it-swarm-es.com

Alerta de seguridad de Outlook: el nombre en el certificado de seguridad no es válido o no coincide con el nombre del sitio

SBS 2008 con Exchange 2007 e IIS6.0

CompanyA tiene otras dos compañías que operan bajo el mismo techo. Para acomodar el correo electrónico, tenemos 3 cuentas de Exchange por usuario para administrar esto. Todos los usuarios usan su cuenta CompanyA para iniciar sesión en el dominio.

El correo electrónico funciona bien internamente y a través de OWA. El problema existe al configurar Outlook para usuarios remotos que necesitan acceso a los correos electrónicos de la compañía B y la compañía C, Outlook muestra el error de certificado.

El certificado SSL SAN tiene los siguientes nombres DNS:

  • webmail.companyA.com
  • www.webmail.companyA.com
  • CORP-SBS
  • CORP-SBS.local
  • autdiscover.companyA.com

Los usuarios que acceden a la dirección de correo electrónico de la compañía C me dijeron que esto nunca antes había sucedido. Esto comenzó cuando el CEO cambió los proveedores de DNS por su cuenta y en el proceso se perdieron las configuraciones de DNS originales. Mencionó algo sobre la creación de un registro SRV que corrigió este problema, pero eso es todo.

Buscando orientación sobre cómo abordar esto adecuadamente.

14
Mike66350216

Este problema probablemente sea causado por el servicio de detección automática de Outlook , parte de la funcionalidad ¡Outlook en cualquier lugar. La detección automática proporciona información diversa al cliente Outlook del usuario final sobre los diversos servicios ofrecidos por Exchange y dónde se pueden ubicar; Esto se utiliza para una variedad de propósitos:

  • Configuración automática de los perfiles de Outlook en la primera ejecución de Outlook, que puede configurar una cuenta de Exchange utilizando solo la dirección de correo electrónico y la contraseña del usuario, ya que la otra información se ubica y recupera automáticamente.

  • Ubicación dinámica de los servicios basados ​​en la web a los que accede el cliente de Outlook, incluido el asistente fuera de la oficina, la funcionalidad de mensajería unificada, la ubicación del Panel de control de Exchange (ECP), etc.

Esta es la implementación patentada de Microsoft de RFC 6186 . Desafortunadamente, realmente no siguieron las recomendaciones de esa RFC en el diseño de Outlook en cualquier lugar, pero eso es quizás de esperar ya que Exchange y RPC sobre la funcionalidad HTTPS no es un servidor IMAP/SMTP tradicional.


¿Cómo funciona la detección automática (para usuarios externos *)?

La detección automática se comunica con un servicio web en un servidor de acceso de cliente (en este caso, todas las funciones están en el servidor SBS) en la ruta /Autodiscover/Autodiscover.xml, rooteado su sitio web predeterminado. Para ubicar el FQDN del servidor con el que comunicarse, elimina la parte del usuario de la dirección de correo electrónico, dejando el dominio (es decir, @ companyB.com). Intenta comunicarse con Autodiscover utilizando cada una de las siguientes URL, a su vez:

  • https://companyB.com/Autodiscover/Autodiscover.xml
  • https://autodiscover.companyB.com/Autodiscover/Autodiscover.xml

Si estos fallan, intentará una conexión no segura deshabilitando SSL e intentando comunicarse en el puerto 80 (HTTP), generalmente después de pedirle al usuario que confirme que esta es una acción aceptable (una opción defectuosa en mi opinión, ya que los usuarios despistados lo harán). normalmente aprueban esto y corren el riesgo de enviar credenciales sobre texto sin formato, y los administradores de sistemas sin idea que no requieren una comunicación segura de credenciales y datos confidenciales son un riesgo para la continuidad del negocio).

Finalmente, se realiza una verificación de seguimiento utilizando un registro de servicio (SRV) en el DNS, que existe en una ubicación conocida fuera de companyB.com espacio de nombres y puede redirigir Outlook a la URL correcta donde escucha el servidor.


¿Qué puede ir mal?

Uno de varios problemas puede surgir en este proceso:

No hay entradas DNS

Típicamente, la raíz del dominio (companyB.com) podría no resolverse en un registro de Host en el DNS. La configuración incorrecta de DNS (o una decisión consciente de no exponer el servicio Outlook en cualquier lugar) puede significar el autodiscover.companyB.com el registro tampoco existe.

En estos casos, no hay problema importante; Outlook simplemente continúa comunicándose con Exchange utilizando la última configuración conocida, y puede degradarse con respecto a ciertas funciones basadas en la web para las que necesita recuperar URL a través de Detección automática (como el asistente fuera de la oficina). Una solución alternativa es utilizar Outlook Web Access para acceder a dichas funciones.

La configuración automática de las cuentas de Exchange en los nuevos perfiles de Outlook tampoco es automática, y requiere la configuración manual de la configuración RPC sobre HTTPS. Sin embargo, esto no causará el problema que usted describe.

