Bienvenido a Macroseguridad
 
   
   
Certificados SSL
»
 Certificado Dominio único
»
 Certificado EV SSL
»
 Certificado EV SSL
Multidominio
»
 Certificado UCC-SAN
»
 Certificado Wildcard
Tokens USB
HSM (Hardware Security Module)
Code Signing
Medios de Pago
Time Stamping
UserLock
FileAudit
Tokens OTP
SoftTokens
SmartCards
Lectores de SmartCards
Lectoras Biométricas
Protección de Software
Identidad Digital
 
 
Productos / Certificados SSL / Certificado UC (UCC) SSL
Certificado UC (UCC) SSL

» Descripción » Especificaciones Técnicas
» Características » Preguntas Frecuentes
» Aplicación » Prueba de 30 Días
 
Preguntas Frecuentes
 

¿Qué dominios puedo incluir en un Certificado UCC?

Esto depende de cómo su servidor y su red estén configurados y cómo se acceda a su servidor, pero en general se incluyen las siguientes opciones:

  1. El nombre interno del servidor
  2. El nombre interno del servidor con el dominio interno

Nota: En el siguiente artículo se detallan las IPs y dominios de uso interno que usted puede utilizar:

support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=1295

  1. Los nombres de dominio utilizados para el acceso externo a través de Outlook Web Access, ,POP/IMAP o cualquier tipo de webmail.
  2. El dominio Auto Discover utilizado para la nueva funcionalidad de Exchange/Outlook 2007/2010 (el servicio Auto Discover es para Exchange 2007/2010 y posteriores) (opcional).

Aquí hay un ejemplo de la lista de dominios para estas opciones:

  • mailserver – Nombre Privado del Servidor
  • mailserver.local – Nombre LAN Interno
  • mailserver.midominio.net – Servidor POP/SMTP/IMAP
  • mailserver.dominio.com -- Servidor POP/SMTP/IMAP
  • owa.dominio.com -- Outlook Web Access
  • autodiscover.dominio.com – AutoDiscover

 

¿Qué nombre utilizo como Nombre Común (Common Name) primario en el CSR de mi Certificado UCC?

Su Nombre Común primario en un UCC debe ser la URL que utiliza habitualmente para acceder al servidor (normalmente un dominio externo). Para tener compatibilidad con los dispositivos móviles más antiguos es recomendable utilizar la URL a la cual se conecta su dispositivo móvil como primario.

Nota: Si está solicitando un Certificado UCC para Office Communications Server 2007, tendrá que utilizar el nombre de dominio interno para el servidor como Nombre Común primario.

 

¿Cómo utilizan los navegadores web el campo SAN (Subject Alternative Name) en un Certificado SSL?

Cuando los navegadores se conectan a su servidor usando HTTPS verifican que su Certificado SSL coincida con el nombre del host en la barra de direcciones. Hay tres maneras de encontrar una coincidencia:

  1. El nombre del host (en la barra de direcciones) coincide exactamente con el Nombre Común en el Sujeto del certificado.
  2. El nombre del host coincide con el Nombre Común de un Certificado Wildcard.
    Por ejemplo, www.macroseguridad.org coincide con el nombre común *.macroseguridad.org
  3. El nombre del host está listado en el campo SAN.

La forma más común de verificar es comparando el nombre del Server en el que está instalado SSL con el nombre común que figura en el certificado. Lo más seguro es que todos los clientes SSL soporten la coincidencia exacta del Nombre Común.

Si un certificado tiene un campo SAN (Subject Alternative Name), entonces los navegadores de los clientes de SSL van a buscar una coincidencia en la lista SAN.

 

Instalación del Certificado Intermedio y Raíz

Usted puede descargar los archivos necesarios para la instalación del Certificado Intermedio y Raiz desde la sección de soporte del sitio web Root & Intermediate Certificate.

Su certificado Root es la Autoridad de Certificación Entrust.net Secure Server. (EntrustSecureServerCA.crt)

Su certificado Intermedio es AAA Certificate Services (AAACertificateServices_2.crt)

Guarde estos certificados en el Escritorio del Webserver, luego haga click en Inicio > Ejecutar y luego escriba MMC y haga click OK (Aceptar)





Haga click en Archivo y luego en Agregar o quitar complemento…





Haga click en Certificados y luego en Agregar…





Seleccione Cuenta de Equipo (Nota: Este paso es muy importante, debe ser la cuenta de la PC y no otra) y luego haga click en Siguiente





Seleccione Equipo local (el equipo en el que se está ejecutando esta consola):





Cierre la ventana Agregar o quitar complemento haciendo click en Aceptar para volver a la ventana de MMC e instalar su certificado Root.





