Criar um novo certificado autoassinado Exchange Server

Quando você instala Exchange Server, um certificado autoassinado criado e assinado pelo próprio servidor do Exchange é instalado automaticamente no servidor. No entanto, você também pode criar certificados autoassinados adicionais que você pode usar.

Você pode criar certificados autoassinados no Centro de Administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange.

O que você precisa saber antes de começar?

• Tempo estimado para conclusão: 5 minutos.

• Os certificados autoassinados do Exchange funcionam bem para criptografar a comunicação entre servidores internos do Exchange, mas não tão bem para criptografar conexões externas, pois clientes, servidores e serviços não confiam automaticamente em certificados autoassinados do Exchange. Para criar uma solicitação de certificado (também conhecida como uma solicitação de assinatura de certificado ou CSR) para uma autoridade de certificação comercial confiável automaticamente por todos os clientes, servidores e serviços, consulte Criar um Exchange Server solicitação de certificado para uma autoridade de certificação.

• Ao criar um novo certificado autoassinado usando o cmdlet New-ExchangeCertificate , você pode atribuir o certificado aos serviços do Exchange durante a criação do certificado. Para obter mais informações sobre os serviços do Exchange, consulte Atribuir certificados aos serviços de Exchange Server.

• Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Segurança dos serviços de acesso ao cliente" no tópico Permissões de clientes e dispositivos móveis .

• Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Usar o EAC para criar um novo certificado autoassinado do Exchange

1. Abra o EAC e navegue até Certificados de Servidores>.

2. Na lista Selecionar servidor, selecione o servidor exchange em que você deseja instalar o certificado e clique em Adicionar.

3. O assistente de certificado do New Exchange é aberto. No assistente, esse assistente criará um novo certificado ou uma página de arquivo de solicitação de certificado, selecione Criar um certificado autoassinado e clique em Avançar.

   Nota: Para criar uma nova solicitação de certificado para uma autoridade de certificado, consulte Criar um Exchange Server solicitação de certificado para uma autoridade de certificação.

4. Na página Nome amigável para este certificado , insira um nome amigável para o certificado e clique em Avançar.

5. Na página Especificar os servidores que você deseja aplicar esse certificado à página, clique em

   Na página Selecionar um servidor que abre, selecione o servidor do Exchange onde você deseja instalar o certificado e clique em Adicionar - >. Repita essa etapa quantas vezes forem necessárias. Quando terminar de selecionar servidores, clique em OK.

   Ao terminar, clique em Avançar.

6. A Especificar os domínios que você deseja incluir em sua página de certificado é basicamente uma planilha que ajuda você a determinar os nomes de host internos e externos necessários no certificado para os seguintes serviços do Exchange:

   • Outlook na Web

   • Geração de catálogo de endereços offline (OAB)

   • Serviços de Web do Exchange

   • Exchange ActiveSync

   • Descoberta automática

   • POP

   • IMAP

   • Outlook em Qualquer Lugar

     Se você inserir um valor para cada serviço com base no local (interno ou externo), o assistente determinará os nomes de host necessários no certificado e as informações serão exibidas na próxima página. Para modificar um valor para um serviço, clique em Editar () e insira o valor do nome do host que você deseja usar (ou exclua o valor). Ao terminar, clique em Avançar.

     Se você já determinou os valores de nome do host necessários no certificado, não precisará preencher as informações nesta página. Em vez disso, clique em Avançar para inserir manualmente os nomes do host na próxima página.

7. O Com base em suas seleções, os domínios a seguir serão incluídos em sua página de certificado lista os nomes de host que serão incluídos no certificado autoassinado. O nome do host usado no campo Assunto do certificado é em negrito, o que pode ser difícil de ver se esse nome de host está selecionado. Você pode verificar as entradas de nome do host que são necessárias no certificado com base nas seleções feitas na página anterior. Ou você pode ignorar os valores da última página e adicionar, editar ou remover valores de nome do host.

   • Se você quiser um certificado SAN, o campo Assunto ainda exigirá um valor CN (nome comum). Para selecionar o nome do host para o campo Assunto do certificado, selecione o valor e clique em Definir como nome comum (marca de seleção). O valor agora deve aparecer em negrito.

   • Se você quiser um certificado para um único nome de host, selecione os outros valores um de cada vez e clique em Remover ().

     Quando terminar esta página, clique em Concluir.

   Observações:

   • Você não pode excluir o valor do nome do host em negrito que será usado para o campo Assunto do certificado. Primeiro, você precisa selecionar ou adicionar um nome de host diferente e, em seguida, clicar em Definir como nome comum (marca de seleção).
   • As alterações feitas nesta página podem ser perdidas se você clicar no botão Voltar .

Use o Shell de Gerenciamento do Exchange para criar um novo certificado autoassinado do Exchange

Para criar um novo certificado autoassinado do Exchange, use a seguinte sintaxe:

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

Este exemplo cria um certificado autoassinado no servidor exchange local com as seguintes propriedades:

• Assunto: <ServerName>. Por exemplo, se você executar o comando no servidor chamado Mailbox01, o valor será Mailbox01.
• Nomes alternativos de assunto: <ServerName>, <Server FQDN>. Por exemplo, Mailbox01, Mailbox01.contoso.com.
• Nome amigável: Microsoft Exchange
• Serviços: POP, IMAP, SMTP.

New-ExchangeCertificate

Este exemplo cria um certificado autoassinado no servidor exchange local com as seguintes propriedades:

• Assunto: Exchange01, que requer o valor CN=Exchange01. Observe que esse valor é incluído automaticamente no parâmetro DomainName (o campo Nome Alternativo do Assunto ).
• Nomes alternativos de assunto adicionais:
  • mail.contoso.com
  • autodiscover.contoso.com
  • Exchange01.contoso.com
  • Exchange02.contoso.com
• Serviços: SMTP, IIS
• Nome amigável: Certificado contoso exchange
• A chave privada é exportável. Isso permite exportar o certificado do servidor (e importá-lo em outros servidores).

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Observações:

• A única parte necessária do valor do parâmetro X.500 SubjectName (o campo Assunto do certificado) é CN=<HostNameOrFQDN>.
• Alguns valores de parâmetro dos Serviços geram mensagens de aviso ou confirmação. Para obter mais informações, consulte Atribuir certificados a serviços de Exchange Server.
• Para obter mais informações, consulte New-ExchangeCertificate.

Como saber se funcionou?

Para verificar se você criou com êxito um certificado autoassinado do Exchange, execute uma das seguintes etapas:

• No EAC em Certificados de Servidores>, verifique se o servidor em que você criou o certificado autoassinado está selecionado. O certificado deve estar na lista de certificados com o valor StatusVálido.

• No Shell de Gerenciamento do Exchange no servidor em que você criou o certificado autoassinado, execute o seguinte comando e verifique as propriedades:

  Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter