Creación de una solicitud de certificado Exchange Server para una entidad de certificación
La creación de una solicitud de certificado es el primer paso para instalar un nuevo certificado en un servidor exchange para configurar el cifrado de seguridad de la capa de transporte (TLS) para uno o varios servicios de Exchange. Se usa una solicitud de certificado (también conocida como solicitud de firma de certificado o CSR) para obtener un certificado de una entidad de certificación (CA). Los procedimientos son los mismos para obtener certificados de una CA interna (por ejemplo, Servicios de certificados de Active Directory) o de una CA comercial. Después de crear la solicitud de certificado, los resultados se envían a la entidad de certificación, que usa la información para emitir el certificado real, que se instalará posteriormente.
Puede crear solicitudes de certificado en el Centro de administración de Exchange (EAC) o en el Shell de administración de Exchange. El Asistente para nuevo certificado de Exchange en el EAC puede ayudarle a seleccionar los nombres de host necesarios en el certificado.
¿Qué necesita saber antes de empezar?
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para obtener más información sobre los permisos que necesita, consulte la entrada "Seguridad de los servicios de acceso de cliente" en el artículo Permisos de clientes y dispositivos móviles .
Tiempo estimado para finalizar: 5 minutos para completar la nueva solicitud de certificado. Sin embargo, se requiere más tiempo antes de que la solicitud lleve a la emisión de un certificado. Para más información, vea Pasos siguientes.
Debe planear cuidadosamente la elección del tipo de certificado que quiera y los nombres de host que van a ser necesarios en el certificado. Para obtener más información, consulte Certificados digitales y cifrado en Exchange Server.
Compruebe los requisitos de solicitud de certificado de la entidad de certificación. Exchange genera un archivo de solicitud PKCS #10 (.req) que usa codificación Base64 (valor predeterminado) o reglas de codificación distinguida (DER), con una clave pública RSA de 1024, 2048 (valor predeterminado) o 4096 bits. Las opciones de codificación y clave pública solo están disponibles en el Shell de administración de Exchange. Para obtener más información, consulte New-ExchangeCertificate.
En el EAC, debe almacenar el archivo de solicitud de certificado en una ruta de acceso UNC (
\\<Server>\<Share>\o\\<LocalServerName>\c$\). En Shell de administración de Exchange, puede especificar una ruta de acceso local.Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
Para obtener más información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este artículo, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.
Usar el EAC para crear una nueva solicitud de certificado
Nota:
La solicitud de certificado ECP ha quedado en desuso en Exchange 2019 CU12 y versiones posteriores y en Exchange 2016 CU23 y versiones posteriores.
Abra el EAC y vaya aCertificados de servidores>.
En la lista desplegable Seleccionar servidor, seleccione el servidor de Exchange donde desea instalar el certificado y, a continuación, seleccione Agregar
Se abre el asistente Nuevo certificado de Exchange.
En la página Este asistente creará un nuevo certificado o un archivo de solicitud de certificado , compruebe que está seleccionada la opción Crear una solicitud para un certificado desde una entidad de certificación y, a continuación, seleccione Siguiente.
Nota:
Para crear un certificado autofirmado, consulte Creación de un nuevo certificado autofirmado Exchange Server.
En la página Nombre descriptivo de este certificado , escriba un nombre descriptivo para el certificado y, a continuación, seleccione Siguiente.
En la página Solicitar un certificado de comodín, elija una de las siguientes opciones:
- Si desea un certificado comodín: seleccione Solicitar un certificado comodín y escriba el carácter comodín (*) y el dominio en el cuadro Dominio raíz , por ejemplo, *.contoso.com o *.eu.contoso.com. Cuando termine, haga clic en Siguiente.
- Si desea un certificado de nombre alternativo de firmante (SAN): no realice ninguna selección en esta página y seleccione Siguiente.
- Si desea un certificado para un único host: no realice ninguna selección en esta página y seleccione Siguiente.
En la página Almacenar solicitud de certificado en este servidor , seleccione Examinar y seleccione el servidor de Exchange donde desea almacenar la solicitud de certificado (donde desea instalar el certificado). A continuación, seleccione Aceptar y Siguiente.