Haga click con el botón derecho en Entidades de certificación raíz de confianza, seleccione Todas las tareas y luego Importar…
Con esto abrirá el Asistente para la Importación de Certificados. Haga click en Siguiente para comenzar.





Encontrará la siguiente pantalla:





Localice su certificado Root haciendo click en Examinar y luego haga click en Siguiente. Cuando haya finalizado el Wizard haga click en Finalizar.
Para instalar el Certificado/s Intermedio:





Haga click en el botón derecho sobre Entidades de certificación intermedia, seleccione Todas las tareas desde la consola y luego Importar… Complete el Wizard nuevamente, pero esta vez seleccionando el certificado intermedio cuando se pida por el archivo del certificado.

Asegúrese que el certificado Root se muestra dentro de Entidades de certificación raíz de confianza y verifique que el certificado Intermedio se muestre dentro de Entidades de certificación intermedia. Una vez que los dos certificados estén instalados correctamente, puede ser necesario reiniciar el servidor.

 

Solicitando un reemplazo del certificado UCC

Si por alguna razón usted necesita el reemplazo de un Certificado UC (solicitado para el nombre de un dominio incorrecto, fallo del servidor, no poder exportar/hacer el backup de un certificado, dominios extras requeridos, etc), por favor siga los siguientes pasos.

  1. Por favor genere un CSR *NUEVO*

Si usted no está seguro sobre cómo generar su CSR por favor visite:

el sitio de soporte SSL

Nota: Por favor asegúrese de incluir su FQDNs (Fully Qualified Domain Names) / Nombre Privado del Servidor /entradas de Active Directory en el CSR.

  1. Comuníquese con nosotros a la cuenta validacion@macroseguridad.net para solicitar el reemplazo de su Certificado UCC-SAN, incluyendo su CSR e informando a través de que webserver fue generado. Nosotros procederemos al reemplazo de su Certificado.

Nota: Si usted está solicitando adicionar nombres extras de dominios al certificado UCC será necesario un pago adicional, lo que puede demorar el proceso.

 

No puede importar debido a que ya existe un certificado con el mismo thumbprint

Este error ocurre normalmente cuando el certificado ya fue instalado en el servidor.

Si usted ya había instalado el certificado y está tratando de habilitar los servicios correctos en su servidor para este certificado, puede hacerlo utilizando la siguiente línea de comando:

Habilitar Exchange Certificate: -Thumbprint [THUMBPRINT] -Services "POP, IMAP, IIS, SMTP"

Usted deberá remplazar [THUMBPRINT] con el thumbprint de su certificado.

Si usted ha instalado el certificado correctamente dentro del servidor, necesitará revisar el almacén de certificados y remover el certificado con el thumbprint mostrado en el error. (Esto se recomienda solamente si usted no ha tratado de instalar el certificado en el servidor o si el certificado actual no funciona correctamente.)

**Por favor note que el thumbprint y el numero serial son campos diferentes en el certificado.

 

Clave Privada no Encontrada cuando se ejecuta Enable-ExchangeCertificate

Enable-ExchangeCertificate: El certificado con thumbprint XXXXXXXXX fue encontrado pero no es válido para usarse con Exchange Server
(reason: PrivateKeyMissing)
En la línea:1 carácter:27
+ Enable-ExchangeCertificate –Thumbprint XXXXXXXXX – Services "IIS"

El error anterior puede resultar por muchas razones:

  • El CSR fue creado con IIS y se intentó instalar a través del Exchange Management Shell (EMS)
  • El CSR fue creado utilizando EMS en otro Exchange Server, un certificado dañado, o Windows simplemente "olvida" donde está guardada la Clave Privada del certificado. No ocurre todo el tiempo, pero a veces el error puede ser una molestia.

Opción 1 Reparar Certificado Dañado (Windows Server 2003/2008)

  1. Abra la consola MMC y agregue el complemento Certificados para la cuenta Local de la PC
  2. Doble click en los certificados importados recientemente.
    Nota: En windows Server 2008 será el certificado extraviado la llave dorada al lado de el.
  3. Seleccione la pestaña Details
  4. Haga click en el campo Serial Number y copie el valor.
    Nota: Usted puede utilizar CTRL+C, pero no click con el botón derecho del mouse y copiar
  5. Ejecute la línea de comando de Windows (cmd.exe también conocido como prompt de DOS)
  6. Escriba certutil –repairstore my "SerialNumber" (el valor SerialNumber es el copiado en el punto 4)
  7. Luego de ejecutar el comando anterior, vuelva a la consola MMC y haga click con el botón derecho sobre Certificates y seleccione Refresh (o presione F5 en MMC)
  8. Haga doble click en el certificado que tiene problemas. Al fondo de la ventana (pestaña General) debe decir "You have a private key that corresponds to this certificate".
    Nota: En Windows Server 2008 se mostrará una llave dorada en la parte izquierda del certificado, por lo que no hay necesidad de hacer doble click en el certificado.
  9. Ahora que la Llave Privada se encuentra relacionada al certificado, por favor proceda a habilitar los Exchange Services a través de Enable-ExchangeCertificate

