Tempo fa in azienda abbiamo deciso di testare un Nokia Lumia 800. A differenza dei gingilli Apple (iPhone e iPad), i quali non richiedono l’installazione di certificati SSL ma si configurano in pochi istanti, gli smartphone basati su Windows Phone 7 richiedono qualche attenzione in più, poiché con tutta probabilità la nostra Certification Authority non sarà considerata attendibile dal dispositivo.
Durante l’installazione, Exchange Server 2010 utilizza un certificato autofirmato per rendere sicure le comunicazioni con i client tramite OWA, Outlook Anywhere e ActiveSync. La scelta migliore sarebbe quella di affidarsi ad una autorità di certificazione esterna (Verisign, RSA, ecc), ma nella maggior parte delle installazioni (e soprattutto ora, vista l’attuale crisi economica che sta investendo le aziende), ho utilizzato e visto utilizzare dei certificati generati dalla propria CA interna a costo zero.
Sia utilizzanto un certificato proveniente da un CA esterna, sia in questo specifico scenario basato su un certificato di tipo self-signed dobbiamo istruire il client affinchè consideri sicura l’autorità emittente. Nel caso di WP7, le principali CA commerciali sono ritenute affidabili nativamente (AOL, Comodo, DigiCert, GlobalSign, Keynectics, Quovadis, RSA Security, SECOM Trust Systems, TWCA, TrustCenter, Trustwave e Verisign).
La nostra CA interna, invece, andrà configurata come attendibile sul dispositivo.
Innanzitutto vediamo come generare una richiesta di certificato da sottoporre alla nostra CA interna in sostituzione di quello installato autonomamente da Exchange in fase di setup. Apriamo dunque la Exchange Management Console (EMC) e posizioniamoci su Configurazione server. Nella console clicchiamo con il tasto destro del mouse sul server e selezioniamo dal menù contestuale la voce Nuovo cerfificato Exchange… per avviare il wizard.
Nella finestra di introduzione inseriamo un nome descrittivo per il certificato, come richiesto. Nel mio caso ho utilizzato OWA Exchange 2010 come identificativo.
La seconda finestra ci consente di utilizzare dei caratteri jolly per utilizzare il certificato anche in presenza di eventuali sottodomini. Nell’esempio non abbiamo nessun sottodominio per cui possiamo avanzare ignorando il flag relativo.
Nel terzo passaggio dobbiamo indicare i dati relativi all’URL utilizzato sia dall’interno che dall’esterno della rete. Nel caso dell’esemio l’indirizzo coincide ed è exchange.andreamonguzzi.it (il DNS andrà configurato propriamente sia all’interno della rete che su internet!)
Lo stesso valore lo indichiamo nella sezione relativa ad ActiveSync, poichè l’URL di accesso sarà il medesimo.
Proseguiamo con il tasto Avanti.
Impostiamo ora come nome comune per il certificato quello corrispondente all’URL di accesso impostato nei passaggi precedenti (exchange.andreamonguzzi.it nel caso specifico).
Compiliamo ora i campi relativi alla richiesta di certificato e specifichiamo la posizione dove il wizard posizionerà il file di richiesta, come da immagine.
Alla proposta di riepilogo clicchiamo su Nuovo e attendiamo la generazione del file di richiesta, da sottoporre poi alla nostra CA per l’ottenimento del certificato.
Abbiamo quindi il file di richiesta certificato pronto e possiamo sottoporla alla CA. Nel caso dell’esempio i servizi certificato sono installati sul Domain Controller DC01, al quale ci connetteremo per inviare la richiesta. Apriamo dunque un browser all’indirizzo
e clicchiamo su Richiedi un certificato
Selezioniamo la voce richiesta avanzata di certificati
Ora selezioniamo la seconda voce (Inviare una richiesta di certificato utilizzando un file CMC o PKCS#10 codificato in base 64 o una richiesta di rinnovo utilizzando un file PKCS#7 codificato in base 64)
Apriamo ora con un editor (Notepad) il file di richiesta certificato generato dalla console di Exchange e copiamone in contenuto nella clipboard
Incolliamo il contenuto nel campo Richiesta salvata nella pagina aperta sul browser. Selezioniamo la voce Server web nella sezione Modello certificato e procediamo con l’invio della richiesta.
La pagina successiva ci conferma l’emissione del certificato e consente di effettuarne il download. Selezioniamo la voce Esegui download del certificato, lasciando selezionata la Codifica DER.
Salviamo il file in una posizione su disco. Per comodità posiziono quello dell’esempio sul desktop.
Torniamo alla console di Exchange, e posizioniamoci nuovamente su Configurazione server. Possiamo notare la presenza della richiesta di certificato pendente, come da immagine.
Clicchiamo con il tasto destro e selezioniamo la voce Completa richiesta in sospeso… dal menù contestuale.
Il wizard ci richiede la posizione del certificato emesso dalla nostra CA, che vado a selezionare dal desktop.
Confermiamo la posizione del file .cer e, dopo un aggiornamento della visualizzazione, possiamo ritrovare all’interno della console di Exchange il nuovo certificato pronto all’uso.
