Creación de un nuevo certificado autofirmado de Exchange Server

Al instalar Exchange Server, se instala automáticamente en el servidor un certificado autofirmado creado y firmado por el propio servidor de Exchange. Sin embargo, también se pueden crear otros certificados autofirmados que se pueden usar.

Puede crear certificados autofirmados en la Centro de administración de Exchange (EAC) o en Shell de administración de Exchange.

¿Qué necesita saber antes de comenzar?

• Tiempo estimado para finalizar: 5 minutos.

• Los certificados autofirmados de Exchange funcionan bien para cifrar la comunicación entre servidores internos de Exchange, pero no tan bien para cifrar las conexiones externas, porque los clientes, los servidores y los servicios no confían automáticamente en los certificados autofirmados de Exchange. Para crear una solicitud de certificado (también conocida como solicitud de firma de certificado o CSR) para una entidad de certificación comercial de confianza automática para todos los clientes, servidores y servicios, consulte Creación de una solicitud de certificado de Exchange Server para una entidad de certificación.

• Al crear un nuevo certificado autofirmado mediante el cmdlet New-ExchangeCertificate, puede asignar el certificado a servicios de Exchange durante la creación del mismo. Para obtener más información sobre los servicios de Exchange, consulte Asignación de certificados a servicios de Exchange Server.

• Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

• Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Seguridad de los servicios de acceso de clientes" en el tema Permisos de dispositivos móviles y clientes.

• Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Usar la EAC para crear un nuevo certificado autofirmado de Exchange

1. Abra el EAC y vaya aCertificados de servidores>.

2. En la lista Seleccionar servidor, seleccione el servidor de Exchange donde desea instalar el certificado y, a continuación, haga clic en el

3. Se abre el asistente Nuevo certificado de Exchange. En la página Este asistente creará un nuevo certificado o un archivo de solicitud de certificado, seleccione Crear un certificado autofirmado y haga clic en Siguiente.

   Nota: Para crear una nueva solicitud de certificado para una entidad de certificación, consulte Creación de una solicitud de certificado de Exchange Server para una entidad de certificación.

4. En la página Nombre descriptivo de este certificado, especifique un nombre descriptivo para el certificado y haga clic en Siguiente.

5. En la página Especificar los servidores a los que desea aplicar este certificado , haga clic en el

   En la página Seleccionar un servidor que se abre, seleccione el servidor de Exchange donde quiere instalar el certificado y haga clic en Agregar - >. Repita este paso tantas veces como sea necesario. Cuando haya terminado de seleccionar servidores, haga clic en Aceptar.

   Cuando termine, haga clic en Siguiente.

6. La página Especifique los dominios que desee incluir en su certificado es básicamente una hoja de cálculo que ayuda a determinar los nombres de host internos y externos que son necesarios en el certificado para los siguientes servicios de Exchange:

   • Outlook en la web

   • Generación de libretas de direcciones sin conexión (OAB)

   • Servicios web de Exchange

   • Exchange ActiveSync

   • Detección automática

   • POP

   • IMAP

   • Outlook en cualquier lugar

     Si especifica un valor para cada servicio según la ubicación (interna o externa), el asistente determina los nombres de host que son necesarios en el certificado y la información se muestra en la siguiente página. Para modificar un valor de un servicio, haga clic en Editar () y escriba el valor de nombre de host que desea usar (o elimine el valor). Cuando termine, haga clic en Siguiente.

     Si ya ha determinado los valores de nombre de host que necesita en el certificado, no tiene que rellenar la información de esta página. En su lugar, haga clic en Siguiente para escribir manualmente los nombres de host en la página siguiente.

7. Según las selecciones, los siguientes dominios se incluirán en la página del certificado y se enumeran los nombres de host que se incluirán en el certificado autofirmado. The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.

   • Si quiere un certificado SAN, el campo Subject requiere un valor de nombre común (CN). Para seleccionar el nombre de host del campo Subject del certificado, seleccione el valor y haga clic en Establecer como nombre común (marca de verificación). El valor ahora debe aparecer en negrita.

   • Si desea un certificado para un único nombre de host, seleccione los otros valores de uno en uno y haga clic en Quitar (

     Cuando haya terminado en esta página, haga clic en Finalizar.

   Notas:

   • No se puede eliminar el valor de nombre de host en negrita que se usará para el campo Subject del certificado. Primero, tiene que seleccionar o agregar un nombre de host diferente y luego hacer clic en Establecer como nombre común (marca de verificación).
   • Los cambios que realice en esta página podrían perderse si hace clic en el botón Atrás.

Usar Shell de administración de Exchange para crear un nuevo certificado autofirmado de Exchange

Para crear un nuevo certificado autofirmado de Exchange, use la sintaxis siguiente:

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

En este ejemplo se crea un certificado autofirmado en el servidor local de Exchange con las siguientes propiedades:

• Asunto: <ServerName>. Por ejemplo, si ejecuta el comando en el servidor denominado Mailbox01, el valor es Mailbox01.
• Nombres alternativos del firmante: <ServerName>, <FQDN> del servidor. Por ejemplo, Mailbox01, Mailbox01.contoso.com.
• Nombre descriptivo: Microsoft Exchange
• Servicios: POP, IMAP, SMTP.

New-ExchangeCertificate

En este ejemplo se crea un certificado autofirmado en el servidor local de Exchange con las siguientes propiedades:

• Asunto: Exchange01, que requiere el valor CN=Exchange01. Tenga en cuenta que este valor se incluye automáticamente en el parámetro DomainName (el campo Nombre alternativo del firmante ).
• Otros nombres alternativos del sujeto:
  • mail.contoso.com
  • autodiscover.contoso.com
  • Exchange01.contoso.com
  • Exchange02.contoso.com
• Servicios: SMTP, IIS
• Nombre descriptivo: Certificado de Exchange de Contoso
• La clave privada es exportable. Esto permite exportar el certificado desde el servidor (e importarlo en otros servidores).

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Notas:

• La única parte necesaria del valor del parámetro SubjectName X.500 (el campo Asunto del certificado) es CN=<HostNameOrFQDN>.
• Algunos valores de parámetro de Services generan mensajes de advertencia o confirmación. Para obtener más información, consulte Asignación de certificados a servicios de Exchange Server.
• Para obtener más información, consulte New-ExchangeCertificate.

¿Cómo saber si el proceso se ha completado correctamente?

Para comprobar que se ha creado correctamente un certificado autofirmado de Exchange, realice alguno de los pasos siguientes:

• En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde creó el certificado autofirmado. El certificado debe estar en la lista de certificados con el valor de EstadoVálido.

• En Shell de administración de Exchange, en el servidor donde se creó el certificado autofirmado, ejecute el siguiente comando y compruebe las propiedades:

  Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter