Compartir a través de

Completar una solicitud de certificado de Exchange Server pendiente

  • Artículo

Completar una solicitud de certificado pendiente (también conocida como solicitud de firma de certificado o CSR) es el siguiente paso para configurar el cifrado de seguridad de la capa de transporte (TLS) en Exchange Server. Después de recibir el certificado de la entidad de certificación (CA), se instala en el servidor de Exchange para completar la solicitud de certificado pendiente.

Puede completar una solicitud de certificado pendiente en la Centro de administración de Exchange (EAC) o en Shell de administración de Exchange. Los procedimientos son los mismos para completar las nuevas solicitudes de certificados y las solicitudes de renovación de certificados. Los procedimientos también son los mismos que para los certificados emitidos por una entidad interna (por ejemplo, Servicios de certificados de Active Directory) o una entidad comercial.

Puede recibir uno o varios de los siguientes tipos de archivos de certificado:

  • Archivos de certificado PKCS #12: son archivos de certificado binarios que tienen extensiones de nombre de archivo .cer, .crt, .der, .p12 o .pfx y requieren una contraseña cuando el archivo contiene la clave privada o la cadena de confianza. La entidad de certificación podría emitir un solo archivo de certificado binario necesario para instalar (protegido por una contraseña) o varios archivos binarios de raíz o intermedios que también hubiera que instalar.

  • Archivos de certificado PKCS #7: son archivos de certificado de texto que tienen extensiones de nombre de archivo .p7b o .p7c. Estos archivos contienen el texto: -----BEGIN CERTIFICATE----- y o -----BEGIN PKCS7----------END CERTIFICATE----- y -----END PKCS7-----. Si la entidad de certificación incluye una cadena de archivo de certificados con el archivo de certificado binario, también tendrá que instalar la cadena de archivo de certificados.

Nota:

Las tareas de administración de certificados se quitan de EAC para Exchange Server 2016 CU23 y Exchange Server 2019 CU12. Use el procedimiento del Shell de administración de Exchange para exportar o importar el certificado de estas versiones.

¿Qué necesita saber antes de comenzar?

  • Tiempo estimado para finalizar: 5 minutos.

  • Los procedimientos de este tema exigen que haya creado una nueva solicitud de certificado en el servidor de Exchange, que haya enviado la solicitud de certificado a la entidad de certificación y que haya recibido el certificado de ella. Para obtener más información, consulte Create una solicitud de certificado de Exchange Server para una entidad de certificación.

  • En el EAC, debe recuperar el archivo de certificado de una ruta de acceso UNC (\\<Server>\<Share> o \\<LocalServerName>\c$\). En Shell de administración de Exchange, puede usar una ruta de acceso de archivo local.

  • Si renueva o reemplaza un certificado emitido por una entidad de certificación en un servidor de transporte perimetral suscrito, debe quitar el certificado anterior y, a continuación, eliminar y volver a crear la suscripción perimetral. Para obtener más información, vea Proceso de suscripción de Edge.

  • Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

  • Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Seguridad de los servicios de acceso de clientes" en el tema Permisos de dispositivos móviles y clientes.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Usar la EAC para completar una solicitud de certificado pendiente

  1. Abra el EAC y vaya aCertificados de servidores>.

  2. En la lista Seleccionar servidor, seleccione el servidor de Exchange que contiene la solicitud de certificado pendiente.

  3. Una solicitud de certificado pendiente tiene las siguientes propiedades:

    • En la lista de certificados, el valor del campo Estado es Solicitud pendiente.

    • Al seleccionar la solicitud de certificado en la lista, hay un vínculo Completar en el panel de detalles.

    Seleccione la solicitud de certificado pendiente que quiera finalizar y haga clic en Completar en el panel de detalles.

  4. En la página Completar solicitud pendiente que se abre, en el campo Archivo para importar, escriba la ruta de acceso UNC y el nombre del archivo de certificado. Por ejemplo, \\FileServer01\Data\ContosoCert.cer. Cuando haya terminado, haga clic en Aceptar.

La solicitud de certificado se convierte en un certificado en la lista de certificados de Exchange con un valor de EstadoVálido. Para los pasos siguientes, consulte la sección Pasos siguientes.

Usar Shell de administración de Exchange para completar una solicitud de certificado pendiente

Para completar una solicitud de certificado pendiente, use la sintaxis siguiente:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Esta sintaxis se usa con los siguientes tipos de archivos de certificado:

  • Archivos de certificado binarios (archivos PKCS #12 que tienen extensiones de nombre de archivo .cer, .crt, .der, .p12 o .pfx).
  • Cadena de archivos de certificados (archivos de texto PKCS #7 que tienen extensiones de nombre de archivo .p7b o .p7c).

En este ejemplo se importa el archivo \\FileServer01\Data\Contoso Cert.cer de certificado binario que está protegido en el servidor exchange local. Se le pedirá que escriba la contraseña.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)

En este ejemplo se importa el archivo \\FileServer01\Data\Chain of Certificates.p7b de certificado de texto en el servidor exchange local.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Notas:

  • El parámetro FileData acepta rutas de acceso locales si el archivo de certificado se encuentra en el servidor exchange donde se ejecuta el comando y este es el mismo servidor donde desea importar el certificado. De lo contrario, use una ruta de acceso UNC.
  • Si desea poder exportar el certificado desde el servidor donde lo va a importar, debe usar el parámetro PrivateKeyExportable con el valor $true.
  • Para obtener más información, consulte Import-ExchangeCertificate.

¿Cómo saber si el proceso se ha completado correctamente?

Para comprobar que ha completado la solicitud de certificado e instalado el certificado correctamente en el servidor de Exchange, use alguno de los procedimientos siguientes:

  • En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde instaló el certificado. En la lista de certificados, compruebe que el valor de la propiedad Estado del certificado es Válido.

  • En Shell de administración de Exchange, en el servidor donde instaló el certificado, ejecute el comando siguiente y compruebe que aparece el certificado:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Pasos siguientes

Después de completar la solicitud de certificado pendiente mediante la instalación del certificado en el servidor, debe asignar el certificado a uno o más servicios de Exchange para que el servidor de Exchange pueda usarlo para el cifrado. Para obtener más información, consulte Asignación de certificados a servicios de Exchange.