Opción 2 Remover y Reinstalar el certificado (Windows Server 2003/2008)

  1. Verifique que el certificado no posee su llave privada.
  2. En la consola MMC haga doble click sobre los certificados importados recientemente (Asegúrese de estar utilizando la consola de Certificado desde la cuenta de la Local Computer.
    Nota: En Windows Server 2008 será el certificado que extravió la lleve dorada al lado del mismo
  3. Click con el Botón derecho en el certificado y haga click en Delete
  4. Reinstale el certificado

 

Asignando/Habilitando servicios adicionales en un Certificado UCC Campo SAN existente

Usted necesitará utilizar el siguiente comando para asignar/habilitar servicios para cualquier certificado existente en el servidor que se encuentre correctamente instalado y que tiene una clave privada correspondiente:

Exchange 2007:
Enable-ExchangeCertificate -Thumbprint $THUMBPRINT -Services "POP, IMAP, IIS, SMTP"

Exchange 2010:
Enable-ExchangeCertificate -Thumbprint $THUMBPRINT -Services POP, IMAP, IIS, SMTP
Nota: No utilice comillas en Exchange 2010 en los flags de Servicios.

Usted necesitará remplazar $THUMBPRINT con el thumbprint de su certificado. Lo puede encontrar viendo los detalles del certificado dentro la consola de Certificados dentro del MMC. Si usted tiene servicios existentes, también necesitará re-listarlos una vez que haya ingresado el comando.

 

Microsoft ISA Server y SAN Certificates

ISA Server 2006 SP1 incluye soporte para certificados con múltiples entradas de campos SAN (Subject Alternative Name) publicadas en servidores web.

Previo a este release, no es soportado correctamente por servidores ISA.

Por favor asegúrese de estar utilizando ISA Server 2006 SP1 o superior si desea aprovechar las ventajas del campo SAN (Subject Alternative Name) en su certificado.

 

¿Cómo exporto e importo un Certificado UCC?

Si usted desea hacer un backup de su certificado UCC junto con su clave privada, exporte el certificado UCC utilizando Export-ExchangeCertificate cmdlet, utilizando el siguiente comando:

Export-ExchangeCertificate -Thumbprint -BinaryEncoded:$true -Path c:\certificates\export.pfx -Password:(Get-Credential).password

Para importar un certificado utilice el siguiente commando:

Import-ExchangeCertificate -Path c:\certificates\export.pfx -Password:(Get-Credential).password

Si usted desea obtener el thumbprint de su certificado instalado, abra la herramienta Exchange Management Shell [ START -> Programs -> Microsoft Exchange Server 2007 -> Exchange Management Shell } e ingrese el siguiente comando:

Get-ExchangeCertificate

 

¿Por qué mi antiguo certificado se muestra para OWA aunque lo haya reemplazado?

Esto ocurre comúnmente cuando un certificado es instalado a través de Exchange Managment Shell (EMS). Cuando se instala un certificado a través de EMS, no se puede especificar el sitio web donde el certificado es utilizado, por lo que se le debe indicar a IIS de utilizar el certificado correcto a través del IIS Manager.

IIS 6

  1. Haga click con el botón derecho sobre el sitio que contiene la carpeta OWA.
  2. Click en Properties
  3. Click en la pestaña Directory Security
  4. Click sobre Server Certificate en la sección Secure communications
  5. Inicie el Wizard de certificados del Web Server
  6. Click sobre Next
  7. Se mostrarán varias opciones. Haga click en Replace
  8. Seleccione su nuevo certificado desde la lista y haga click en Next
  9. Verifique los detalles y haga click en Next
  10. Haga click en Finish para finalizar el wizard

IIS 7

  1. Utilizando el IIS Manager, navegue hasta el root del sitio web que contiene la carpeta OWA. El centro de la ventana debe decir "Default Website Home" o el nombre que posea el sitio web.
  2. Seleccione Bindings desde el sub menú Edit Site
    Web Site Bindings
  3. Haga clicks sobre https para que se resalte y luego haga click sobre botón Edit que se encuentra a la derecha.
  4. En la sección SSL Certificate, seleccione certificado nuevo desde el menú desplegable.
  5. Haga click en OK para completar la instalación.

Verificación
Chequee su sitio OWA para revisar que su nuevo certificado se encuentre configurado correctamente.