Come si può notare dall’immagine precedente, il certificato non è associato a nessun servizio di Exchange e quindi, al momento, è praticamente inutilizzato. Per associare al certificato i servizi dobbiamo cliccare sulla voce Assegna i servizi al certificato…
Il wizard ci propone di selezionare il server sul quale vogliamo abilitare i servizi
Successivamente dobbiamo selezionare i servizi da assegnare al certificato. Nel caso dell’esempio escludo quello relativo alla messaggistica unificata, ruolo non presente sul server
I due passaggi successivi confermano l’assegnazione e notificano il completamento dell’operazione.
A operazione conclusa possiamo verificare che i servizi sono stati correttamente abbinati al certificato e che non ci si trova più in presenza di un certificato autofirmato del server.
Ora non resta che rendere fidata la nostra CA per i dispositivi Windows Phone 7. Per fare questo possiamo procedere in due modi. Il primo consiste, semplicemente, nell’inviare il certificato ad una mail secondaria (hotmail, gmail, ecc.) configurata in ricezione sul dispositivo. Ricevuto il certificato sarà sufficiente eseguire l’importazione sullo smartphone e il gioco è fatto.
In alternativa possiamo connettere il nostro WP7 alla rete wifi interna all’azienda e quindi accedere al portale della CA (http://dc01/certsrv nel caso dell’esempio) e selezionare la voce Scarica un certificato CA, la catena di certificati o l’elenco di revoche dei certificati
Diciamo quindi di scaricare la catena di certificati CA
Operando da browser via PC potremo quindi salvare il file .p7b da inviare via mail al nostro smartphone, mentre operando direttamente da Windows Phone 7 potremo installare il tutto in un unico passaggio.
Una volta installata la catena dei certificati sul dispositivo siamo quindi in grado di configurare l’account di tipo Exchange senza ricevere alcuna segnalazione di errore.
Con questa soluzione, si può utilizzare anche per far funzionare Outlook 2010 Anywhere? grazie
L’autorità di certificazione interna può essere utilizzata anche per Outlook Anywhere. Il PC sul quale è installato Outlook richiede che l’autorità venga aggiunta a quelle attendibili per poter accettare il certificato.
Ciao! Guida molto utile! anche a diversi anni di distanza..vorrei solo chiedere una informazione, il sito da contattare per autorizzare il certificato, nel caso ci fosse un certificato esistente, ma scaduto, inibisce il caricamento? io digitando http://nomedominio/certsrv mi da errore pagina 404 (ho notato però che ie dice che i certificati sono scaduti, indicando proprio quello che vorrei rinnovare…)
Grazie per l’aiuto!
Ciao e grazie.
Fai attenzione: l’indirizzo non è http://nomedominio/certsrv, bensì http://nomeserver/certsrv.
Il server da indicare è quello dove sono installati i servizi di certificazione che, nell’esempio del mio articolo, corrispondeva al domain controller DC01.
In caso, se avessi difficoltà, scrivimi una mail così vediamo di capire dove sia l’eventuale problema.
Ciao
Ciao, ti ringrazio della celere risposta. Il problema oltre al “nomeserver” era che il sito web creato per le CA, non so perchè, era impostato per funzionare solo con certificati ssl, è bastato disabilitare questa protezione dal menù di gestione dei siti interni al server e ho potuto accere al sito e terminare la procedura di creazione del certificato.
PS. sono su un win server 2008.
Grazie ancora! otttima guida.
io sono arrivato fino alla parte dove connettendosi al domain controller si chiede il certificato, peccato che digitando http://nomeserver/certsrv mi da errore nella pagina web e non posso andare avanti.. Suggerimenti?
Ciao, devi assicurarti che i servizi certificato siano installati su una macchina e l’URL dovrà riferirsi appunto a quella macchina. Non vengono installati di default e quindi devi proprio procedere a mano. Se hai difficoltà scrivimi tramite la pagina facebook http://www.facebook.com/andreamonguzzi.it
Ciao
Ciao, sono riuscito ad arrivare fino a questo punto “Incolliamo il contenuto nel campo Richiesta salvata nella pagina aperta sul browser. Selezioniamo la voce Server web nella sezione Modello certificato e procediamo con l’invio della richiesta.” ma poi mi manca la voce Server Web, devo installare o abilitare qualche cosa ancora? Oggi nei ruoli del server ho installato “registrazione Web Autorità di Certificazione” ma non ho installato “Servizio web registrazione certificato e servizio web criteri di registrazione certificati” potrebbe dipendere da questo?
Grazie dell’aiuto !
Paolo
Bravo, eseguito la procedura dall’inizio alla fine
Bravo complimenti , finalmente ho capito i certificati su exchange 2010
Grazie, sono contento che l’articolo ti sia stato d’aiuto
Auguri!
Ottima guida. Grazie!
Ciao Alessandro, e grazie a te per il feedback
Complimenti ottima guida. Ho applicato le istruzioni su un server exchange 2010 ed è andata alla grande. Poi ho fatto lo stesso su un server small business 2011 con exchange 2010 e quando vado a fare la richiesta di certificato nella selezione del modello di certificato ho solo EFS di base e Utente e non server web, come mai ?
Grazie per l’aiuto.
Raffaele
Ciao Raffaele, SBS ha un sistema per la generazione del certificato in modo automatico e non serve fare tutti i passaggi. Se guardi nella console, dove c’è la sezione relativa alla risoluzione dei problemi, puoi fargli generare il nuovo certificato.
Nella cartella dei download pubblici, poi, troverai un file zip contenente anche il certificato.
Fammi sapere se hai risolto.
Ciao