Algo vital cuando implementamos cualquier servicios que tengamos un certificado de por medio, es que debemos tener claro cuando tenemos que renovarlo. Esto evitará estas cosas …. este era un servidor de Office Web App que ha estado funcionando hasta que hemos tenido una reunión en línea y nos encontramos con esto:
Lo primero que podemos hacer para saber que problema tiene el servicio de Office Web App y el certificado, es acceder a la siguiente URL: https://fqdn/hosting/discovery y nos encontramos con los siguiente:
Si pulsamos en Vaya a este sitio web (no recomenado) nos abrirá igualmente el sitio web al que queremos acceder y pulsamos en Error de certificado para ver problema tiene
Como vemos el certificado ha caducado, el servidor de Office Web App está bien configurado pero el certificado ha caducado y así no podremos utilizarlo
Si nos conectamos a nuestro Front-END, podemos observar que no se puede conectar al Office Web App porque se ha comprobado que el certificado no es válido
Como ya tenemos claro que el problema es el certificado, debemos ver la forma de "renovarlo". No sé si os habéis fijado que siempre he puesto "renovar" entre comillas, porque quiero mostraros que ocurre cuando queremos renovar un certificado que ya ha caducado. Por lo que os mostraré el proceso normal para renovar un certificado, esto podemos hacerlo de varias formas, pero lo haremos directamente desde el IIS. Para ello abrimos la consola de administración del IIS y accedemos a la opción de certificados:
Ahora vemos todos los certificados que tiene el servidor y podemos observar que el certificado asignado al Office Web App ha caducado (la marco en rojo porque esta captura es posterior claramente el día 3 de Noviembre de 2014, vamo que el certificado está caducado), pulsamos con el botón secundario del ratón encima del mismo y pulsamos en Renovar
Elegimos Renovar un certificado existente y pulsamos en Siguiente
Si tenemos varias entidades certificados, pulsamos en Seleccionar para elegir la CA a la que enviaremos la solicitud de renovación (elegir la que haya emitido el certificado) y pulsamos en Finalizar
Y cómo vemos se nos deniega la solicitud, mostrándonos una ventana de alerta
Ahora queremos saber el porqué se nos ha denegado la solicitud, para ellos vamos al Visor de Eventos del servidor que tiene la CA instalada y veremos el siguiente evento:
El problema viene dado porque queremos renovar un certificado que ya está caducado y eso no es posible: (http://technet.microsoft.com/en-us/library/dd378790(WS.10).aspx)
De ahí que nos muestre el error de solicitud denegada, solo podemos "renovar" si el periorido está dentro del período de validez del mismo, sino no podremos hacerlo. Pues bien, si esto nos ocurre lo que debemos hacerr es solicitar un nuevo certificado. Esto también os lo voy a comentar porque para el servicio de Office Web App tiene una particularidad para que nos funcione correctamente, debe tener el nombre de sujeto con el que queramos acceder al servicio y además el nombre FQDN del propio servidor como alternativo además del FQDN igualmente, ahora os lo muestro. Cómo es un certificado SAN lo podemos solicitar de varias formas, vía PowerShell, vía Consola de Administración de Certificados del servidor o bien utilizando una herramienta como Digicert Tool que nos hará la solicitud más sencilla. Esta utilidad, no solo vale para solicitar el certificado a DigiCert, sino para crear nuestra solicitud (CSR: Creación de CSR para Lync de forma sencilla) y enviarla a nuestra CA interna.
