Compartilhar via


Concluir uma solicitação de certificado de Exchange Server pendente

Concluir uma solicitação de certificado pendente (também conhecida como solicitação de assinatura de certificado ou CSR) é a próxima etapa na configuração da criptografia TLS (Transport Layer Security) no Exchange Server. Depois de receber o certificado da autoridade de certificação (AC), instale o certificado no servidor exchange para concluir a solicitação de certificado pendente.

Você pode concluir uma solicitação de certificado pendente no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange. Os procedimentos são os mesmos para concluir novas solicitações de certificado ou solicitações de renovação de certificado. Os procedimentos também são os mesmos para certificados emitidos por uma AC interna (por exemplo, Serviços de Certificado do Active Directory) ou uma AC comercial.

Você pode receber um ou mais dos seguintes tipos de ca de arquivos de certificado:

  • Arquivos de certificado PKCS #12: são arquivos de certificado binário que têm extensões .cer de nome de arquivo .crt, .der, .p12 ou .pfx e exigem uma senha quando o arquivo contém a chave privada ou a cadeia de confiança. A AC pode emitir apenas um arquivo de certificado binário que você precisa instalar (protegido por uma senha) ou vários arquivos de certificado binário raiz ou intermediário que você também precisa instalar.

  • Arquivos de certificado PKCS #7: são arquivos de certificado de texto que têm extensões de nome de arquivo .p7b ou .p7c. Esses arquivos contêm o texto: -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- ou e -----BEGIN PKCS7----------END PKCS7-----. Se a AC incluir um arquivo de cadeia de certificados com seu arquivo de certificado binário, você também precisará instalar a cadeia de arquivos de certificados.

Observação

As tarefas de gerenciamento de certificados são removidas do EAC para Exchange Server CU23 2016 e Exchange Server CU12 2019. Use o procedimento Shell de Gerenciamento do Exchange para exportar/importar o certificado dessas versões.

O que você precisa saber antes de começar?

  • Tempo estimado para conclusão: 5 minutos.

  • Os procedimentos neste tópico exigem que você tenha criado uma nova solicitação de certificado no servidor exchange, enviado a solicitação de certificado para a AC e recebido o certificado da AC. Para obter mais informações, consulte Create uma solicitação de certificado Exchange Server para uma autoridade de certificação.

  • No EAC, você precisa recuperar o arquivo de certificado de um caminho UNC (\\<Server>\<Share> ou \\<LocalServerName>\c$\). No Shell de Gerenciamento do Exchange, você pode usar um caminho de arquivo local.

  • Se você renovar ou substituir um certificado emitido por uma AC em um servidor de Transporte de Borda inscrito, precisará remover o certificado antigo e, em seguida, excluir e recriar a Assinatura do Edge. Para obter mais informações, confira Processo de Assinatura do Edge.

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Segurança dos serviços de acesso ao cliente" no tópico Permissões de clientes e dispositivos móveis .

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Usar o EAC para criar uma solicitação de certificado pendente

  1. Abra o EAC e navegue até Certificados de Servidores>.

  2. Na lista Selecionar servidor, selecione o servidor exchange que contém a solicitação de certificado pendente.

  3. Uma solicitação de certificado pendente tem as seguintes propriedades:

    • Na lista de certificados, o valor do campo Status é solicitação pendente.

    • Quando você seleciona a solicitação de certificado na lista, há um link Completo no painel de detalhes.

    Selecione a solicitação de certificado pendente que você deseja concluir e clique em Concluir no painel de detalhes.

  4. Na página Concluir solicitação pendente que abre, no campo Arquivo para importar do campo, insira o caminho UNC e o nome do arquivo para o arquivo de certificado. Por exemplo, \\FileServer01\Data\ContosoCert.cer. Quando terminar, clique em OK.

A solicitação de certificado torna-se um certificado na lista de certificados do Exchange com um valor status de Válido. Para as próximas etapas, confira a seção Próximas etapas.

Usar o Shell de Gerenciamento do Exchange para concluir uma solicitação de certificado pendente

Para concluir uma solicitação de certificado pendente, use a seguinte sintaxe:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Você usa essa sintaxe com os seguintes tipos de arquivos de certificado:

  • Arquivos de certificado binário (arquivos PKCS #12 que têm extensões de nome de arquivo .cer, .crt, .der, .p12 ou .pfx).
  • Cadeia de arquivos de certificados (arquivos de texto PKCS #7 que têm extensões de nome de arquivo .p7b ou .p7c).

Este exemplo importa o arquivo \\FileServer01\Data\Contoso Cert.cer de certificado binário protegido no servidor exchange local. É solicitado que você insira a senha.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)

Este exemplo importa o arquivo \\FileServer01\Data\Chain of Certificates.p7b de certificado de texto no servidor exchange local.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Observações:

  • O parâmetro FileData aceita caminhos locais se o arquivo de certificado estiver localizado no servidor exchange em que você está executando o comando, e este é o mesmo servidor em que você deseja importar o certificado. Caso contrário, use um caminho UNC.
  • Se você quiser poder exportar o certificado do servidor onde o está importando, precisará usar o parâmetro PrivateKeyExportable com o valor $true.
  • Para saber mais, veja Import-ExchangeCertificate.

Como saber se funcionou?

Para verificar se você concluiu com êxito a solicitação de certificado e instalou o certificado no servidor exchange, use um dos seguintes procedimentos:

  • No EAC em Certificados de Servidores>, verifique se o servidor em que você instalou o certificado está selecionado. Na lista de certificados, verifique se o certificado tem o valor da propriedade StatusVálido.

  • No Shell de Gerenciamento do Exchange no servidor em que você instalou o certificado, execute o seguinte comando e verifique se o certificado está listado:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Próximas etapas

Depois de concluir a solicitação de certificado pendente instalando o certificado no servidor, você precisará atribuir o certificado a um ou mais serviços do Exchange antes que o servidor exchange possa usar o certificado para criptografia. Para obter mais informações, consulte Atribuir certificados aos serviços do Exchange.