Share via

Creare una richiesta di certificato Exchange Server per un'autorità di certificazione

  • Articolo

La creazione di una richiesta di certificato è il primo passaggio dell'installazione di un nuovo certificato in un server Exchange per configurare la crittografia TLS (Transport Layer Security) per uno o più servizi di Exchange. Una richiesta di certificato (nota anche come richiesta di firma del certificato o CSR) consente di ottenere un certificato da un'autorità di certificazione (CA). Le procedure sono identiche per ottenere i certificati da un'autorità di certificazione interna (ad esempio, Servizi certificati Active Directory) o da un'autorità di certificazione commerciale. Dopo aver creato la richiesta di certificato, l'utente invia i risultati all'autorità di certificazione, che usa le informazioni per rilasciare il certificato effettivo, il quale viene installato in un secondo momento.

È possibile creare richieste di certificati in Interfaccia di amministrazione di Exchange (EAC) o in Exchange Management Shell. La procedura guidata per un Nuovo certificato di Exchange in EAC può risultare utile per selezionare i nomi host necessari nel certificato.

Che cosa è necessario sapere prima di iniziare?

  • Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per altre informazioni sulle autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'articolo Autorizzazioni per client e dispositivi mobili .

  • Tempo stimato per il completamento: 5 minuti per completare la nuova richiesta di certificato. Tuttavia, è necessario più tempo prima che la richiesta porti al rilascio di un certificato. Per ulteriori informazioni, vedere Passaggi successivi.

  • È necessaria un'attenta pianificazione per scegliere il tipo di certificato desiderato e i nomi host necessari nel certificato. Per altre informazioni, vedere Certificati digitali e crittografia in Exchange Server.

  • Verificare i requisiti di richiesta di certificato dell'autorità di certificazione. Exchange genera un file di richiesta (.req) PKCS #10 che utilizza la codifica base 64 (impostazione predefinita) o la codifica Distinguished Encoding Rules (DER), con una chiave pubblica RSA che è 1024, 2048 (impostazione predefinita) o 4096 bit. Le opzioni di codifica e chiave pubblica sono disponibili solo in Exchange Management Shell. Per ulteriori informazioni, vedere New-ExchangeCertificate.

  • Nell'interfaccia di amministrazione di Exchange è necessario archiviare il file della richiesta di certificato in un percorso UNC (\\<Server>\<Share>\ o \\<LocalServerName>\c$\). In Exchange Management Shell, è possibile specificare un percorso locale.

  • Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

  • Per altre informazioni sui tasti di scelta rapida che possono essere applicati alle procedure in questo articolo, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Creazione di una nuova richiesta di certificato tramite EAC

Nota

La richiesta di certificato ECP è stata deprecata in Exchange 2019 CU12 e versioni successive e in Exchange 2016 CU23 e versioni successive.

  1. Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.

  2. Nell'elenco a discesa Seleziona server selezionare il server exchange in cui si vuole installare il certificato e quindi selezionare Aggiungiicona Aggiungi.

Verrà visualizzata la procedura guidata Nuovo certificato di Exchange .

  1. Nella procedura guidata verrà creato un nuovo certificato o un file di richiesta di certificato , verificare che sia selezionata l'opzione Crea una richiesta per un certificato da un'autorità di certificazione e quindi selezionare Avanti.

    Nota

    Per creare un nuovo certificato autofirma, vedere Creare un nuovo certificato autofirma Exchange Server.

  2. Nella pagina Nome descrittivo per questo certificato immettere un nome descrittivo per il certificato e quindi selezionare Avanti.

  3. Nella pagina Richiedi un certificato con caratteri jolly, effettuare una delle scelte seguenti:

    • Se si vuole un certificato con caratteri jolly: selezionare Richiedi un certificato con caratteri jolly e immettere il carattere jolly (*) e il dominio nella casella Dominio radice , ad esempio *.contoso.com o *.eu.contoso.com. Al termine dell'operazione, fai clic su Avanti.
    • Se si desidera un certificato SAN (Subject Alternative Name): non effettuare selezioni in questa pagina e selezionare Avanti.
    • Se si vuole un certificato per un singolo host: non effettuare selezioni in questa pagina e selezionare Avanti.

