è di usarlo solo temporaeamente o in ambienti di test tenendo conto che come detto prima vi sono funzionalità non possono funzionare utilizzando questo certificato. Come ad esempio Outlook Anywhere a riguardo si veda Outlook Anywhere and Exchange’s Self-Signed Certificate.