Rinnovare un certificato Exchange Server
Tutti i certificati presentano una data di scadenza predefinita. In Exchange Server, il certificato autofirmato predefinito installato nel server Exchange scade 5 anni dopo l'installazione di Exchange nel server. È possibile utilizzare Interfaccia di amministrazione di Exchange (EAC) o Exchange Management Shell per rinnovare i certificati di Exchange. Sono inclusi i certificati autofirmati di Exchange e i certificati emessi da un'autorità di certificazione.
Nota
Le attività di gestione dei certificati vengono rimosse da EAC per Exchange Server 2016 CU23 e Exchange Server 2019 CU12. Utilizzare la procedura Exchange Management Shell per esportare/importare il certificato da queste versioni.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 5 minuti
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Per i certificati emessi da un'autorità di certificazione, verificare i requisiti di richiesta di certificato dell'autorità di certificazione. Exchange genera un file di richiesta (.req) PKCS #10 che utilizza la codifica base 64 (impostazione predefinita) o Distinguished Encoding Rules (DER), con una chiave pubblica RSA che è 1024, 2048 (impostazione predefinita) o 4096 bit. Tenere presente che la codifica e le opzioni delle chiavi pubbliche sono disponibili solo in Exchange Management Shell.
Per rinnovare un certificato emesso da un'autorità di certificazione, è necessario rinnovare il certificato con la stessa CA che ha generato il certificato. Se si modificano le autorità di certificazione o se si verifica un problema con il certificato originale quando si tenta di rinnovare la sottoscrizione, è necessario creare una nuova richiesta di certificato (nota anche come richiesta di firma del certificato o CSR) per un nuovo certificato. Per altre informazioni, vedere Creare una richiesta di certificato Exchange Server per un'autorità di certificazione.
Se si rinnova o si sostituisce un certificato rilasciato da un'autorità di certificazione in un server Trasporto Edge sottoscritto, è necessario rimuovere il vecchio certificato, quindi eliminare e ricreare la sottoscrizione Edge. Per ulteriori informazioni, vedere Processo di sottoscrizione Edge.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'argomento Autorizzazioni per client e dispositivi mobili .
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.
Rinnovare un certificato emesso da un'autorità di certificazione
Le procedure sono le stesse per i certificati rilasciati da un'autorità di certificazione interna (ad esempio, Servizi certificati Active Directory) o da un'autorità di certificazione commerciale.
Per rinnovare i certificati emessi da una CA, creare una richiesta di rinnovo e inviarla all'autorità di certificazione. L'autorità di certificazione invierà quindi il file del certificato effettivo che è necessario installare nel server Exchange. La procedura è quasi identica a quella del completamento di una nuova richiesta di certificato installando il certificato nel server. Per istruzioni, vedere Completare una richiesta di certificato Exchange Server in sospeso.
Utilizzare EAC per creare una richiesta di rinnovo del certificato per un'autorità di certificazione
Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.
Nell'elenco Seleziona server, selezionare il server di Exchange che conserva il certificato da rinnovare.
Tutti i certificati validi contengono un link Rinnova nel riquadro dei dettagli visibile quando si seleziona il certificato dall'elenco. Selezionare il certificato da rinnovare, quindi fare clic su Rinnova nel riquadro dei dettagli.
Nella pagina Rinnova certificato Exchange visualizzata, nel campo Salva la richiesta di certificato nel file seguente, immettere il percorso UNC e il nome file per il nuovo file di richiesta di rinnovo del certificato. Ad esempio,
\\FileServer01\Data\ContosoCertRenewal.req. Al termine, fare clic su OK.
Verrà visualizzata la richiesta di certificato nell'elenco dei certificati Exchange con un valore di stato In sospeso.
Utilizzare Exchange Management Shell per creare una richiesta di rinnovo del certificato per un'autorità di certificazione
Per creare una nuova richiesta di rinnovo del certificato per un'autorità di certificazione, usare la sintassi seguente:
Se è necessario inviare il contenuto del file di richiesta di rinnovo del certificato alla CA, usare la sintassi seguente per creare un file di richiesta con codifica Base64:
$txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))Se è necessario inviare il file della richiesta di rinnovo del certificato alla CA, usare la sintassi seguente per creare un file di richiesta con codifica DER:
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
Per visualizzare il valore di identificazione personale del certificato da rinnovare, eseguire il seguente comando:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ExchangeCertificate e New-ExchangeCertificate.
Note:
- Se non si usa il parametro KeySize , la richiesta di certificato ha una chiave pubblica RSA a 2048 bit.
- Se non si usa il parametro Server , il comando viene eseguito sul server Exchange locale.
In questo esempio viene creata una richiesta di rinnovo del certificato con codifica Base64 per il certificato esistente con il valore 5DB9879E38E36BCB60B761E29794392B23D1C054Identificazione personale :
$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
In questo esempio viene creata una richiesta di rinnovo del certificato con codifica DER (binaria) per lo stesso certificato:
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)
Come si sa che è stata creata correttamente una richiesta di rinnovo del certificato?
Per verificare di aver creato una nuova richiesta di rinnovo certificato, eseguire le operazioni seguenti:
Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stata archiviata la richiesta di certificato. La richiesta dovrebbe essere nell'elenco dei certificati con il valore StatoRichiesta in sospeso.
In Exchange Management Shell, nel server in cui è archiviata la richiesta di certificato, eseguire il seguente comando:
Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
Rinnovare un certificato autofirmato di Exchange
Quando si rinnova un certificato autofirmato di Exchange, fondamentalmente si intende realizzare un nuovo certificato.
Utilizzare EAC per rinnovare un certificato autofirmato di Exchange
Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.
Nell'elenco Seleziona server, selezionare il server di Exchange che conserva il certificato da rinnovare.
Tutti i certificati validi contengono un link Rinnova nel riquadro dei dettagli visibile quando si seleziona il certificato dall'elenco. Selezionare il certificato da rinnovare, quindi fare clic su Rinnova nel riquadro dei dettagli.
Nella pagina Rinnova certificato Exchange visualizzata, verificare l'elenco di sola lettura dei servizi Exchange a cui è assegnato il certificato esistente, quindi fare clic su OK.
Utilizzare Exchange Management Shell per rinnovare un certificato autofirmato di Exchange
Per rinnovare un certificato autofirmato, utilizzare la seguente sintassi:
Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]
Per visualizzare il valore di identificazione personale del certificato da rinnovare, eseguire il seguente comando:
Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
In questo esempio viene rinnovato un certificato autofirmato nel server Exchange locale con le seguenti impostazioni:
- Il valore di identificazione personale del certificato autofirma esistente da rinnovare è
BC37CBE2E59566BFF7D01FEAC9B6517841475F2D - L'opzione Force sostituisce il certificato autofirmati originale senza una richiesta di conferma.
- La chiave privata è esportabile. In questo modo è possibile esportare il certificato e importarlo in altri server.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true
Come si sa di aver rinnovato correttamente un certificato autofirmato di Exchange?
Per verificare di aver correttamente rinnovato un certificato autofirmato Exchange, utilizzare una delle seguenti procedure:
Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stato installato il certificato. Nell'elenco dei certificati, verificare che il certificato abbia il valore della proprietà Stato su Valido.
In Exchange Management Shell nel server in cui è stato rinnovato il certificato autofirmato, eseguire il comando seguente e verificare i valori della proprietà:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Importante
La rimozione, il rinnovo o l'assegnazione di servizi al certificato può rimuovere il certificato dal back-end di Exchange e dal sito Web predefinito. È essenziale controllare le associazioni di certificati e applicare i certificati corretti.