Lo que tenemos que hacer es ejecutar la herramienta de DigiCert (Digicert Tool ) y lo primero que haremos será pulsa en Create CSR que nos permitirá cubrir los datos necesarios para enviar la solicitud a nuestra CA:
Si previamente hemos seleccionado algún certificado que ya tenìamos instalado en el equipo, nos preguntará si queremos importar los atributos del certificado para el nuevo CSR, vamos a pulsar en Sí (en mi caso porque es el mismo certificado el que quiero solicitar):
Como podéis observar, el Common Name es el nombre FQDN del propio servidor y luego como alternativos tenemos ese mismo nombre y además por el que quiero conectarme al servicio web (office.asirsl.com). Así es como debéis solicitar este certificado, como Nombre Común el FQDN del propio servidor y como alternativo el mismo FQDN y además el que queréis utilizar para que el Lync, SharePoint y Exchange utilicen para conectarse a él. Ahora cubrimos el restro de datos, teniendo especial importancia el tamaño de clave, que debemos establecerlo a 2048 y pulsamos en Generate
Ahora nos mostraré el CSR que utilizaremos para enviarlo a nuestra CA y así completar la solicitud, pero bien podemos copiar el texto o guardar el fichero, yo copiaré directamente el texto porque completaré la solicitud en este mismo instante, por lo que pulsaré en Copy CSR
Una vez copiado, abrirmos un navegador y accedemos al servicio Web de inscripción de certificados de nuestra CA http(s)://FQDN_CA/certsrv y pulsamos en Solicitar un certificado
Pulsamos en Solicitud avanzada de certificado
Ahora en Enviar una solicitud de certificado con un archivo codificado en Base64 CMC o PKCS#10 o una solicitud de renovación con un archivo codficado en base64 PKCS #7
En el primero hueco pegamos el texto copiado previamente (el CSR), elegimos como plantilla de certificado Servidor Web y escribimos una descripción de la solicitud (no obligatorio), pulsamos en Enviar
En la siguientes dos alertas pulsamos en Sí
Ahora seleccionamos Codificado en Base64 y pulsamos en Descargar Certificado
Nos mostrará un aviso para que abramos o guardemos el fichero, lo vamos a guardar para completar la solicitud desde la herramienta de DigiCert
Abrimos la DigiCert Tool y pulsamos en Import
Pulsamos en Browse para elegir el fichero que vamos a importar, que es el que nos hemos descargado previamente desde la web de nuestra CA
Pulsamos en Siguiente
Escribimos una descrpción para poder identificarlo de forma sencilla (sí ya sé que he puesto Ceritificado en vez de Certificado) y pulsamos en Finalizar
Ahora nos muestra una ventana informándonos de que se ha importado correctamente el certificado y que ya lo tenemos disponible para asignar al IIS o Exchange, ahora pulsamos en Aceptar
Como vemos, ya tenemos el nuevo certificado disponble para asignárselo al servicio de Office Web App
Ahora nos muestra una ventana informándonos de que se ha importado correctamente el certificado y que ya lo tenemos disponible para asignar al IIS o Exchange, ahora pulsamos en Aceptar
Como vemos, ya tenemos el nuevo certificado disponble para asignárselo al servicio de Office Web App
Como es un nuevo certificado, tenemos que asignárselo nuevamente al OFfice Web App, para ello lo primero es desconfigurar el servicio de Office Web App para lo haremos en varios pasos:
Paso 1: Ver la configuración actual: Get-OfficeWebAppsFarm
Paso 2: Eliminar la configuración del Office Web App: Remove-OfficeWebAppsMachine
Paso 3: Configurar nuevamente las Office Web App con el nuevo certificado (me he equivocado en la descripción (no en los nombres que tiene el certificado) del certificado y le he puesto "Ceritificado Office Web App de ahí que así lo veáis en el cmdlet: New-OfficeWebAppsFarm -InternalUrl "https://office.asirsl.com" -ExternalUrl "https://office.asirsl.com" –EditingEnabled:$true –CertificateName “Ceritificado Office Web App”
Ahora ya tenemos nuestro certificado "renovado" (recordad lo comentado anteriormente sobre lo de renovado) y asignado nuevamente a nuestro Office Web App. Ahoar si nos vamos Lync por ejemplo, ya tenemos disponible el poder compartir las presentaciones de PowerPoint en nuestras reuniones:
Si ahora nos vamos a un Front-END y abrimos el Evento de Sucesos ya podemos ver que no tiene problemas con este servicio (claramente, ya lo estamos utilizando):
Si ahora volvemos a acceder a la URL: https://FQDN/Hosting/Discovery ya podemos ver que no nos muestra el error del certificado
Por lo que damos por cerrado el proceso de "renovación", algo más tedioso por no poder renovarlo y si tener que volver a solicitarlo nuevamente. Si solo tuviéramos que renovarlo era simplemente finalizar la renovación y ya quedarí operativo el servicio. Aquí la recomendación es tener un procedimiento para gestionar la caducidad de los certificados de nuestra infraestructura, bien con alguna herramienta que nos alerta de la caducidad del certificado (SCOM 2012 )por ejemplo), configurar una alerta de para que nos avise cuando el servidor tenga una alerta en el visor de eventos (Lync Server: Renovación de Certificados y Alertas) o anotarnos en el calendario del Outlook una fecha anterior a la caducidad del certificado para renovarlo antes de encontrarnos con el problema.
La idea de este artículo era mostraros que si caduca un certificado ya no podemos renovarlo y cual sería el proceso de configuración del servicio de Office Web App con el nuevo certificado.
Espero que os sea de utilidad!!!
Leave a Reply