Actualización certificado Sophos

Para actualizar el certificado del sophos relay de correo, solo tendremos que hacer un simple paso.
Nos iremos a Configuration, System, Certificates, y le daremos a Add

En la siguiente ventana que nos aparece, elegiremos la opcion «Upload existing certificate and private key», y le daremos a Next
En la siguiente pantalla nos aparecerá un recuadro para poner el nombre visual del certificado, yo siempre pongo Wildcard mas año en el que caduca 2021 en este caso concreto.
Y luego dos opciones, paste certificate text o import certificate file, en mi caso lo que hago es pegar el contenido completo del certificado wildcard .pem + el .key, quedaría algo como esto.

Una vez realizado esto, simplemente le daremos a Next, hará la importación, y al minuto ya estará configurado el nuevo certificado.

Configurar intermediate certificate IIS

En algunas ocasiones, cuando montemos el wildcare en IIS nos saltará un error debido a que no tenemos el certificado intermedio de Thawte, para solventar ese problema hay que añadir dicho certificado al servidor en cuestion.

  1. Open the Certificates Microsoft Management Console (MMC) snap-in. To do this, follow these steps:
    1. At a command prompt, type Mmc.exe.
    2. If you are not running the program as the built-in Administrator, you will be prompted for permission to run the program. In the Windows Security dialog box, click Allow.
    3. On the File menu, click Add/Remove Snap-in.
    4. In the Add or Remove Snap-ins dialog box, click the Certificates snap-in in the Available snap-ins list, click Add, and then click OK.
    5. In the Certificates snap-in dialog box, click Computer account, and then click Next.
    6. In the Select computer dialog box, click Finish.
    7. In the Add or Remove Snap-ins dialog box, click OK.
  2. To add an intermediate certificate, follow these steps:
    1. In the Certificates MMC snap-in, expand Certificates, right-click Intermediate Certification Authorities, point to All Tasks, and then click Import.
    2. In the Certificate Import Wizard, click Next.
    3. In the File to Import page, type the file name of the certificate that you want to import in the File name box, and then click Next.
    4. Click Next, and then complete the Certificate Import Wizard.

Keytool, actualización de certificados Java & Tomcat

En esta entrada vamos a trabajar la renovación de certificados en las máquinas que usan java, a traves la herramienta keytool.

El primer ejemplo es listar todos los certificados en el almacen, normalmente, el almacen de certificados de java lo vamos a localizar en /etc/ssl/certs/java el nombre genérico suele ser cacerts
keytool -list -keystore cacerts, nos va a devolver todos los certificados que tenga almacenados java, en nuestro caso deberemos de buscar certificados con nombres concretos
La clave es la que se usa por defecto, no esta cambiada, changeit

keytool -list -keystore cacerts |grep pp, por norma con esta busqueda nos saldrá los certificados asociados al wildcard en todos nuestros servidores

En este caso nos salen varios candidatos, si tenemos dudas de cual se esta utilizando usamos el siguiente comando, este comando nos dará información ampliada y detallada del certificado en cuestion, buscarémos que el CN sea *.pp.es y que la fecha de expiración sea en el año que estamos, ademas la fecha de creación suele coincidir con el año pasado, ya que yo borro la entrada y la vuelvo a generar.

keytool -list -keystore cacerts -alias cas.pp.es -v, (en este caso he documentado la entrada correcta)Escriba la contraseña del almacén de claves:
Nombre de alias: cas.pp.es
Fecha de creación: 29-jul-2019
Tipo de entrada: trustedCertEntry

Propietario: CN=*.pp.es, OU=Gerencia, O=Partido Popular, L=Madrid, ST=Madrid, C=ES
Emisor: CN=Thawte RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US
Número de serie: 258a3f58d18ca07063aa9d64ec2b3d0
Válido desde: Tue Jul 02 02:00:00 CEST 2019 hasta: Sun Aug 30 14:00:00 CEST 2020
Huellas digitales del certificado:
MD5: B4:9A:55:0A:D0:6E:4B:75:6F:D6:7C:12:31:2E:F1:D2
SHA1: C5:AC:64:E8:B7:2B:B4:2F:B8:9E:B6:3D:26:6E:91:D4:C1:6E:84:79
Nombre del algoritmo de firma: SHA256withRSA
Versión: 3

El siguiente paso, será borrar la entrada cas.pp.es para volver a generarla con el nuevo certificado, este año se procederá a realizar un scrip para que este proceso sea totalmente automatico, con unos parametros standar para todos los servidores afectados.
Para borrar un entrada usaremos el siguiente comando:
keytool -delete -alias cas.pp.es -keystore cacerts
cas.pp.es hace referencias al alias o nombre que se le da al certificado dentro del almacen y cacerts es el almacen que contiene los certificados.

