Compartilhar via


Renovar um certificado Exchange Server

Cada certificado tem uma data de validade interna. Em Exchange Server, o certificado autoassinado padrão instalado no servidor exchange expira cinco anos após a instalação do Exchange no servidor. Você pode usar o Centro de Administração do Exchange (EAC) ou o Shell de Gerenciamento do Exchange para renovar certificados do Exchange. Isso inclui certificados autoassinados do Exchange e certificados emitidos por uma autoridade de certificação (AC).

Observação

As tarefas de gerenciamento de certificados são removidas do EAC para Exchange Server CU23 2016 e Exchange Server CU12 2019. Use o procedimento Shell de Gerenciamento do Exchange para exportar/importar o certificado dessas versões.

Do que você precisa saber para começar?

  • Tempo estimado para conclusão: 5 minutos

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

  • Para certificados emitidos por uma AC, verifique os requisitos de solicitação de certificado da AC. O Exchange gera um arquivo PKCS #10 request (.req) que usa a codificação Base64 (padrão) ou Distinguished Encoding Rules (DER), com uma chave pública RSA 1024, 2048 (padrão) ou 4096 bits. Observe que as opções de codificação e chave pública só estão disponíveis no Shell de Gerenciamento do Exchange.

  • Para renovar um certificado emitido por uma AC, você precisa renovar o certificado com a mesma AC que emitiu o certificado. Se você estiver alterando CAs ou se houver um problema com o certificado original ao tentar renová-lo, precisará criar uma nova solicitação de certificado (também conhecida como uma solicitação de assinatura de certificado ou CSR) para um novo certificado. Para obter mais informações, consulte Criar uma solicitação de certificado Exchange Server para uma autoridade de certificação.

  • Se você renovar ou substituir um certificado emitido por uma AC em um servidor de Transporte de Borda inscrito, precisará remover o certificado antigo e, em seguida, excluir e recriar a Assinatura do Edge. Para obter mais informações, confira Processo de Assinatura do Edge.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Segurança dos serviços de acesso ao cliente" no tópico Permissões de clientes e dispositivos móveis .

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Renovar um certificado emitido por uma autoridade de certificação

Os procedimentos são os mesmos para certificados emitidos por uma AC interna (por exemplo, Serviços de Certificado do Active Directory) ou uma AC comercial.

Para renovar um certificado emitido por uma AC, crie uma solicitação de renovação de certificado e envie a solicitação para a AC. Em seguida, a AC envia o arquivo de certificado real que você precisa instalar no servidor exchange. O procedimento é quase idêntico ao de concluir uma nova solicitação de certificado instalando o certificado no servidor. Para obter instruções, consulte Concluir uma solicitação de certificado de Exchange Server pendente.

Use o EAC para criar uma solicitação de renovação de certificado para uma autoridade de certificação

  1. Abra o EAC e navegue até Certificados de Servidores>.

  2. Na lista Selecionar servidor, selecione o servidor exchange que contém o certificado que você deseja renovar.

  3. Todos os certificados válidos têm um link Renovar no painel de detalhes que fica visível quando você seleciona o certificado na lista. Selecione o certificado que você deseja renovar e clique em Renovar no painel de detalhes.

  4. Na página Renovar certificado do Exchange que abre, no campo Salvar a solicitação de certificado para o campo de arquivo a seguir , insira o caminho e o nome do arquivo UNC para o novo arquivo de solicitação de renovação de certificado. Por exemplo, \\FileServer01\Data\ContosoCertRenewal.req. Quando terminar, clique em OK.

A solicitação de certificado aparece na lista de certificados do Exchange com um valor de status de Pending.