  4. Nella pagina Store certificate request on this server (Archivia la richiesta di certificato in questo server ) selezionare Sfoglia e selezionare il server Exchange in cui archiviare la richiesta di certificato (dove si vuole installare il certificato). Selezionare quindi OK e Avanti.

    Nota

    I passaggi 7 e 8 si applicano solo a una richiesta di certificato SAN o di un certificato per singolo host. Se l’utente ha selezionato Richiedi un certificato con caratteri jolly, procedere al passaggio 9.

Verrà visualizzata la pagina Specificare i domini da includere nel certificato . Questa pagina è fondamentalmente un foglio di lavoro che consente di determinare i nomi host interni ed esterni necessari nel certificato per i servizi di Exchange seguenti:

  • Outlook sul Web
  • Generazione della Rubrica fuori rete (OAB)
  • Servizi Web Exchange
  • Exchange ActiveSync
  • Individuazione automatica
  • POP
  • IMAP
  • Outlook via Internet

  1. Immettere un valore per ogni servizio in base alla posizione (interna o esterna). La procedura guidata determina quindi i nomi host necessari nel certificato e le informazioni vengono visualizzate nella pagina successiva.

  2. Se si desidera modificare un valore per un servizio, selezionare Modifica (icona Modifica) e immettere il valore del nome host che si vuole usare (o eliminare il valore). Al termine dell'operazione, fai clic su Avanti.

    Nota

    Se è già stato determinato il valore del nome host necessario nel certificato, non è necessario immettere le informazioni in questa pagina. Selezionare invece Avanti per immettere manualmente i nomi host nella pagina successiva.

Verrà visualizzata la pagina In base alle selezioni effettuate, nella pagina del certificato verranno inclusi i domini seguenti . Questa pagina elenca i nomi host che verranno inclusi nella richiesta di certificato. Il nome host usato nella casella Oggetto del certificato è in grassetto, il che può essere difficile da verificare se il nome host è selezionato.

  1. Verificare le voci del nome host necessarie nel certificato facendo riferimento alle selezioni effettuate nella pagina precedente.

    Se non si vuole considerare questo elenco di nomi host da includere nella richiesta di certificato, passare al passaggio 10.

  2. Ignorare i valori dell'ultima pagina e aggiungere, modificare o rimuovere i valori dei nomi host eseguendo la procedura seguente: a. Se si vuole un certificato SAN: per selezionare il nome host per il campo Oggetto del certificato, selezionare il valore e selezionare Imposta come nome comune (segno di spunta). Il valore verrà visualizzato in grassetto. b. Se si vuole un certificato per un singolo nome host: selezionare gli altri valori uno alla volta e selezionare Rimuovi (icona Rimuovi).

    Nota

    Non è possibile eliminare il valore del nome host in grassetto che verrà usato per la casella Oggetto del certificato. Prima di tutto, è necessario selezionare o aggiungere un nome host diverso e quindi selezionare la casella Imposta come nome comune . Le modifiche apportate in questa pagina potrebbero andare perse se si seleziona il pulsante Indietro .

  3. Nella pagina Specifica le informazioni sulla tua organizzazione, immettere i seguenti valori:

  • Nome dell'organizzazione
  • Nome reparto
  • Città/Località
  • Stato/Provincia
  • Nome Paese/Area geografica:

Nota

Questi valori X.500 sono inclusi nella casella Oggetto del certificato. Sebbene sia necessario un valore in ogni campo prima di procedere, l'autorità di certificazione potrebbe non preoccuparsi di determinati campi (ad esempio , nome reparto), mentre altri campi sono importanti (ad esempio, nome paese/area geografica e nome organizzazione). Selezionare i requisiti della casella Oggetto dell'autorità di certificazione.

  1. Al termine dell'operazione, fai clic su Avanti.

  2. Nella pagina Salva la richiesta di certificato nella pagina del file seguente immettere il percorso UNC e il nome file per la richiesta di certificato, \\FileServer01\Data\ExchCertRequest.reqad esempio . Al termine, selezionare Fine.

