Ci pensavo da molto tempo, ma non avevo mai avuto l’occasione per cercare un partner con il quale sviluppare questo articolo.
Una semplice guida passo passo per l’implementazione di un certificato SSL con Exchange 2013.
Quindi… come al solito… ho deciso di produrre un documento che spero possa essere utile a chi, come me, non ha molte occasioni di giocherellare con Exchange.
Ringraziamenti
Roberto Ferazzi MVP Exchange Server e fondatore di MSExchange.Community che mi ha aiutato nella ricerca di un valido distributore per il certificato SSL.
Jason Parms di SSL2BUY Inc. che mi ha fornito un Certificato UCC SLL Comodo per Exchange Server 2013.
Infrastruttura
L’articolo si basa su una installazione di dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter e Microsoft Exchange 2013 SP1 Standard Edition. Durante tutte le fasi sono stati utilizzati i valori di default proposti.
Dominio privato: testerlab.local
Dominio pubblico: testerlab.it
Domain Controller
Nome Computer: DC-01
IPv4: 192.168.1.236
IPv6: ottieni indirizzo automaticamente
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236
Server Exchange
Nome Computer: EXH-01
IPv4: 192.168.1.237
IPv6: ottieni indirizzo automaticamente
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236
Molte delle infrastrutture esistenti (in particolare di piccole dimensioni) utilizzano un dominio Active Directory privato il cui suffisso è quasi sempre .local ed un dominio pubblico .it o .com per i servizi mail e web.
Negli ultimi tempi si è vista una inversione di tendenza e si è passati ad utilizzare un unico dominio. Quello pubblico. Questo modus operandi per alcuni versi semplifica alcuni aspetti ma per altri impone una maggiore attenzione alla progettazione.
Il meccanismo di puntare dall’interno del dominio a risorse esterne attraverso il DNS locale è conosciuto come Split DNS.
L’articolo non tratta l’installazione e la configurazione del Server Exchange. Si presume che l’infrastruttura sia pronta e che siano stati configurati tutti i servizi necessari.
Configurazione DNS
Basandoci su una infrastruttura con due domini (.local e .it) dovremo aggiungere al nostro DNS interno una nuova zona. All’esterno del perimetro aziendale ci penseranno i Server DNS pubblici a fornire il corretto indirizzamento al Server Exchange.
– Zona di ricerca diretta: testerlab.it
— Record A mail 192.168.1.237
— Record A autodiscover 192.168.1.237
Durante la fase di installazione di Exchange vengono prodotti alcuni certificati. Questi certificati sono conosciuti come Self-Signed. Per operare correttamente i certificati Self-Signed devono essere sostituiti con un certificato SSL prodotto da un ente certificatore qualificato (CA). In particolare si utilizza un certificato che ingloba all’interno una serie di domini alternativi a quello principale. Questo tipo di certificati vengono definiti SAN (Subject Alternative Names) oppure UC (Unified Communications).
L’implementazione di un certificato SSL si distingue in tre fasi distinte:
– Richiesta
– Emissione
– Installazione
Richiesta Certificato
Collegarsi all’Exchange Administrative Center attraverso adeguate credenziali (Durante le varie fasi di questo articolo sarà utilizzata l’utenza di sistema TESTERLAB\Administrator).
Nel menu verticale selezionare “server” e successivamente dal menu orizzontale selezionare l’opzione “certificati”.
Nelle tre successive screen sono visibili i certificati Self-Signed prodotti durante la fase di installazione di Exchange.
Iniziare la procedura guidata per la creazione della richiesta di un nuovo certificato premendo il pulsante “aggiungi” (+).
Indicare un nome descrittivo per il certificato SSL. Saltiamo la maschera successiva in quanto non siamo interessati all’emissione di un certificato jolly (*).
Selezionare il server sul quale vogliamo archiviare la richiesta e successivamente selezionare i domini che devono essere contenuti nel certificato.
Nel nostro esempio utilizzeremo i seguenti domini:
testerlab.it
mail.testerlab.it
autodiscover.testerlab.it
Eliminare tutte le voci di dominio che non devono essere contenute nel certificato. In particolare vorrei ricordare che non è possibile emettere certificati SSL con domini privati (.local).
Compilare i campi con le informazioni relative alla società richiedente e memorizzare il file della richiesta (.req) in una share di rete.
La richiesta di emissione del certificato verrà inserita insieme agli altri certificati in attesa di essere completata. Come si può vedere dalla seguente screen lo stato è “Richiesta in sospeso”.
Di seguito il contenuto del file prodotto dalla precedente procedura di richiesta di emissione del certificato SSL.
La fase di emissione dipende dall’interfaccia utilizzata dalla CA o dal rivenditore. Per grandi linee si dovrà inviare il file di richiesta generato dal Server oppure compilare un form on-line indicando i parametri precedentemente indicati nel seguente articolo.
Nel prossimo articolo vedremo come importare ed installare il certificato ricevuto dalla CA.
Approfondimenti
Digital certificates and SSL