Recomendaciones sobre el uso de certificados digitales para acceso cliente | Exchange Server 2013

Realizando diseños de arquitecturas de Exchange Server y contestando las consultas de los usuarios de Technet, me he encontrado que muchas personas tienen confusiones a la hora de la configuración de los certificados digitales, necesarios para el acceso cliente.

Es por eso que en este primer artículo, repasaremos lo siguiente:

  • ¿Qué es un certificado digital?
  • ¿Qué tipos de certificados existen?
  • ¿Para qué utiliza certificados Exchange Server?

¿Qué es un certificado digital?

Un certificado digital es un archivo electrónico, el cual permite validar la identidad de un equipo o usuario, a su vez nos brinda seguridad sobre el canal por el cual se establece y transmite una comunicación mediante un método de cifrado.

Por ende podemos decir que tiene los siguientes dos objetivos:

  • Validar la identidad de un equipo, usuario, sitio web, etc., para realmente comprobar si son quien dicen ser.
  • Proteger del robo los datos que se transmiten en forma online.

Si entrar en detalles técnico sobre los certificados digitales que no es el objetivo de este artículo, podemos afirmar que el certificado contiene una clave pública y una privada las cuales son utilizadas para encriptar la información antes de transmitirla.

¿Qué tipos de certificados digitales existen?

Básicamente existen 3 tipos de certificados digitales los mismos son:

  • Auto-firmados (Self-signed).
  • Firmados por una PKI basada en Windows o sistema PKI implementado en una organización.
  • Certificados de confianza de terceros.

Auto-firmado

Los certificados auto-firmados son aquellos que están firmados por la aplicación o equipo que los crea, es decir no están firmados por una entidad certificante.

En Exchange 2013, durante la instalación del producto se genera un certificado autofirmado para el rol de Cliente Access y uno para Mailbox con el objetivo de encriptar la comunicación entre estos. Por defecto este certificado también es utilizado para las conexiones de acceso cliente que se transmiten por SSL (OWA, Active Sync, Outlook Anywhere, EWS, etc.), lo cual no es una práctica recomendada ya que ningún equipo sea de nuestra red, pertenezca a nuestro dominio de Active Directory o se conecte en forma externa, confiará en él.

Para que los equipos confíen en el certificado auto firmado de Exchange, debemos en forma manual desplegar dicho certificado en el almacén de Trusted Root Certificates , a todos los equipos que deseen acceder a nuestra plataforma de correo, incluido teléfonos móviles.

Para mantener la plataforma de correo lo más simple posible y evitar carteles en los clientes Outlook, navegadores y dispositivos móviles que indiquen problemas en el certificado se recomienda e indica no utilizar certificados digitales auto firmados para el acceso cliente.

Firmados por una PKI basada en Windows

El otro tipo de certificado digital que existe es el firmado por una PKI basada en Windows. Una PKI es un sistema de entidades certificantes y entidades de registro que nos permiten emitir, revocar, verificar, validar y desplegar certificados digitales dentro de una organización. En el caso que se utilice el rol de Active Directory Certificate Services, este servicio nos provee todo el ciclo de vida de los certificados digitales y su administración.

Este acercamiento para generar certificados digitales para Exchange Server cuenta con ciertas ventajas con respecto a utilizar certificados autofirmados:

  • Si nuestra infraestructura PKI está basada sobre el servicio de directorio, todos los equipos unidos al dominio confiarán automáticamente en los certificados digitales que emitamos para Exchange Server, ya que la root es desplegada en forma automática por el servicio de directorio.
  • En caso que no esté implementada en nuestro servicio de directorio o la infraestructura PKI no sea Windows, desplegamos mediante GPO la root a todos los equipos unidos al dominio y confiarán automáticamente en los certificados que emitamos.
  • Emitir certificados digitales no tiene ningún tipo de costo monetario.

Las desventajas que podemos observar con el tipo de certificado mencionado son las siguientes:

  • Requerimos de hardware disponible para implementar la solución.
  • Estamos a cargo de todo el ciclo de vida de nuestros certificados digitales, es decir emitir, desplegar, revocar, actualizar, firmar, generar, etc.
  • Tenemos un costo administrativo ya que debemos mantener todos los servidores implementados en la infraestructura PKI.
  • Los equipos que no pertenezcan al dominio de Active Directory por defecto no confiarán automáticamente en los certificados emitidos a menos que instalamos en el repositorio de los equipos Trusted Root Certificates, el certificado Root de la CA de nuestra infraestructura PKI. Esto también es válido para dispositivos móviles, que seguirán arrojando advertencias que el certificado no es de confianza.

Certificados de confianza de terceros

Certificados de terceros o también llamados comerciales, son emitidos a través de CAs de terceros o comerciales que podemos comprar para luego ser instalados en los servidores de nuestra infraestructura.

Adquirir este tipo de certificado, tiene las siguientes ventajas:

    • A mi criterio la más importante es que a comparación de los dos tipos vistos en los puntos anteriores, la Root de los certificados de terceros están distribuidos en todos o en la mayoría de loa equipos y dispositivos, por lo tanto confiarán automáticamente en estos sin necesidad de realizar alguna acción adicional.
    • Simplificación de despliegue, dado por los motivos mencionados en el punto anterior.
    • No tenemos costo administrativo o de mantenimiento de una infraestructura PKI. Solamente nos limitamos a comprarlo e instalarlo.
    • Es recomendado utilizarlo dentro de las mejores prácticas para la implementación de Exchange Server, entraremos en detalle sobre este punto en la parte 2 del artículo.

Desventajas:

La única desventaja es que tiene un costo adquirirlo y también tiene costo su renovación, aunque existen descuento por contratos a largo plazo y ofertas que se pueden aprovechar.

¿Para qué utiliza certificados digitales Exchange Server?

Son utilizados en la capa de acceso cliente para las conexiones cliente hacia los siguientes servicios:

      • Outlook Web App
      • Outlook Anywhere
      • Exchange ActiveSync
      • Exchange Web Services
      • Outlook Address Distribution
      • Exchange Admin Center
      • Autodiscover
      • Remote Powershell Administration
      • POP / IMAP

También son utilizados para el transporte SMTP a través de TLS.

Por ultimo también se utilizan entra la comunicación del Client Accesos y el Mailbox Server en una implementación multirol, cuando deben comunicarse entre ellos en las redirecciones de proxy. En este caso, no debemos preocuparnos por asignar un certificado de terceros, ya que por defecto confían entre ellos con los auto firmados que se generan en la instalación de Exchange.

Conclusión

Conocer qué tipo de certificados existen y para que los utiliza Exchange Server, es muy importante y es el primer paso que debemos dar. Es por eso que en este artículo abarcamos los conceptos para luego entrar en las recomendaciones, las cuales veremos y analizaremos en la siguiente entrega.

¡Saludos!

Advertisements

One thought on “Recomendaciones sobre el uso de certificados digitales para acceso cliente | Exchange Server 2013

Add yours

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.

Up ↑

%d bloggers like this: