Importar ou instalar um certificado num servidor Exchange
Para habilitar a criptografia para um ou mais serviços do Exchange, o servidor do Exchange precisa usar um certificado. A comunicação SMTP entre os servidores internos do Exchange é criptografado pelo certificado autoassinado padrão instalado no servidor do Exchange. Para criptografar a comunicação com clientes internos ou externos, servidores ou serviços, você provavelmente vai querer usar um certificado que seja confiável automaticamente para todos os clientes, serviços e servidores que se conectarem à sua organização do Exchange. Para saber mais, confira Requisitos de certificado para serviços Exchange.
Você pode importar (instalar) certificados em servidores do Exchange no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange.
Estes são os tipos de arquivos de certificado que podem ser importados em um servidor do Exchange:
Ficheiros de certificado PKCS #12: estes são ficheiros de certificado binário que têm extensões de nome de ficheiro .cer, .crt, .der, .p12 ou .pfx e requerem uma palavra-passe quando o ficheiro contém a chave privada ou cadeia de fidedignidade. Exemplos desses tipos de arquivos são:
Certificados autoassinados que foram exportados a partir de outros servidores do Exchange com o EAC ou o Export-ExchangeCertificate com o valor
$true
do parâmetro PrivateKeyExportable . Para saber mais, veja Exportar um certificado de um servidor do Exchange.Certificados que foram emitidos por uma autoridade de certificação (uma CA interna como serviços de certificado do Active Directory ou uma CA comercial).
Certificados que foram exportados de outros servidores (por exemplo, Skype for Business Server).
Ficheiros de certificado PKCS #7: estes são ficheiros de certificado de texto que têm extensões de nome de ficheiro .p7b ou .p7c. Estes ficheiros contêm o texto:
-----BEGIN CERTIFICATE-----
e-----END CERTIFICATE-----
ou-----BEGIN PKCS7-----
e-----END PKCS7-----
. Uma autoridade de certificação pode incluir uma cadeia de ficheiros de certificados que também precisa de ser instalada juntamente com o ficheiro de certificado binário real.
Observação
As tarefas de gestão de certificados são removidas do EAC para Exchange Server 2016 CU23 e Exchange Server 2019 CU12. Utilize o procedimento da Shell de Gestão do Exchange para exportar/importar o certificado a partir destas versões.
O que você precisa saber antes de começar?
Tempo estimado para conclusão: 5 minutos.
No EAC, tem de importar o ficheiro de certificado de um caminho UNC (
\\<Server>\<Share>\
ou\\<LocalServerName>\c$\
). No Shell de Gerenciamento do Exchange, você pode especificar um caminho local.No EAC, você pode importar o arquivo de certificado em vários servidores do Exchange ao mesmo tempo (etapa 4 no procedimento).
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no tópico Permissões de clientes e dispositivos móveis .
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.
Use o EAC para importar um certificado em um ou mais servidores do Exchange
Abra o EAC e navegue para Certificados de Servidores>.
Na lista Selecionar servidor, selecione o servidor Exchange onde pretende instalar o certificado, clique em Mais e selecione Importar certificado do Exchange.
O assistente Importar o certificado do Exchange abre. Na página Este assistente irá importar um certificado de um arquivo, insira as seguintes informações:
Ficheiro a importar: introduza o caminho UNC e o nome do ficheiro de certificado. Por exemplo,
\\FileServer01\Data\Fabrikam.cer
Palavra-passe: se o ficheiro de certificado contiver a chave privada ou a cadeia de fidedignidade, o ficheiro é protegido por uma palavra-passe. Insira a senha aqui.
Ao terminar, clique em Avançar.
Na página Especificar os servidores aos quais pretende aplicar este certificado, clique no
Na página Selecionar um servidor que abre, selecione o servidor do Exchange onde você deseja instalar o certificado e clique em Adicionar - >. Repita essa etapa quantas vezes forem necessárias. Quando terminar de selecionar servidores, clique em OK.
Quando tiver terminado, clique em Concluir. Para as próximas etapas, confira a seção Próximas etapas.
Use o Shell de Gerenciamento do Exchange para importar um certificado em um servidor do Exchange
Para importar um ficheiro de certificado, utilize a seguinte sintaxe:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
Utilize esta sintaxe com os seguintes tipos de ficheiros de certificado:
- Ficheiros de certificado binário (ficheiros PKCS #12 com extensões de nome de ficheiro .cer, .crt, .der, .p12 ou .pfx).
- Cadeia de ficheiros de certificados (ficheiros de texto PKCS #7 com extensões de nome de ficheiro .p7b ou .p7c).
Este exemplo importa o ficheiro \\FileServer01\Data\Fabrikam.pfx
de certificado protegido pela palavra-passe P@ssw0rd1 no servidor Exchange local. É-lhe pedido que introduza a palavra-passe.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)
Este exemplo importa a cadeia de ficheiros \\FileServer01\Data\Chain of Certificates.p7b
de certificados .
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Import-ExchangeCertificate.
Observações:
- Tem de repetir este procedimento em cada servidor Exchange onde pretende importar o certificado (execute o comando no servidor ou utilize o parâmetro Servidor ).
- O parâmetro FileData aceita caminhos locais se o ficheiro de certificado estiver localizado no servidor Exchange onde está a executar o comando e este é o mesmo servidor onde pretende importar o certificado. Caso contrário, use um caminho UNC.
- Se pretender exportar o certificado do servidor onde o está a importar, tem de utilizar o parâmetro PrivateKeyExportable com o valor
$true
.
Como saber se funcionou?
Para verificar se você tiver importou (instalou) com êxito um certificado em um servidor do Exchange, use um dos seguintes procedimentos:
No EAC em Certificados de Servidores>, verifique se o servidor onde instalou o certificado está selecionado. O certificado deve estar na lista de certificados com o valor StatusVálido.
No Shell de Gerenciamento do Exchange do servidor em que você instalou o certificado, execute o seguinte comando:
Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Próximas etapas
Depois de instalar o certificado no servidor, você precisará atribuir o certificado a um ou mais serviços do Exchange antes de o servidor do Exchange poder usar o certificado de criptografia. Para obter mais informações, veja Atribuir certificados aos serviços do Exchange Server.