Una vez borrada la entrada procedemos con el proceso de importación, tenemos que tener listo en nuestro directorio de home mismamente los certificados nuevos.
keytool -import -trustcacerts -alias cas.pp.es -file /home/oper/certificados-java/pp.es.cer -keystore cacerts

Finalmente para que todo esto tenga efecto, tendremos que proceder al restar del tomcat, como cada máquina tiene una version distinta proceder con el restart que corresponda a cada máquina.

De manera generica hay una carpeta creada en todos los directorios home de todas las máquinas llamado certificados-java, meter en esta carpeta los certificados, con el nombre de pp.es.cer, dentro de la misma hay un sh, es un ejecutable que realiza la renovación del certificado en java, se parará en cada paso para preguntarnos la contraseña del almacen java.

Intranet

  • Este proceso se realiza en la máquina que contiene el tomcat.
  • 1º situarnos en el directorio del alamcen de certificados java, cd /etc/ssl/certs/java
  • 2º consultar o buscar nuestras entradas con el wildcard, keytool -list -keystore cacerts |grep pp (puede variar el nombre, asegurarnos de que la entrada que sustituimos es la correcta o no nos funcionará)
  • 3º verificar que la entrada es la correcta, keytool -list -keystore cacerts -alias cas.pp.es -v (sustituir cas.pp.es por el nombre adecuado)
  • 4º eliminar la entrada, keytool -delete -alias cas.pp.es -keystore cacerts
  • 5º con los certificados nuevos copiados en nuestro directorio de home, lanzar la importación keytool -import -trustcacerts -alias cas.pp.es -file /home/oper/certificados-java/pp.es.cer -keystore cacerts
  • service tomcat6 restart
  • OJO CON NOMIX, ACTUALIZAR ESTA PARTE EN EL APACHE CON LOS NUEVOS CERTIFICADOS

Nota de Gastos

  • Este proceso se realiza en la máquina que contiene el tomcat.
  • 1º situarnos en el directorio del alamcen de certificados java, cd /etc/ssl/certs/java
  • 2º consultar o buscar nuestras entradas con el wildcard, keytool -list -keystore cacerts |grep pp (puede variar el nombre, asegurarnos de que la entrada que sustituimos es la correcta o no nos funcionará)
  • 3º verificar que la entrada es la correcta, keytool -list -keystore cacerts -alias cas.pp.es -v (sustituir cas.pp.es por el nombre adecuado)
  • 4º eliminar la entrada, keytool -delete -alias cas.pp.es -keystore cacerts
  • 5º con los certificados nuevos copiados en nuestro directorio de home, lanzar la importación keytool -import -trustcacerts -alias cas.pp.es -file /home/oper/certificados-java/pp.es.cer -keystore cacerts
  • service tomcat6 restart

Nota de Gastos Territorial

  • Este proceso se realiza en la máquina que contiene el tomcat.
  • 1º situarnos en el directorio del alamcen de certificados java, cd /etc/ssl/certs/java
  • 2º consultar o buscar nuestras entradas con el wildcard, keytool -list -keystore cacerts |grep pp (puede variar el nombre, asegurarnos de que la entrada que sustituimos es la correcta o no nos funcionará)
  • 3º verificar que la entrada es la correcta, keytool -list -keystore cacerts -alias cas.pp.es -v (sustituir cas.pp.es por el nombre adecuado)
  • 4º eliminar la entrada, keytool -delete -alias cas.pp.es -keystore cacerts
  • 5º con los certificados nuevos copiados en nuestro directorio de home, lanzar la importación keytool -import -trustcacerts -alias cas.pp.es -file /home/oper/certificados-java/pp.es.cer -keystore cacerts
  • service tomcat8 restart

Lanza

  • Este proceso se realiza en la máquina que contiene el tomcat.
  • 1º situarnos en el directorio del alamcen de certificados java, cd /etc/ssl/certs/java
  • 2º consultar o buscar nuestras entradas con el wildcard, keytool -list -keystore cacerts |grep pp (puede variar el nombre, asegurarnos de que la entrada que sustituimos es la correcta o no nos funcionará)
  • 3º verificar que la entrada es la correcta, keytool -list -keystore cacerts -alias cas.pp.es -v (sustituir cas.pp.es por el nombre adecuado)
  • 4º eliminar la entrada, keytool -delete -alias cas.pp.es -keystore cacerts
  • 5º con los certificados nuevos copiados en nuestro directorio de home, lanzar la importación keytool -import -trustcacerts -alias cas.pp.es -file /home/lanza/certificados-java/pp.es.cer -keystore cacerts
  • service tomcat6 restart

Añadir AD Users con Excel

ABCDEFG
NOMBREAPELLIDOLOGINZONASITIOEMPLEADODNI
BeatrizAcebedo RodriguezbacebedoGénovaLimpieza – MantenimientoInterno52006388F
New-AdUser -SamAccountName «bacebedo» -Name «Beatriz Acebedo Rodriguez» -Surname «Acebedo Rodriguez» -Description «Beatriz Acebedo Rodriguez» -GivenName «Beatriz» -UserPrincipalName «bacebedo@partidopopular.es» -AccountPassword (ConvertTo-SecureString -AsPlainText «52006388F» -Force) -Enabled $true -PasswordNeverExpires $true -Path ‘OU=CheckingPlan,DC=partidopopular,DC=es’

