Share via

Importar ou instalar um certificado em um servidor exchange

  • Artigo

Para habilitar a criptografia para um ou mais serviços do Exchange, o servidor do Exchange precisa usar um certificado. A comunicação SMTP entre os servidores internos do Exchange é criptografado pelo certificado autoassinado padrão instalado no servidor do Exchange. Para criptografar a comunicação com clientes internos ou externos, servidores ou serviços, você provavelmente vai querer usar um certificado que seja confiável automaticamente para todos os clientes, serviços e servidores que se conectarem à sua organização do Exchange. Para saber mais, confira Requisitos de certificado para serviços Exchange.

Você pode importar (instalar) certificados em servidores do Exchange no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange.

Estes são os tipos de arquivos de certificado que podem ser importados em um servidor do Exchange:

  • Arquivos de certificado PKCS #12: são arquivos de certificado binário que têm extensões .cer de nome de arquivo .crt, .der, .p12 ou .pfx e exigem uma senha quando o arquivo contém a chave privada ou a cadeia de confiança. Exemplos desses tipos de arquivos são:

    • Certificados autoassinados que foram exportados de outros servidores do Exchange usando o EAC ou o Export-ExchangeCertificate com o valor $truedo parâmetro PrivateKeyExportable . Para saber mais, veja Exportar um certificado de um servidor do Exchange.

    • Certificados que foram emitidos por uma autoridade de certificação (uma CA interna como serviços de certificado do Active Directory ou uma CA comercial).

    • Certificados que foram exportados de outros servidores (por exemplo, Skype for Business Server).

  • Arquivos de certificado PKCS #7: são arquivos de certificado de texto que têm extensões de nome de arquivo .p7b ou .p7c. Esses arquivos contêm o texto: -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- ou e -----BEGIN PKCS7----------END PKCS7-----. Uma autoridade de certificado pode incluir uma cadeia de arquivos de certificados que também precisa ser instalada junto com o arquivo de certificado binário real.

Observação

As tarefas de gerenciamento de certificados são removidas do EAC para Exchange Server CU23 2016 e Exchange Server CU12 2019. Use o procedimento Shell de Gerenciamento do Exchange para exportar/importar o certificado dessas versões.

O que você precisa saber antes de começar?

  • Tempo estimado para conclusão: 5 minutos.

  • No EAC, você precisa importar o arquivo de certificado de um caminho UNC (\\<Server>\<Share>\ ou \\<LocalServerName>\c$\). No Shell de Gerenciamento do Exchange, você pode especificar um caminho local.

  • No EAC, você pode importar o arquivo de certificado em vários servidores do Exchange ao mesmo tempo (etapa 4 no procedimento).

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Segurança dos serviços de acesso ao cliente" no tópico Permissões de clientes e dispositivos móveis .

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Use o EAC para importar um certificado em um ou mais servidores do Exchange

  1. Abra o EAC e navegue até Certificados de Servidores>.

  2. Na lista Selecionar servidor, selecione o servidor do Exchange em que você deseja instalar o certificado, clique em Mais opçõesícone Mais Opções.e selecione Importar certificado do Exchange.

  3. O assistente Importar o certificado do Exchange abre. Na página Este assistente irá importar um certificado de um arquivo, insira as seguintes informações:

    • Arquivo do qual importar: insira o caminho UNC e o nome do arquivo de certificado. Por exemplo, \\FileServer01\Data\Fabrikam.cer

    • Senha: se o arquivo de certificado contiver a chave privada ou a cadeia de confiança, o arquivo será protegido por uma senha. Insira a senha aqui.

    Ao terminar, clique em Avançar.

  4. Na página Especificar os servidores que você deseja aplicar esse certificado à página, clique em Adicionar ícone Adicionar.

    Na página Selecionar um servidor que abre, selecione o servidor do Exchange onde você deseja instalar o certificado e clique em Adicionar - >. Repita essa etapa quantas vezes forem necessárias. Quando terminar de selecionar servidores, clique em OK.

    Quando terminar, clique em Concluir. Para as próximas etapas, confira a seção Próximas etapas.

Use o Shell de Gerenciamento do Exchange para importar um certificado em um servidor do Exchange

Para importar um arquivo de certificado, use a seguinte sintaxe:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Você usa essa sintaxe com os seguintes tipos de arquivos de certificado:

  • Arquivos de certificado binário (arquivos PKCS #12 que têm extensões de nome de arquivo .cer, .crt, .der, .p12 ou .pfx).
  • Cadeia de arquivos de certificados (arquivos de texto PKCS #7 que têm extensões de nome de arquivo .p7b ou .p7c).

Este exemplo importa o arquivo \\FileServer01\Data\Fabrikam.pfx de certificado protegido pela senha P@ssw0rd1 no servidor exchange local. É solicitado que você insira a senha.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

Este exemplo importa a cadeia de arquivos \\FileServer01\Data\Chain of Certificates.p7bde certificados .

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Import-ExchangeCertificate.

Observações:

  • Você precisa repetir esse procedimento em cada servidor do Exchange em que deseja importar o certificado (execute o comando no servidor ou use o parâmetro Server ).
  • O parâmetro FileData aceita caminhos locais se o arquivo de certificado estiver localizado no servidor exchange em que você está executando o comando, e este é o mesmo servidor em que você deseja importar o certificado. Caso contrário, use um caminho UNC.
  • Se você quiser poder exportar o certificado do servidor onde o está importando, precisará usar o parâmetro PrivateKeyExportable com o valor $true.

Como saber se funcionou?

Para verificar se você tiver importou (instalou) com êxito um certificado em um servidor do Exchange, use um dos seguintes procedimentos:

  • No EAC em Certificados de Servidores>, verifique se o servidor em que você instalou o certificado está selecionado. O certificado deve estar na lista de certificados com o valor StatusVálido.

  • No Shell de Gerenciamento do Exchange do servidor em que você instalou o certificado, execute o seguinte comando:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Próximas etapas

Depois de instalar o certificado no servidor, você precisará atribuir o certificado a um ou mais serviços do Exchange antes de o servidor do Exchange poder usar o certificado de criptografia. Para obter mais informações, consulte Atribuir certificados a serviços de Exchange Server.