Nota:
Los pasos 7 y 8 solo se aplican a una solicitud de un certificado SAN o a un certificado para un único host. Si seleccionó Solicitar un certificado comodín, vaya al paso 9.
Aparece la página Especificar los dominios que desea incluir en el certificado . Esta página es básicamente una hoja de cálculo que le ayuda a determinar los nombres de host internos y externos necesarios en el certificado para los siguientes servicios de Exchange:
- Outlook en la Web
- Generación de libretas de direcciones sin conexión (OAB)
- Servicios web de Exchange
- Exchange ActiveSync
- Detección automática
- POP
- IMAP
- Outlook en cualquier lugar
Escriba un valor para cada servicio en función de la ubicación (interna o externa). A continuación, el asistente determina los nombres de host necesarios en el certificado y la información se muestra en la página siguiente.
Si desea modificar un valor para un servicio, seleccione Editar (
) y escriba el valor de nombre de host que desea usar (o elimine el valor). Cuando termine, haga clic en Siguiente.Nota:
Si ya ha determinado los valores de nombre de host que necesita en el certificado, no tiene que rellenar la información de esta página. En su lugar, seleccione Siguiente para escribir manualmente los nombres de host en la página siguiente.
En función de las selecciones, aparecerán los siguientes dominios en la página del certificado. En esta página se enumeran los nombres de host que se incluirán en la solicitud de certificado. El nombre de host que se usa en el cuadro Asunto del certificado está en negrita, lo que puede resultar difícil de ver si ese nombre de host está seleccionado.
Compruebe las entradas de nombre de host necesarias en el certificado haciendo referencia a las selecciones realizadas en la página anterior.
Si no desea tener en cuenta esta lista de nombres de host para su inclusión en la solicitud de certificado, vaya al paso 10.
Omita los valores de la última página y agregue, edite o quite los valores de nombre de host realizando los pasos siguientes: a. Si desea un certificado SAN: para seleccionar el nombre de host del campo Asunto del certificado, seleccione el valor y seleccione Establecer como nombre común (marca de verificación). El valor ahora debe aparecer en negrita. b. Si desea un certificado para un único nombre de host: seleccione los otros valores de uno en uno y seleccione Quitar (
Nota:
No puede eliminar el valor de nombre de host en negrita que se usará para el cuadro Asunto del certificado. En primer lugar, debe seleccionar o agregar un nombre de host diferente y, a continuación, activar la casilla Establecer como nombre común . Los cambios que realice en esta página podrían perderse si selecciona el botón Atrás .
En la página Especifica información sobre tu organización escriba los siguientes valores:
- Nombre de la organización
- Nombre del departamento
- Ciudad o localidad
- Estado o provincia
- País o región
Nota:
Estos valores X.500 se incluyen en el cuadro Asunto del certificado. Aunque se requiere un valor en todos los campos antes de continuar, es posible que a la CA no le importen determinados campos (por ejemplo, nombre del departamento), mientras que otros campos son importantes (por ejemplo, nombre de país o región y nombre de la organización). Active los requisitos de la casilla Asunto de la entidad de certificación.
Cuando termine, haga clic en Siguiente.
En la página Guardar la solicitud de certificado en el archivo siguiente , escriba la ruta de acceso UNC y el nombre de archivo de la solicitud de certificado, por ejemplo,
\\FileServer01\Data\ExchCertRequest.req. Cuando haya terminado, seleccione Finalizar.
La solicitud de certificado aparece en la lista de certificados de Exchange con un valor de estado de Pendiente. Para obtener más información sobre los pasos siguientes, consulte la sección Pasos siguientes .
Uso del Shell de administración de Exchange para crear una nueva solicitud de certificado
Para crear una nueva solicitud para un certificado comodín, un certificado SAN o un certificado para un único host, use la sintaxis siguiente:
Si necesita enviar el contenido del archivo de solicitud de certificado a la CA, use la sintaxis siguiente para crear un archivo de solicitud codificado en Base64:
$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))Si necesita enviar el archivo de solicitud de certificado a la entidad de certificación, use la sintaxis siguiente para crear un archivo de solicitud codificado en DER:
$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
Nota:
La única parte necesaria del valor del parámetro SubjectName X.500 (el cuadro Asunto del certificado) para ejecutar el comando es CN=<HostNameOrFQDN>. Pero siempre debe incluir el C=<CountryOrRegion> valor. De lo contrario, es posible que no pueda renovar el certificado. Active los requisitos de la casilla Asunto de la entidad de certificación.
