Atribuir certificados a serviços do Exchange Server
Depois de instalar um certificado em um servidor do Exchange, você precisará atribuir o certificado a um ou mais serviços do Exchange antes que o servidor exchange possa usar o certificado para criptografia. Você pode atribuir certificados a serviços no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange. Depois de atribuir um certificado a um serviço, você não poderá remover a atribuição. Se você não quiser mais usar um certificado para um serviço específico, precisará atribuir outro certificado ao serviço e remover o certificado que não deseja usar.
Os serviços do Exchange disponíveis são descritos na tabela a seguir.
| Serviço | Usa |
|---|---|
| IIS | Criptografia TLS para conexões de cliente internas e externas que usam HTTP. Isso inclui: Descoberta automática Exchange ActiveSync Centro de administração do Exchange Serviços Web do Exchange Distribuição do catálogo de endereços offline (OAB) Outlook em Qualquer Lugar (RPC sobre HTTP) MAPI sobre HTTP no Outlook Outlook na Web |
| IMAP | Criptografia TLS para conexões de cliente IMAP4. Não atribua um certificado curinga ao serviço IMAP4. Em vez disso, use o cmdlet Set-ImapSettings para configurar o FQDN (nome de domínio totalmente qualificado) que os clientes usam para se conectar ao serviço IMAP4. |
| POP | Criptografia TLS para conexões de cliente POP3. Não atribua um certificado curinga ao serviço POP3. Em vez disso, use o cmdlet Set-PopSettings para configurar o FQDN que os clientes usam para se conectarem ao serviço POP3. |
| SMTP | Criptografia TLS para conexões de servidor e cliente SMTP externos. Autenticação de TLS mútua entre o Exchange e outros servidores de mensagens. Ao atribuir um certificado ao SMTP, você será solicitado a substituir o certificado autoassinado padrão do Exchange usado para criptografar a comunicação SMTP entre servidores internos do Exchange. Normalmente, você não precisa substituir o certificado SMTP padrão. |
| UM (Unificação de Mensagens) | Criptografia TLS para conexões de cliente com o serviço UM de back-end em servidores de caixa de correio do Exchange 2016. Você só pode atribuir um certificado ao serviço UM quando a propriedade de modo de inicialização um do serviço é definida como TLS ou Dual. Se o modo de inicialização um estiver definido como o TCP de valor padrão, você não poderá atribuir o certificado ao serviço UM. (Observação: um não está disponível no Exchange 2019). Para obter mais informações, consulte Configurar o modo de inicialização em um servidor de caixa de correio. |
| Roteador de Chamada de Mensagens Unificadas (UMCallRouter) | Criptografia TLS para conexões de cliente com o serviço roteador de chamada um nos serviços de Acesso ao Cliente em servidores da caixa de correio do Exchange 2016. Você só pode atribuir um certificado ao serviço roteador de chamada um quando a propriedade de modo de inicialização um do serviço estiver definida como TLS ou Dual. Se o modo de inicialização um estiver definido como o TCP de valor padrão, você não poderá atribuir o certificado ao serviço roteador de chamada um. (Observação: um não está disponível no Exchange 2019). Para obter mais informações, consulte Configurar o modo de inicialização em um servidor de acesso ao cliente. |
O que você precisa saber antes de começar?
Tempo estimado para conclusão: 5 minutos.
Depois de fazer os procedimentos neste tópico, talvez seja necessário reiniciar o IIS (Serviços de Informações da Internet). Em alguns cenários, o Exchange pode continuar a usar o certificado anterior para criptografar e descriptografar o cookie usado para autenticação Outlook na Web (anteriormente conhecida como Outlook Web App). Recomendamos reiniciar o IIS em ambientes que usam balanceamento de carga da Camada 4.
Se você renovar ou substituir um certificado emitido por uma AC em um servidor de Transporte de Borda inscrito, precisará remover o certificado antigo e, em seguida, excluir e recriar a Assinatura do Edge. Para obter mais informações, confira Processo de Assinatura do Edge.
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Segurança dos serviços de acesso ao cliente" no tópico Permissões de clientes e dispositivos móveis .
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.
Usar o EAC para atribuir um certificado aos serviços do Exchange
Abra o EAC e navegue até Certificados de Servidores>.
Na lista Selecionar servidor , selecione o servidor exchange que contém o certificado.
Selecione o certificado que você deseja configurar e clique em Editar
. O certificado precisa ter o valor statusválido.Na guia Serviços , na seção Especificar os serviços aos quais você deseja atribuir esse certificado , selecione os serviços. Lembre-se de que você pode adicionar serviços, mas não pode removê-los. Quando concluir, clique em Salvar.
Use o Shell de Gerenciamento do Exchange para atribuir um certificado aos serviços do Exchange
Para atribuir um certificado aos serviços do Exchange, use a seguinte sintaxe:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
Este exemplo atribui o certificado que tem o valor 434AC224C8459924B26521298CE8834C514856AB da impressão digital aos serviços POP, IMAP, IIS e SMTP.
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
Você pode encontrar o valor da impressão digital do certificado usando o cmdlet Get-ExchangeCertificate .
Como saber se funcionou?
Para verificar se você atribuiu com êxito um certificado a um ou mais serviços do Exchange, use um dos seguintes procedimentos:
No EAC em Certificados de Servidores>, verifique se o servidor em que você instalou o certificado está selecionado. Selecione o certificado e, no painel de detalhes, verifique se a propriedade Atribuído a serviços contém os serviços selecionados.
No Shell de Gerenciamento do Exchange no servidor em que você instalou o certificado, execute o seguinte comando para verificar os serviços do Exchange para obter o certificado:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services