Conforme prometido aqui fica o guia passo a passo de pedido, configuração e instalação de um certificado de segurança no Exchange 2007 e no Windows Mobile 6.
1º Passo: Preparar o pedido do certificado no IIS
O primeiro passo é o de fazer o pedido de certificado utilizando o Internet Information Services 6.0.
Nota: Em todos os passos deve-se ter acesso ao servidor com uma conta com previlegios de administração.
No IIS deve-se clicar com o botão direito do rato no “Defaul Site” (Ou no site onde estão instalados os serviços do Exchange) e escolher a opção “Properties”.
Em seguida ir à TAB “Directory Security” e clicar em “Server Certificate”.
No assistente escolher “Next” e em seguida “Create a new Certificate”, carregar em “Next” e escolher “Prepare de request now, but send it later”.
Clicar novamente em “Next” e escrever um nome que identifique facilmente do certificado (por ex.: certificado de sincronização), clicar em “Next” e definir o nome da empresa e departamento.
O passo seguinte é crítico dado que dele depende o funcionamento correcto do certificado de segurança. Como tal é necessário inserirmos um nome DNS válido que convém testar se o nosso servidor responde autoritáriamente ao mesmo. Por exemplo mail.empresa.com. Este será o endereço do servidor que será inserido nas configurações do EAS.
Ao clicar em “Next” somos levados a escolher as informações geográficas da empresa para identificação junto da Certification Authority.
Finalmente esolhemos o nome do pedido do certificado e a directoria onde queremos guardar o mesmo. Pode-se deixar o que é sugerido por defeito.
No último passo revemos os dados introduzidos e clicamos em “Finish”
2º Passo: Submeter o pedido a um Certification Authority
Um dos CA que utilizo, é bastante económico e permite o teste aos certificados emitidos durante 30 dias completamente de graça. Trata-se da Rapissl.
É um serviço bastante eficaz que até hoje tem funcionado sem problemas.
Deve-se escolher a opção “Free SSL” / “Try before you buy” e em seguida “Free Trial”.
No quadro confirma-se a opção de inscrição no produto FreeSSL e clica-se em “Continuar”.
No quadro “Inserir CSR” devemos inserir o texto gerado pelo IIS quando gerámos o pedido do certificado, como tal devemos navegar até à drive C:\ e abrir o ficheiro de texto “certreq.txt”. O código constante do mesmo deve ser copiado na integra e colado no formulário do site da RapidSSL.
Uma vez submetido este formulário, será enviado um e-mail para o administrador do domínio, convém termos configurado um dos e-mails sugeridos para o envio do certificado, tipicamente administrator@nomedodominio.dominio.
Um dos passos interessantes deste CA é o de nos telefonarem, para inserir-mos um código gerado automaticamente na página, o que permite uma maior segurança.
Após este passo, será enviado um e-mail de segurança para confirmar a propriedade do domínio, no qual vem um link que deverá ser seguido para confirmar a propriedade do mesmo e permissão para emissão do certificado.
Posto isto iremos receber um e-mail com um texto semelhante ao reproduzido na imagem anterior, o qual deve ser copiado para um novo txt e gravado com a terminação *.cer.
3º Passo: importação e activação do certificado
A partir de agora temos o novo certificado preparado, como tal resta-nos importa-lo para o IIS e activá-lo. Para fazê-lo existem duas maneiras, ou através do IIS, ou através do Exchange Management Shell. Será esta última opção que vos irei demonstrar.
Primeiro há que abrir o EMS em “Start, All Programs, Microsoft Exchange Server 2007″ e escolher a opção “Exchange Management Shell”.
Uma vez com a linha de comando aberta deve-se correr os seguintes comandos:
e
Para se saber o Thumbprint caso ele não apareça, deve-se fazer duplo-clique no certificado e em “Details” clica-se em Thumbnail. Daqui copia-se o código com um simples CTRL+C e cola-se na command prompt da forma exemplificada.
Se tudo correr bem vêm o seguinte ecrã. Naturalmente com referência ao vosso dominio.
Agora basta verificar no IIS se correu tudo bem e se o certificado aparece activo. Outra forma de verificar que tudo funciona é abrir o IE e aceder ao dominio do certificado.
Em principio não deve dar. Como tal é necessário acrescentar o “s” ao http para indicar que se vai utilizar uma ligação segura.
Se tudo estiver bem configurado não iram aparecer quaisquer mensagens de erro, e junto do endereço irá aparecer um cadeado que significa que estamos a utilizar um certificado de segurança que permite encriptar a ligação ao servidor.
4º Passo: Exportar o certificado
Agora falta obter um certificado que funcione num equipamento Windows Mobile, como tal temos que a partir do certificado base criar um novo certificado onde incluimos o caminho para o certificado principal que está instalado no servidor de Exchange.
Para tal vamos ao Menu Iniciar e escolhemos “Run”, e escreve-se “mmc”.
Ao abrir a nova consola de gestão deve-se ir a “File”, “Add/Remove Snap In…”.
Na janela seguinte escolher “Add” e escolher “Certificates”.
Escolher a opção de “Computer account” e clicar em “Next”
Em seguida escolher “Local Computer” e carregar “Finish” e depois “Close” e “OK”.
Na janela dos certificados, navegar até aos certificados de “Trusted Root Certification Authorities” e localizar o certificado instalado.
Clicar com o botão direito do rato em cima do certificado, ir a “All tasks” e escolher a opção “Export…”
Em seguida irá aparecer um quadro no qual identificamos o tipo de ficheiro a gerar, sendo que vamos escolher o tipo de certificado critpográfico PKCS #7 com a terminação .P7B.
Um detalhe a não esquecer é activar a opção que inclui o caminho para o certificado: “include all certificates in ther certification path if possible”
Uma vez escolhidas estas opções, indica-se o nome do certificado, bem como o local a guardar. Não se esqueçam do local onde o guardaram pois será necessário utilizar o certificad no próximo passo.
Passo 5: Instalar o certificado no equipamento e configurar o Activesync
Após gerado o certificado deverá ser copiado para o equipamento, podendo o mesmo ser incluido num ficheiro de instalação CAB ou copiado para o cartão de memória ou ainda enviado por e-mail.
O que importa é que o mesmo deve ser fisicamente colocado no equipamento, para depois ser instalado.
A instalação no equipamento está bastante facilitada no Windows Mobile 6, bastando para tal tocar em cima do mesmo. De imediato irá aparecer uma janela de confirmação que indica a instalação correcta do mesmo.
Por último resta-nos configurar no Activesync no equipamento a ligação e as credênciais de acesso. Sem nunca esquecer que o endereço do servidor de envio deve corresponder ao dominio aplicado ao certificado, e que se deve activar a opção de utilizar uma ligação segura SSL.
Posto isto o equipamento deverá sincronizar sem quaisquer problemas com o servidor de Exchange.
Espero que tenham gostado do guia, quaisquer sugestões, dúvidas ou críticas respondam a este guia.
Nuno Luz