Verrà visualizzata la richiesta di certificato nell'elenco dei certificati Exchange con un valore di stato In sospeso. Per altre informazioni sui passaggi successivi, vedere la sezione Passaggi successivi .

Creazione di una nuova richiesta di certificato tramite Exchange Management Shell

Per creare una nuova richiesta per un certificato con caratteri jolly, un certificato SAN o un certificato per un singolo host, usare la sintassi seguente:

  • Se è necessario inviare il contenuto del file di richiesta del certificato alla CA, usare la sintassi seguente per creare un file di richiesta con codifica Base64:

    $txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

  • Se è necessario inviare il file della richiesta di certificato alla CA, usare la sintassi seguente per creare un file di richiesta con codifica DER:

    $binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)

Nota

L'unica parte necessaria del valore del parametro SubjectName X.500 (casella Oggetto del certificato) per eseguire il comando è CN=<HostNameOrFQDN>. Tuttavia, è consigliabile includere sempre il C=<CountryOrRegion> valore . In caso contrario, potrebbe non essere possibile rinnovare il certificato. Selezionare i requisiti della casella Oggetto dell'autorità di certificazione. Se non si usa il parametro KeySize , la richiesta di certificato ha una chiave pubblica RSA a 2048 bit. Se non si usa il parametro Server , il comando viene eseguito nel server Exchange locale.

Per ulteriori informazioni sulla sintassi e sui parametri, vedere New-ExchangeCertificate.

Richiesta di certificato con caratteri jolly

Questi esempi creano file di richiesta di certificato per i certificati con caratteri jolly con le proprietà seguenti:

  • SubjectName: *.contoso.com nel Stati Uniti, che richiede il valore C=US,CN=*.contoso.com.
  • RequestFile: \\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx>
  • FriendlyName: Contoso.com Cert con caratteri jolly

Per creare un file di richiesta con codifica Base64 per il certificato con caratteri jolly, eseguire il comando seguente:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Per creare un file di richiesta con codifica DER per il certificato con caratteri jolly, eseguire il comando seguente:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)

Richiesta di certificato SAN

Questi esempi creano file di richiesta di certificato per i certificati SAN con le proprietà seguenti:

  • SubjectName: mail.contoso.com nel Stati Uniti, che richiede il valore C=US,CN=mail.contoso.com. Questo valore CN viene incluso automaticamente nel parametro DomainName (campo Subject Alternative Name ).
  • Altri valori di campo Nome alternativo soggetto :
    • autodiscover.contoso.com
    • legacy.contoso.com
    • mail.contoso.net
    • autodiscover.contoso.net
    • legacy.contoso.net
  • RequestFile: \\FileServer01\Data\Contoso SAN Cert.<cer or pfx>
  • FriendlyName: Contoso.com certificato SAN
  • DomainName: elenco di domini delimitati da virgole senza virgole

Per creare un file di richiesta con codifica Base64 per il certificato SAN, eseguire il comando seguente:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Per creare un file di richiesta con codifica DER per il certificato SAN, eseguire il comando seguente:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)

Richiesta di certificato soggetto singolo

Questi esempi creano file di richiesta di certificato per certificati a soggetto singolo con le proprietà seguenti:

  • SubjectName: mail.contoso.com nel Stati Uniti, che richiede il valore C=US,CN=mail.contoso.com.
  • RequestFile: \\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx>
  • FriendlyName: Mail.contoso.com Cert

Per creare un file di richiesta con codifica Base64 per il certificato soggetto singolo, eseguire il comando seguente:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Per creare un file di richiesta con codifica DER per il certificato soggetto singolo, eseguire il comando seguente:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)

Come si fa a sapere che questi comandi funzionano?

Per verificare che sia stata creata correttamente una nuova richiesta di certificato, seguire questa procedura:

  • Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare se il server in cui è stata archiviata la richiesta di certificato è selezionato. La richiesta deve essere nell'elenco dei certificati con il valore del parametro Status impostato su Richiesta in sospeso.

