Exchange 2013 Richiesta Certificato SSL SAN

Ci pensavo da molto tempo, ma non avevo mai avuto l’occasione per cercare un partner con il quale sviluppare questo articolo.

Una semplice guida passo passo per l’implementazione di un certificato SSL con Exchange 2013.
Quindi… come al solito… ho deciso di produrre un documento che spero possa essere utile a chi, come me, non ha molte occasioni di giocherellare con Exchange.

Ringraziamenti
Roberto Ferazzi MVP Exchange Server e fondatore di MSExchange.Community che mi ha aiutato nella ricerca di un valido distributore per il certificato SSL.

Jason Parms di SSL2BUY Inc. che mi ha fornito un Certificato UCC SLL Comodo per Exchange Server 2013.

Comodo SSL

Infrastruttura
L’articolo si basa su una installazione di dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter e Microsoft Exchange 2013 SP1 Standard Edition. Durante tutte le fasi sono stati utilizzati i valori di default proposti.

Dominio privato: testerlab.local
Dominio pubblico: testerlab.it

Domain Controller
Nome Computer: DC-01
IPv4: 192.168.1.236
IPv6: ottieni indirizzo automaticamente
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Server Exchange
Nome Computer: EXH-01
IPv4: 192.168.1.237
IPv6: ottieni indirizzo automaticamente
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236

Molte delle infrastrutture esistenti (in particolare di piccole dimensioni) utilizzano un dominio Active Directory privato il cui suffisso è quasi sempre .local ed un dominio pubblico .it o .com per i servizi mail e web.
Negli ultimi tempi si è vista una inversione di tendenza e si è passati ad utilizzare un unico dominio. Quello pubblico. Questo modus operandi per alcuni versi semplifica alcuni aspetti ma per altri impone una maggiore attenzione alla progettazione.

Il meccanismo di puntare dall’interno del dominio a risorse esterne attraverso il DNS locale è conosciuto come Split DNS.

L’articolo non tratta l’installazione e la configurazione del Server Exchange. Si presume che l’infrastruttura sia pronta e che siano stati configurati tutti i servizi necessari.
Configurazione DNS
Basandoci su una infrastruttura con due domini (.local e .it) dovremo aggiungere al nostro DNS interno una nuova zona. All’esterno del perimetro aziendale ci penseranno i Server DNS pubblici a fornire il corretto indirizzamento al Server Exchange.

Zona di ricerca diretta: testerlab.it
Record A mail 192.168.1.237
Record A autodiscover 192.168.1.237
Immagine_000

Durante la fase di installazione di Exchange vengono prodotti alcuni certificati. Questi certificati sono conosciuti come Self-Signed.  Per operare correttamente i certificati Self-Signed devono essere sostituiti con un certificato SSL prodotto da un ente certificatore qualificato (CA). In particolare si utilizza un certificato che ingloba all’interno una serie di domini alternativi a quello principale. Questo tipo di certificati vengono definiti SAN  (Subject Alternative Names) oppure UC (Unified Communications).

L’implementazione di un certificato SSL si distingue in tre fasi distinte:
Richiesta
Emissione
Installazione

Richiesta Certificato
Collegarsi all’Exchange Administrative Center attraverso adeguate credenziali (Durante le varie fasi di questo articolo sarà utilizzata l’utenza di sistema TESTERLAB\Administrator).
Nel menu verticale selezionare “server” e successivamente dal menu orizzontale selezionare l’opzione “certificati”.
Immagine_001

Nelle tre successive screen sono visibili i certificati Self-Signed prodotti durante la fase di installazione di Exchange.
Immagine_003a
Immagine_003b
Immagine_003c

Iniziare la procedura guidata per la creazione della richiesta di un nuovo certificato premendo il pulsante “aggiungi” (+).
Immagine_005

Indicare un nome descrittivo per il certificato SSL. Saltiamo la maschera successiva in quanto non siamo interessati all’emissione di un certificato jolly (*).
Immagine_006
Immagine_007

Selezionare il server sul quale vogliamo archiviare la richiesta e successivamente selezionare i domini che devono essere contenuti nel certificato.
Immagine_008b
Immagine_009

Nel nostro esempio utilizzeremo i seguenti domini:
testerlab.it
mail.testerlab.it
autodiscover.testerlab.it

Immagine_010
Immagine_011
Immagine_012
Immagine_013
Immagine_014
Immagine_015

Eliminare tutte le voci di dominio che non devono essere contenute nel certificato. In particolare vorrei ricordare che non è possibile emettere certificati SSL con domini privati (.local).
Immagine_017a
Immagine_017b

Compilare i campi con le informazioni relative alla società richiedente e memorizzare il file della richiesta (.req) in una share di rete.
Immagine_018
Immagine_019

La richiesta di emissione del certificato verrà inserita insieme agli altri certificati in attesa di essere completata. Come si può vedere dalla seguente screen lo stato è “Richiesta in sospeso”.
Immagine_021

Di seguito il contenuto del file prodotto dalla precedente procedura di richiesta di emissione del certificato SSL.
Immagine_020

La fase di emissione dipende dall’interfaccia utilizzata dalla CA o dal rivenditore. Per grandi linee si dovrà inviare il file di richiesta generato dal Server oppure compilare un form on-line indicando i parametri precedentemente indicati nel seguente articolo.

Nel prossimo articolo vedremo come importare ed installare il certificato ricevuto dalla CA.

Approfondimenti
Digital certificates and SSL

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.