¿Cómo asignar certificados a IMAP/S y SMTP/S en Exchange 2016?

tag-icon tag-icon security exchange certificate imap
¿Cómo asignar certificados a IMAP/S y SMTP/S en Exchange 2016?

Por favor avisenme porque me arranco todo el pelo.

Tengo Exchange 2016 y quiero asignar un certificado firmado oficialmente al puerto IMAP/S 993/tcp y al puerto SMTP/S 465/tcp. Revisé varias opciones de configuración, pero al verificar los puertos (usando nmap) ambos puertos presentan un certificado absolutamente diferente. Ahora no entiendo todo el concepto de gestionar certificados de Exchange.

Configuración IMAP en Exchange

[PS] C:\Windows\system32>Get-ImapSettings | fl

RunspaceId                        : 669149f3-c8f4-43af-b80c-3019ec26bd08
ProtocolName                      : IMAP4
Name                              : 1
MaxCommandSize                    : 10240
ShowHiddenFoldersEnabled          : False
UnencryptedOrTLSBindings          : {[::]:143, 0.0.0.0:143}
SSLBindings                       : {[::]:993, 0.0.0.0:993}
InternalConnectionSettings        : {mail.doamin.il:143:TLS, mail.domain.il:993:SSL}
ExternalConnectionSettings        : {mail.domain.il:993:SSL, mail.domain.il:143:TLS}
X509CertificateName               : mail.domain.il
Banner                            : The Microsoft Exchange IMAP4 service is ready.
LoginType                         : SecureLogin
AuthenticatedConnectionTimeout    : 00:30:00
PreAuthenticatedConnectionTimeout : 00:01:00
MaxConnections                    : 2147483647
MaxConnectionFromSingleIP         : 2147483647
MaxConnectionsPerUser             : 16
MessageRetrievalMimeFormat        : BestBodyFormat
ProxyTargetPort                   : 1993
CalendarItemRetrievalOption       : iCalendar
OwaServerUrl                      :
EnableExactRFC822Size             : False
LiveIdBasicAuthReplacement        : False
SuppressReadReceipt               : False
ProtocolLogEnabled                : False
EnforceCertificateErrors          : False
LogFileLocation                   : C:\Program Files\Microsoft\Exchange Server\V15\Logging\Imap4
LogFileRollOverSettings           : Hourly
LogPerFileSizeQuota               : 0 B (0 bytes)
ExtendedProtectionPolicy          : None
EnableGSSAPIAndNTLMAuth           : True
Server                            : SERVER
AdminDisplayName                  :
ExchangeVersion                   : 0.10 (14.0.100.0)
DistinguishedName                 : CN=1,CN=IMAP4,CN=Protocols,CN=SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBO
                                    HF23SPDLT),CN=Administrative Groups,CN=SERVERADS,CN=Microsoft Exchange,CN=Services,CN=Configu
                                    ration, DC=domain,DC=ils
Identity                          : SERVER\1
Guid                              : c2bfe9aa-f252-419a-910d-62687592dc34
ObjectCategory                    : domain.ils/Configuration/Schema/ms-Exch-Protocol-Cfg-IMAP-Server
ObjectClass                       : {top, protocolCfg, protocolCfgIMAP, protocolCfgIMAPServer}
WhenChanged                       : 2024. 01. 23. 20:56:48
WhenCreated                       : 2021. 04. 29. 16:12:26
WhenChangedUTC                    : 2024. 01. 23. 19:56:48
WhenCreatedUTC                    : 2021. 04. 29. 14:12:26
OrganizationId                    :
Id                                : SERVER\1
OriginatingServer                 : DC.domain.ils
IsValid                           : True
ObjectState                       : Unchanged

El resultado de nmap.

[root@revenant ~]# nmap -p 993 --script ssl-cert mail.domain.il
Starting Nmap 7.92 ( https://nmap.org ) at 2024-01-23 22:09 CET
Nmap scan report for mail.domain.il (192.168.99.31)
Host is up (0.00027s latency).

PORT    STATE SERVICE
993/tcp open  imaps
| ssl-cert: Subject: commonName=*.domain.il/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Subject Alternative Name: DNS:*.domain.il
| Issuer: commonName=internal-ca/organizationName=IL Inc./stateOrProvinceName=F/countryName=IL
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2023-06-15T20:20:44
| Not valid after:  2028-06-13T20:20:44
| MD5:   ffc2 d46a f66e b7ee 8f2c 0468 4f39 f01e
|_SHA-1: 626d bfac d38c db8f 5ea9 d328 c42c d94a d9fe 09c1
MAC Address: 00:0C:29:0D:B3:C3 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Aclarando tengo dos certificados. mail.domain.il está aprobado por Truster Root Issuer y *.domain.il está aprobado por mi CA interna.

Exchange OWA está configurado con mail.domain.il en IIS y funciona bien, pero los servicios de EXCHANGE no quieren aceptarlo o no sé cómo deciden operar los servicios.

Enable-ExchangeCertificate -Server SERVER -Thumbprint 1KJ24JH12G41JKG41J23H4G12JKL3G -Services IIS,SMTP,POP,IMAPFue utilizado varias veces. Intenté realmente todo pero no puedo lograrlo.

Por favor ayuda.

Respuesta1

Puede asignar certificados a servicios en el centro de administración de Exchange (EAC) o en el Shell de administración de Exchange. Una vez que asigna un certificado a un servicio, no puede eliminar la asignación. Si ya no desea utilizar un certificado para un servicio específico, debe asignar otro certificado al servicio y luego eliminar el certificado que no desea utilizar.

Es importante tener en cuenta que no debes asignar un certificado comodín al servicio IMAP4 o POP3. En su lugar, use el cmdlet Set-ImapSettings para configurar el nombre de dominio completo (FQDN) que los clientes usan para conectarse al servicio IMAP4 y use el cmdlet Set-PopSettings para configurar el FQDN que los clientes usan para conectarse al servicio POP3.

información relacionada