  • In Exchange Management Shell, nel server in cui è archiviata la richiesta di certificato, eseguire il seguente comando:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Passaggi successivi

Il contenuto di un file di richiesta di certificato con codifica Base64 è simile all'esempio descritto di seguito:

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEBjCCAu4CAQAwYzEWMBQGA1UEAwwNKi5jb250b3NvLmNvbTELMAkGA1UECwwC
SVQxEDAOBgNVBAoMB0NvbnRvc28xEDAOBgNVBAcMB1NlYXR0bGUxCzAJBgNVBAgM
AldBMQswCQYDVQQGEwJVUzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
ANZFK6JxcQMEBitJcEC82vCvr6251o28CMmrpIkl7Z0MnkCrU+BMTLBuZnIgaLvb
jlzORvH6DP/dbyR8gQEAHVrXVWdr3AJIRbqQXWwN++BM5b2O6lIrA8w41XwGNu6r
dtddi+POf8UYwot7PXw6wDsbKaTs1ePVK/0XdemdJCFIXNfCT8LY4p/KryQAyquo
XDa+Acbx7TRxG2kXNAxgPGve+mvyCyizbugXAJIz4nugJ2k/X1kGYDc7f/b80tCv
bPTcGCr09ScsbKmsQcqJ7UxiX2tScpO5AQxNxJHGL+bA6+96FBjPnFZaqPbFgI74
N6hmZdSEDgQlaGfLEGjZBGMCAwEAAaCCAVwwGgYKKwYBBAGCNw0CAzEMFgo2LjEu
NzYwMS4yMEwGCSqGSIb3DQEJDjE/MD0wDgYDVR0PAQH/BAQDAgWgMAwGA1UdEwEB
/wQCMAAwHQYDVR0OBBYEFNRw1o74zcuGyky33rl7WChgdQrlMHIGCisGAQQBgjcN
AgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA
bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA
ZABlAHIDAQAwfAYJKwYBBAGCNxUUMW8wbQIBBQwrRVhIUi0zMjQ4LkVYSFItMzI0
OGRvbS5leHRlc3QubWljcm9zb2Z0LmNvbQwXRVhIUi0zMjQ4RE9NXEVYSFItMzI0
OCQMIk1pY3Jvc29mdC5FeGNoYW5nZS5TZXJ2aWNlSG9zdC5leGUwDQYJKoZIhvcN
AQEFBQADggEBAL63qVj1m2mBz53+nilnlFweOlcltXoxaF28+Kf0hrJVbH5a2Jme
tS0iKU8YXU3mZ3NnWco+5ea024f9awMIzg4z/heE5yEUFf9UtwRGSOc84r2QexPa
zT/rveTTcbliKU0EFhporl3C2uuBCdAewyLj+/k0hABH3djnmMONG6NyC5f+wMun
kkH5naiSLdsTYbq8jkWYuSqL0qdhtmauqWeAPpA0hKDkQk5eDWpOGx3mgxiaQumo
Rqw6dmQ+o8TC+lE3Tvgdfv47A84X8H7Y9h8liS4h0OfbsgEQb8LcM0YHD6yvPgcD
JCmt8A7JFHF9u6mghjiKlXaZ/i+2l10Wsu8=
-----END NEW CERTIFICATE REQUEST-----

È necessario inviare queste informazioni alla CA. La modalità di invio dipende dalla CA, ma in genere si invia il contenuto del file in un messaggio di posta elettronica o nel modulo di richiesta del certificato nel sito Web della CA.

Se l'autorità di certificazione richiede una richiesta di certificato binario codificata da DER (è stato usato il cmdlet New-ExchangeCertificate con l’opzione BinaryEncoded), solitamente, l’intera richiesta di certificato viene inviata all'autorità di certificazione.

Dopo aver ricevuto il certificato dall'autorità di certificazione, è necessario completare la richiesta di certificato in sospeso. Per altre informazioni, vedere Completare una richiesta di certificato Exchange Server in sospeso.