Exchange Server 2007 incluye una característica muy interesante que se llama Autodiscover. El aplicación Autodiscover permite configurar automáticamente el perfil de Outlook 2007, incluyendo el acceso Outlook Anywhere, POP3 o IMAP. Todo lo que tiene que hacer el usuario es ingresar en el asistente de creación de perfil su dirección de correo electrónico y su contraseña. Entonces el servidor localiza el buzón del usuario y envía la configuración de todo el perfil mediante XML al cliente Outlook.

Hasta aqui todo muy bien, el problema surge cuando queremos hacer uso de certificados de seguridad propios para el acceso seguro a OWA, ActiveSync o Outlook Anywhere. Habitualmente la aplicación Autodiscover va a estár ubicada en el rol de Acceso de Cliente (Client Access Server), junto con el resto de servicios. Sin embargo, el cliente Outlook por defecto utiliza un canal seguro para consultar a autodiscover, además lo hace haciendo referencia a dominio.com o autodiscover.dominio.com (dominio.com equivale al dominio de la organización).

Si el certificado que hemos emitido para los servicios de movilidad es por ejemplo correo.dominio.com, entonces cada vez que habramos Outlook obtenderemos un mensaje de advertencia:

Esto sucede por la diferencias en el nombre del servicio que se está consultando.

Para resolver este problema es necesario generar un certificado que admita multiples nombres de dominio o host. Esto lo podemos hacer con el Shell de Exchange 2007:

Primero generamos la solicitud de certificado que posteriormente vamos a enviar a la CA (Entidad Certificadora). Es importante agregar todos los nombres de host y de dominio que se vayan a utilizar, incluyendo dominio interno y público en caso de que sean distintios. También se debe agregar el nombre NETBios del servidor

• New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=dominio,o=Empresa S.A,cn=webmail.dominio.com" -domainname srvhub,srvhub.dominio.org,dominio.com, webmail.dominio.com,autodiscover.dominio.org, autodiscover.dominio.com -PrivateKeyExportable $true -path c:\certrequest_srvhub.txt

Una ver realizado esto, debemos enviar la solicitud a la CA a través de su página Web y seleccionar la plantilla Web en la solicitud avenzada.

El certificado emitido lo descargamos y lo utilizamos para importarlo a Exchange Server 2007 y lo habilitamos para los servicios IIS, POP e IMAP:

• Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Certificado servicios de correo | enable-exchangecertificate -services "IIS,POP,IMAP" 

Ahora el certificado será válido para todos los dominios y nombres de Host que se hemos especificado en la solicitud.

Saludos y hasta el próximo artículo.