Outlook: El nombre del certificado de seguridad no es válido

En general estos errores entran dentro de alguna de las siguientes categorías:

• Certificado firmado por el propio servidor Exchange (self signed)
• Entidad certificadora no confiable
• El Certificado no es válido o se encuentra expirado
• El nombre utilizado por el cliente no coincide con ninguno de los incluídos en el certificado

Si bien el proceso de resolución puede ser complejo, en esta entrada vamos a seguir un diagrama de flujo que nos va a guiar paso a paso en el troubleshooting del error de certificado:

Introducción

Las versiones de Outlook a partir de 2007 utilizan servicios web de Exchange para obtener información de autodiscover, disponibilidad (free / busy) y fuera de oficina (oof) entre otros. Independientemente de si el cliente es interno o externo siempre se utilizan conexiones HTTPS (dependiendo del escenario esto sería en adición a lo que es RPC/TCP).

Nota: A partir de Exchange 2013 los clientes Outlook ya no usan RPC/TCP, siempre se encapsula dentro de HTTPS.

Esto no sucedía en versiones anteriores y para acceder a mucha de esta información se utilizaban carpetas de sistema (base pública) y otros servicios como Autodiscover no existían (por esta razón muchos clientes reportan el problema luego de migrar a Exchange 2007, 2010 o Exchange 2013).

El tema de utilizar HTTPS es que si no se cuenta con un certificado configurado de forma apropiada o se utiliza el predeterminado de Exchange se pueden presentar varios inconvenientes como por ejemplo que hayan servicios que no funcionen u otros que si lo hagan pero presentando alertas y otras advertencias.

"El nombre del certificado de seguridad no es válido o no coincide con el nombre del sitio"

"El certificado de seguridad ha sido emitido por una compañia que no es de confianza. Vea el certificado para determinar si desea que esta entidad emisora de certificado sea de confianza."

"The name of the security certificate is invalid or does not match the name of the site"

"The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority."

Cómo eliminar la alerta de seguridad?

Lo primero sería analizar el porque se presenta la alerta de seguridad en Outlook. Para esto vamos a utilizar el diagrama de flujo de troubleshooting de certificados.

Dado el tamaño de la imágen vamos a ir segmentando por categoría, si desean descargar el diagrama completo en formato PDF pueden hacerlo haciendo clic en descargar:

Error de confianza

Si el tipo de error incluye información en relación a que el certificado no es confiable debemos comenzar con el siguiente flujo:

Error de Validez

Si la alerta hace referencia a que el certificado ha caducado o esta vencido, revisar el flujo de validez:

Error de nombres

Si el error del certificado indica que el nombre del certificado de seguridad no es válido o alguna variación seguir el flujo de nombres:

Qué nombres y URLs esta usando el cliente?

En los diagramas anteriores en algún punto se pide relevar la configuración de directorios virtuales y autodiscover, esto idealmente se haría desde el shell de Exchange, de cualquier modo puede resultar de utilidad ver que información recibe el cliente Outlook del servicio de Autodiscover:

1. Presionando la tecla control, hacemos clic derecho sobre el icono de Outlook (a la derecha en la barra de tareas).
2. Seleccionamos Probar configuración automática del correo electrónico
3. Ingresamos usuario y contraseña y dejamos seleccionado únicamente Usar Autodetección
4. Probar Configuración

En resultados podremos ver las URLs internas y externas en uso y si hacemos clic en el tab de Registro si el proceso fue exitoso.

Opcionalmente también podríamos ver a que servidor específico nos estamos conectando en caso de tener más de uno.

Para esto una vez con el Outlook abierto, presionamos la tecla Control y hacemos clic derecho sobre el icono de Outlook, seleccionando Estado de la conexión. En esta ventana se nos va a presentar a que servidores esta conectado el Outlook.

Información de configuración de directorios virtuales

Para relevar la información de las URLs configuradas en los directorios virtuales de Exchange podemos abrir el EMS y ejecutar los siguientes comandos:

Get-OWAVirtualDirectory |FL internalurl,externalurl

Get-ECPVirtualDirectory |FL internalurl,externalurl

Get-WebServicesVirtualDirectory |FL internalurl,externalurl

Get-ActiveSyncVirtualDirectory |FL internalurl,externalurl

Get-OABVirtualDirectory |FL internalurl,externalurl

Get-ClientAccessServer | FL *uri

Cómo interpretar el resultado de los diagramas?

Los diagramas tienen como objetivo el asistir en el proceso de troubleshooting de la alerta de seguridad de Outlook, el resultado obtenido no necesariamente es acorde a las mejores prácticas de Microsoft (esto dependería de la configuración específica en primera instancia).

La recomendación oficial implica utilizar certificados públicos de tipo SAN, minimizar la cantidad de nombres y no incluir el nombre del servidor en el certificado. Para esto pueden utilizar Split DNS o Pinpoint DNS.

Dicho esto, los resultados podrían derivar en las siguientes recomendaciones:

• Distribuir llave pública de quién emitió el certificado. Si el certificado es autofirmado o interno (privado) sería necesario asegurarse que la raiz emisora este instalada en el contenedor local de certificados especificamente raices de confianza o incluso dependiendo del escenario también intermedias

• Incluir el nombre de servidor en el certiticado. Si el entorno esta configurado con el nombre del servidor (predeterminado), el acceso es solo interno y se cuenta con una entidad certificadora instalada emitir un certificado con el nombre del servidor sería una posibilidad

• Configurar las URL internas y externas con el mismo valor usando split DNS. Este sería el escenario ideal. Ver artículo de Split DNS para entender mejor el funcionamiento.

• Validar nombres incluidos en el certificado o adaptar configuración. Dependiendo del caso específico podría ser necesario reconfigurar los directorios virtuales utilizando nombres ya incluidos en el certificado (en adición se debe considerar la resolución DNS).

• Solicitar certificado público. Si el acceso al correo es interno y externo la recomendación es instalar un certificado público

• Validar con RCA. Remote Connectivity Analyzer es un sitio de Microsoft dedicado a testear la configuración del acceso a Exchange. En el sitio se pide información necesaria para validar la conectividad.

Empezaste a usar el diagrama?