Si no usa el parámetro KeySize , la solicitud de certificado tiene una clave pública RSA de 2048 bits.
Si no usa el parámetro Server , el comando se ejecuta en el servidor exchange local.
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ExchangeCertificate.
Solicitud de certificado comodín
En estos ejemplos se crean archivos de solicitud de certificado para certificados comodín con las siguientes propiedades:
- SubjectName: *.contoso.com en el Estados Unidos, que requiere el valor
C=US,CN=*.contoso.com. - RequestFile:
\\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx> - FriendlyName: certificado comodín de Contoso.com
Para crear un archivo de solicitud codificado en Base64 para el certificado comodín, ejecute el siguiente comando:
$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
Para crear un archivo de solicitud codificado de DER para el certificado comodín, ejecute el siguiente comando:
$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)
Solicitud de certificado SAN
En estos ejemplos se crean archivos de solicitud de certificado para certificados SAN con las siguientes propiedades:
- SubjectName: mail.contoso.com en el Estados Unidos, que requiere el valor
C=US,CN=mail.contoso.com. Este valor CN se incluye automáticamente en el parámetro DomainName (el campo Nombre alternativo del firmante ). - Otros valores de campo de nombre alternativo del firmante :
- autodiscover.contoso.com
- legacy.contoso.com
- mail.contoso.net
- autodiscover.contoso.net
- legacy.contoso.net
- RequestFile:
\\FileServer01\Data\Contoso SAN Cert.<cer or pfx> - FriendlyName: certificado Contoso.com SAN
- DomainName: lista de dominios separados por comas sin comillas
Para crear un archivo de solicitud codificado en Base64 para el certificado SAN, ejecute el siguiente comando:
$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
Para crear un archivo de solicitud codificado en DER para el certificado SAN, ejecute el siguiente comando:
$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)
Solicitud de certificado de un solo firmante
En estos ejemplos se crean archivos de solicitud de certificado para certificados de sujeto único con las siguientes propiedades:
- SubjectName: mail.contoso.com en el Estados Unidos, que requiere el valor
C=US,CN=mail.contoso.com. - RequestFile:
\\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx> - FriendlyName: certificado de Mail.contoso.com
Para crear un archivo de solicitud codificado en Base64 para el certificado de firmante único, ejecute el siguiente comando:
$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
Para crear un archivo de solicitud codificado de DER para el certificado de firmante único, ejecute el siguiente comando:
$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)
¿Cómo sabe que estos comandos funcionaron?
Para comprobar que ha creado correctamente una nueva solicitud de certificado, realice uno de los pasos siguientes:
En el EAC enCertificados de servidores>, compruebe si el servidor donde almacenó la solicitud de certificado está seleccionado. La solicitud debe estar en la lista de certificados con el valor del parámetro Status establecido como Solicitud pendiente.
En Shell de administración de Exchange, en el servidor donde se almacenó la solicitud de certificado, ejecute el siguiente comando:
Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
Pasos siguientes
El contenido de un archivo de solicitud de certificado codificado en Base64 es similar al ejemplo que se describe a continuación:
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Hay que enviar esta información a la entidad de certificación. La forma de enviarla depende de la entidad de certificación, pero normalmente envía el contenido del archivo en un mensaje de correo electrónico o en el formulario de solicitud de certificado en el sitio web de la entidad de certificación.
En caso de que la entidad de certificación necesite una solicitud de certificado binaria con codificación DER (usó el cmdlet New-ExchangeCertificate con el modificador BinaryEncoded), se suele enviar el archivo de solicitud de certificado entero a la entidad de certificación.
Después de recibir el certificado de la entidad de certificación, es necesario completar la solicitud de certificado pendiente. Para obtener más información, vea Completar una solicitud de certificado Exchange Server pendiente.