Use o Shell de Gerenciamento do Exchange para criar uma solicitação de renovação de certificado para uma autoridade de certificação

Para criar uma nova solicitação de renovação de certificado para uma autoridade de certificação, use a seguinte sintaxe:

  • Se você precisar enviar o conteúdo do arquivo de solicitação de renovação de certificado para a AC, use a seguinte sintaxe para criar um arquivo de solicitação codificado base64:

    $txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
    
  • Se você precisar enviar o arquivo de solicitação de renovação de certificado para a AC, use a seguinte sintaxe para criar um arquivo de solicitação codificado pelo DER:

    $binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
    [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
    

Para localizar o valor da impressão digital do certificado que você deseja renovar, execute o seguinte comando:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-ExchangeCertificate e New-ExchangeCertificate.

Observações:

  • Se você não usar o parâmetro KeySize , a solicitação de certificado terá uma chave pública RSA de 2048 bits.
  • Se você não usar o parâmetro Server , o comando será executado no servidor exchange local.

Este exemplo cria uma solicitação de renovação de certificado codificada base64 para o certificado existente com o valor 5DB9879E38E36BCB60B761E29794392B23D1C054de impressão digital :

$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Este exemplo cria uma solicitação de renovação de certificado codificada de DER (binário) para o mesmo certificado:

$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)

Como você sabe que criou com êxito uma solicitação de renovação de certificado?

Para verificar se você criou com êxito uma solicitação de renovação de certificado para uma autoridade de certificação, execute uma das seguintes etapas:

  • No EAC em Certificados de Servidores>, verifique se o servidor em que você armazenou a solicitação de certificado está selecionado. A solicitação deve estar na lista de certificados com o valor statuspendente.

  • No Shell de Gerenciamento do Exchange no servidor em que você armazenou a solicitação de certificado, execute o seguinte comando:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
    

Renovar um certificado autoassinado do Exchange

Quando você renova um certificado autoassinado do Exchange, você está basicamente fazendo um novo certificado.

Usar o EAC para renovar um certificado autoassinado do Exchange

  1. Abra o EAC e navegue até Certificados de Servidores>.

  2. Na lista Selecionar servidor, selecione o servidor exchange que contém o certificado que você deseja renovar.

  3. Todos os certificados válidos têm um link Renovar no painel de detalhes que fica visível quando você seleciona o certificado na lista. Selecione o certificado que você deseja renovar e clique em Renovar no painel de detalhes.

  4. Na página Renovar certificado do Exchange aberta, verifique a lista somente leitura dos serviços do Exchange aos quais o certificado existente está atribuído e clique em OK.

Use o Shell de Gerenciamento do Exchange para renovar um certificado autoassinado do Exchange

Para renovar um certificado autoassinado, use a seguinte sintaxe:

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

Para localizar o valor da impressão digital do certificado que você deseja renovar, execute o seguinte comando:

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Este exemplo renova um certificado autoassinado no servidor exchange local e usa as seguintes configurações:

  • O valor da impressão digital do certificado autoassinado existente a ser renovado é BC37CBE2E59566BFF7D01FEAC9B6517841475F2D
  • A opção Force substitui o certificado autoassinado original sem um prompt de confirmação.
  • A chave privada é exportável. Isso permite exportar o certificado e importá-lo em outros servidores.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Como você sabe que renovou com êxito um certificado autoassinado do Exchange?

Para verificar se você renovou com êxito um certificado autoassinado do Exchange, use um dos seguintes procedimentos:

  • No EAC em Certificados de Servidores>, verifique se o servidor em que você instalou o certificado está selecionado. Na lista de certificados, verifique se o certificado tem o valor da propriedade StatusVálido.

  • No Shell de Gerenciamento do Exchange no servidor em que você renovou o certificado autoassinado, execute o seguinte comando para verificar os valores da propriedade:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Importante

Remover, renovar ou atribuir serviços ao certificado pode remover o certificado do Exchange Back End e do Site Padrão. É essencial que você verifique as associações de certificado e aplique os certificados corretos.

Recursos adicionais

Não é possível abrir OWA, ECP ou EMS depois que um certificado autoassinado for removido do site do Exchange Back End