Certificados SSL defectuosos

Es completamente posible que la URL que Outlook utiliza para intentar contactar con el servidor de Exchange se resuelva en un host, que puede o no ser un servidor de acceso de cliente. Si Outlook puede comunicarse con ese servidor en el puerto 443, los certificados se intercambiarán, por supuesto, para configurar un canal seguro entre Outlook y el servidor remoto. Si la URL que Outlook cree que está hablando no figura en ese certificado, ya sea como el nombre común o un nombre alternativo de sujeto (SAN), esto provocará que Outlook presente el cuadro de diálogo que describe en su publicación inicial.

Esto puede suceder por varias razones, todo depende de cómo se configura el DNS y cómo Outlook verifica las URL que describí anteriormente:

  • Si el https://companyB.com/... URL se resuelve en un registro de host, y el servidor web en esa dirección escucha en el puerto 443, y tiene un certificado SSL que ¡no lista companyB.com en el nombre común o Nombre alternativo del sujeto, entonces se producirá el problema. No importa si el Host es un servidor de Exchange o no; podría ser un servidor web que aloja un sitio web de la empresa que no está configurado correctamente. Corrige ya sea:

    • Deshabilite el registro de Host en la raíz de companyB.com zona (que requiere que los visitantes del sitio web u otro servicio ingresen www.companyB.com, o equivalente; o
    • Deshabilite el acceso a la máquina en companyB.com en el puerto 443, lo que hace que Outlook rechace el companyB.com URL antes de intercambiar certificados y continuar; o
    • Arregle el certificado en companyB.com para asegurar companyB.com aparece en ese certificado, y que intenta visitar https://companyB.com en un navegador estándar no fallan.

    Lo anterior se aplica independientemente de si companyB.com se resuelve en el servidor de Exchange; si Outlook puede comunicarse con él, más tarde descubrirá que /Autodiscover/Autodiscover.xml ruta produce un error HTTP 404 (no existe) y continúa.

  • Si el https://autodiscover.companyB.com/... La URL se resuelve en el servidor de Exchange (o en cualquier otro servidor) pero, de nuevo, autodiscover.companyB.com no aparece como el nombre común o el nombre alternativo de un sujeto, observará este comportamiento. Se puede arreglar como se indica arriba, arreglando el certificado, o como indica correctamente, puede usar un registro SRV para redirigir Outlook a una URL que is en el certificado y con cuál Outlook can comunicarse.

Su probable solución a este problema

En este caso, la solución típica es hacer lo último; crear registros SRV en el nuevo proveedor de DNS para garantizar que Outlook se redirija a autodiscover.companyA.com, que (aparte de cualquier otro problema) funcionará correctamente, ya que aparece en el certificado como SAN. Para que esto funcione, debe:

  • Configurar un _autodiscover._tcp.companyB.com Registro SRV de acuerdo con la documentación .
  • Eliminar el autodiscover.companyB.com Registre el host, si existe, para evitar que Outlook resuelva esto e intente alcanzar la detección automática de esa manera.
  • También resuelva cualquier problema con el acceso HTTPS a https://companyB.com como anteriormente, ya que Outlook enumerará las URL derivadas de la dirección de correo electrónico del usuario ¡antes cayendo al enfoque de registro SRV.

* ¿Cómo funciona la detección automática (para clientes internos unidos a un dominio)?

Agrego esto simplemente para completar, ya que es otra razón común para que se produzcan estas solicitudes de certificado.

En un cliente unido a un dominio, cuando es local para el entorno de Exchange (es decir, en la LAN interna), no se utilizan las técnicas anteriores. En cambio, Outlook se comunica directamente con un punto de conexión de servicio en Active Directory (que se enumera en la configuración de acceso de cliente de Exchange), que enumera la URL donde Outlook puede ubicar el servicio de detección automática.

Es común que ocurran advertencias de certificados en estas circunstancias, porque:

  • La URL predeterminada configurada para este propósito se refiere a la interna URL de Exchange, que a menudo es diferente de la URL pública.
  • Los certificados SSL pueden no incluir la URL interna en ellos. En la actualidad, el suyo sí, pero esto puede convertirse en un problema en el futuro para los dominios de Active Directory que usan .local y sufijos de nombres de dominio de gTLD no globales similares, ya que na decisión de ICANN prohíbe la emisión de certificados SSL para dichos dominios después de 2016.
  • Es posible que la dirección interna no se resuelva en el servidor adecuado.

En este caso, el problema se resuelve corrigiendo la URL registrada para que haga referencia a la dirección externa adecuada (incluida en el certificado), ejecutando Set-ClientAccessServer cmdlet con el -AutodiscoverServiceInternalUri interruptor. Por lo general, las partes que hacen esto también configuran DNS de horizonte dividido , ya sea porque su configuración de red les exige hacerlo o por la continuidad de la resolución en el caso de una interrupción de resolución/conexión ascendente.

25
Cosmic Ossifrage

Debe crear un registro SRV en los dominios B y C que coincida con uno de los nombres en el certificado (autodiscover.companyA.com). Esto le dice a Outlook que ese nombre maneja la detección automática para los dominios B y C.

Lea aquí los registros SRV en la sección DNS:

https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/

3
joeqwerty