Asignar certificados a los servicios de Exchange Server
Después de instalar un certificado en un servidor exchange, debe asignar el certificado a uno o varios servicios de Exchange antes de que el servidor exchange pueda usar el certificado para el cifrado. Puede asignar certificados a los servicios en la Centro de administración de Exchange (EAC) o en Shell de administración de Exchange. Una vez que se asigna un certificado a un servicio, no se puede quitar la asignación. Si ya no quiere usar un certificado para un servicio concreto, debe asignar otro certificado al servicio y luego quitar el certificado que no quiere usar.
Los servicios de Exchange disponibles se describen en la tabla siguiente:
| Servicio | Usa |
|---|---|
| IIS | Cifrado TLS para las conexiones de cliente internas y externas que usan HTTP. Esto incluye: Detección automática Exchange ActiveSync Centro de administración de Exchange Servicios web de Exchange Distribución de la libreta de direcciones sin conexión (OAB) Outlook en cualquier lugar (RPC sobre el proxy HTTP) Outlook MAPI sobre HTTP Outlook en la web |
| IMAP | Cifrado TLS para las conexiones de cliente de IMAP4. No asigne un certificado comodín para el servicio IMAP4. En su lugar, use el cmdlet Set-ImapSettings para configurar el nombre de dominio completo (FQDN) que los clientes usan para conectarse con el servicio IMAP4. |
| POP | Cifrado TLS para las conexiones de cliente de POP3. No asigne un certificado comodín para el servicio POP3. En su lugar, use el cmdlet Set-PopSettings para configurar el FQDN que los clientes usan para conectarse con el servicio POP3. |
| SMTP | Cifrado TLS para las conexiones de cliente y servidor de SMTP externas. Autenticación mutua TLS entre Exchange y otros servidores de mensajería. Al asignar un certificado a SMTP, se le pedirá que reemplace el certificado autofirmado de Exchange predeterminado que se usa para cifrar la comunicación SMTP entre servidores internos de Exchange. Normalmente, no es necesario reemplazar el certificado SMTP predeterminado. |
| Mensajería unificada (UM) | Cifrado TLS para conexiones de cliente al servicio de mensajería unificada de back-end en servidores de buzones de Exchange 2016. Solo puede asignar un certificado al servicio de mensajería unificada cuando la propiedad de modo de inicio de mensajería unificada del servicio está establecida en TLS o Dual. Si el modo de inicio de mensajería unificada se establece en el valor predeterminado TCP, no se puede asignar el certificado al servicio de mensajería unificada. (Nota: La mensajería unificada no está disponible en Exchange 2019). Para obtener más información, consulte Configure the Startup Mode on a Mailbox Server. |
| Enrutador de llamada de mensajería unificada (UMCallRouter) | Cifrado TLS para conexiones de cliente al servicio enrutador de llamadas de mensajería unificada en los servicios de acceso de cliente en servidores de buzones de Exchange 2016. Solo puede asignar un certificado al servicio de enrutador de llamada de mensajería unificada cuando la propiedad de modo de inicio de mensajería unificada del servicio está establecida en TLS o Dual. Si el modo de inicio de mensajería unificada se establece en el valor predeterminado TCP, no se puede asignar el certificado al servicio de enrutador de llamada de mensajería unificada. (Nota: La mensajería unificada no está disponible en Exchange 2019). Para obtener más información, consulte Configure the Startup Mode on a Client Access Server. |
¿Qué necesita saber antes de comenzar?
Tiempo estimado para finalizar: 5 minutos.
Después de realizar los procedimientos de este tema, es posible que tenga que reiniciar Internet Information Services (IIS). En algunos escenarios, Exchange podría seguir usando el certificado anterior para cifrar y descifrar la cookie que se usa para la autenticación de Outlook en la Web (anteriormente conocida como Outlook Web App). Se recomienda reiniciar IIS en entornos que usen el equilibrio de carga de nivel 4.
Si renueva o reemplaza un certificado emitido por una entidad de certificación en un servidor de transporte perimetral suscrito, debe quitar el certificado anterior y, a continuación, eliminar y volver a crear la suscripción perimetral. Para obtener más información, vea Proceso de suscripción de Edge.
Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Seguridad de los servicios de acceso de clientes" en el tema Permisos de dispositivos móviles y clientes.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.
Usar la EAC para asignar un certificado a servicios de Exchange
Abra el EAC y vaya aCertificados de servidores>.
En la lista Seleccionar servidor, seleccione el servidor de Exchange que contiene el certificado.
Seleccione el certificado que desea configurar y, a continuación, haga clic en editar
El certificado debe tener el valor de EstadoVálido.En la pestaña Servicios, de la sección Especifique los servicios a los que desea asignar este certificado, seleccione los servicios. Recuerde que puede agregar servicios, pero no quitarlos. Cuando haya terminado, haga clic en Guardar.
Usar Shell de administración de Exchange para asignar un certificado a servicios de Exchange
Para asignar un certificado a servicios de Exchange, use la siguiente sintaxis:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
En este ejemplo se asigna el certificado que tiene el valor 434AC224C8459924B26521298CE8834C514856AB de huella digital a los servicios POP, IMAP, IIS y SMTP.
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
Puede encontrar el valor de huella digital mediante el cmdlet Get-ExchangeCertificate.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que se ha asignado correctamente un certificado a uno o más servicios de Exchange, use alguno de los procedimientos siguientes:
En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde instaló el certificado. Seleccione el certificado y, en el panel de detalles, compruebe que la propiedad Asignado a servicios contiene los servicios que ha seleccionado.
En Shell de administración de Exchange, en el servidor donde instaló el certificado, ejecute el comando siguiente para comprobar los servicios de Exchange del certificado:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services