=CONCATENAR(«New-AdUser -SamAccountName «»»;C2;»»» -Name «»»;A2;» «;B2;»»» -Surname «»»;B2;»»» -Description «»»;A2;» «;B2;»»» -GivenName «»»;A2;»»» -UserPrincipalName «»»;C2;»@partidopopular.es»»»;» -AccountPassword (ConvertTo-SecureString -AsPlainText «»»;G2;»»» -Force) -Enabled $true -PasswordNeverExpires $true -Path ‘OU=CheckingPlan,DC=partidopopular,DC=es’»)

Cuota Sysnology users

En esta entrada, contemplamos la posibilidad de generar cuotas de consumo para los usuarios o grupos, en este caso, hemos asignado una cuota de 200 Gb al grupo de redes para el transito de información.
Nos iremos a a parte de usuarios y grupos (dominio) y le daremos a editar al grupo que deseemos asignarle una cuota

Habilitar respuesta automática Exchange

Para poder habilitar una respuesta automatica en exchange 2010, a un usuario que ha causado baja o ha sido despedido, usaremos el siguiente comando. Distinguir que el comando hay que meter las fechas en formato EEUU, mes, dia, año y que tiene dos partes distinguidas, el mensaje que llega al exterior del dominio y el mensaje que llega a los usuarios de dominio, hay que rellenar los dos para que quede bien configurado, ejemplo.

Set-MailboxAutoReplyConfiguration hector.lopez@pp.es -AutoReplyState Scheduled -StartTime «07/12/2019» -EndTime «09/15/2019» -ExternalMessage «Buenos días, la persona que esta contactando ya no trabaja en el Partido Popular, para tratar cualquier tema escriba a comunicacionesit@pp.es» -InternalMessage «La persona a la que intenta contactar ya no trabaja en el Partido Popular, por favor contacte con comunicacionesIT@pp.espara cualquier necesidad, un cordial saludo»

Traps Certificate Renew

En esta entrada vamos a realizar todos los pasos para renovar el certificado en el traps, aunque es un servidor windows y el proceso debería de ser relativamente sencillo, Traps tiene una parte «propia» que lo complica.
Una vez tengamos el certificado nuevo (wildcard) nos iremos al servidor de traps, entraremos en la consola de IIS Management.
Clicamos sobre la estancia servidor, no sobre el sitio visualizar la siguiente imagen:

Dentro de esta pantalla lo primero y muy importante, eliminarmos el certificado

Una vez aqui clicamos en Server Certificates, y dentro de la pantalla de certificados nos encontraremos el certificado actual, aqui le daremos a «Complete Certificate Request»

Recordar copiaros el certificado nuevo en el escritorio del servidor, sino toca hacerlo ahora…
Nos saldrá la siguiente ventana, en ella tenemos que seleccionar el certificado .cer y debemos tener en esa carpeta el key también. (esto del key no estoy totalmente seguro). Poner un friendly name para pdoer identificar bien los certificados!
Tenemos que seleccionar Personal o no funcionará.

Le damos ok y ya tenemos el certificado importado para su uso, seguidamente nos iremos encima con el botón derecho sobre «Default Web Site» le daremos a Edit bindings, una vez nos salga la nueva pantalla clicamos sobre https, boton editar, y en la siguiente pantalla que nos saldrá le daremos a SSL Certificate y elegiremos el nuevo que hemos importado.

Si conseguimos realizar esta etapa con éxito lo siguiente que tendremos que realizar es la parte que se hace en msdos, Traps tiene un puerto que usa para la comunicacion con los clientes que no es el 443, este se usa solo para la consola. Con los clientes se usa el puerto 21:25 y hay que agregar el certificado por CMD, entramos en CMD como administrador.
Ejecutamos el siguiente comando para sacar la información que necesitamos, netsh http show sslcert , aqui podemos ver el servidor aun sin el certificado nuevo agregado, con lo cual el puerto 443 y el 2125 tienen el mismo Certificate Hash id

Si hemos realizado bien la parte del certificado en IIS, abajo en la zona de ip:port 443, nos saldrá el certificate hash que necesitamos para actualizar el Certificate hash del ip:port 2125.†

Necesitaremos el Application ID la del puerto 2125 para componer el siguiente comando y poder realizar la actualización, debe de ir todo en la misma linea y sin intros o no funcionará. Si nos fijamos lo que hacemos realmente es solo cambiar el Certificate Hash antiguo por el nuevo.

netsh http add sslcert ipport=0.0.0.0:2125 certhash=c5ac64e8b72bb42fb89eb63d266e91d4c16e8479 appid={935e55e3-8b9d-4b95-954c-423626f887f9} clientcertnegotiation=enable