Como configurar certificados SSL para usar vários nomes de host do servidor de Acesso para Cliente
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-10-24
Este tópico explica como usar o Shell de Gerenciamento do Exchange para configurar os certificados SSL (Secure Sockets Layer) para usar vários nomes de host .
Quando você usa os computadores que executam o Microsoft Exchange Server 2007 com a função de servidor Acesso para Cliente instalada, você deve verificar se todos os clientes, como o Outlook Web Access e o Outlook 2007, poderão se conectar aos serviços usando uma sessão criptografada sem receber uma mensagem de erro que informe que o certificado não é confiável.
Dica
Para que o ISA (Internet Security and Acceleration) Server manipule conexões SSL para o Exchange 2007, você deve incluir o nome do assunto do próprio certificado como primeira entrada da SAN ao solicitar que um certificado seja usado em vários servidores ou com vários nomes de host.
Usando o Shell de Gerenciamento do Exchange, você pode criar uma solicitação de certificado para incluir todos os nomes do host DNS dos servidores de Acesso para Cliente. Em seguida, você poderá permitir que usuários se conectem ao certificado para serviços, como o Outlook em Qualquer Lugar, Descoberta Automática, POP3 e IMAP4, ou Unificação de Mensagens, que estão listados no atributo de nomes alternativos. Por exemplo, seus usuários podem se conectar aos seus serviços do Exchange especificando o nome conforme mostram os seguintes exemplos:
https://CAS01/owa
https://CASIntranetName/owa
Em vez de precisar solicitar vários certificados e manter a configuração de vários endereços IP e sites de IIS (Serviços de Informações da Internet) para cada porta IP e combinação de certificado, você pode criar um único certificado que habilite clientes a se conectarem com êxito a cada nome de host usando SSL ou TLS (Transpor Layer Security).
Você pode criar um único certificado adicionando todos os valores de nome DNS possíveis à propriedade do certificado Subject Alternative Name na solicitação do certificado. Uma autoridade de certificação dos Serviços de Certificado baseados no Microsoft Windows deve criar um certificado para essa solicitação.
Dica
Terceiros ou autoridades de certificação com base na Internet emitirão certificados apenas para nomes DNS para os quais você está autorizado. Portanto, os nomes DNS da intranet provavelmente não serão permitidos.
Para configurar seus certificados SSL para usar vários nomes de host de servidor de Acesso para Cliente, faça o seguinte:
Use o cmdlet New-ExchangeCertificate para criar um arquivo de solicitação de certificado.
Envie este arquivo para uma autoridade de certificação dos Serviços de Certificado do Windows e use o modelo do servidor da Web na página Autoridade de Certificação. Isto resultará em um arquivo .cer que pode ser importado pelo servidor de Acesso para Cliente.
Use o cmdlet Get-ExchangeCertificate para determinar a impressão digital do seu certificado.
Depois de importar o certificado, você poderá atribuí-lo a IIS, IMAP4 e POP3 usando o cmdlet Enable-ExchangeCertificate.
Antes de começar
Para executar os procedimentos a seguir, você deve usar uma conta à qual esteja delegada a função de Administrador Somente para Exibição do Exchange.
Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange 2007, consulte Considerações sobre permissão.
Importante
Antes de executar o seguinte procedimento, leia Gerenciando a segurança do acesso para cliente.
Importante
Como prática recomendada de segurança, faça logon no computador com uma conta que não esteja no grupo Administradores e use o comando runas para executar o Gerenciador do IIS como administrador. No prompt de comando, digite runas /user:Administrative_AccountName "mmc systemroot\system32\inetsrv\iis.msc".
Importante
Há muitas variáveis que você deve considerar quando configurar certificados para serviços SSL ou TLS. Você deve verificar se compreendeu como essas variáveis podem afetar a sua configuração geral. Antes de prosseguir, leia Criando um certificado ou uma solicitação de certificado de TLS.
Procedimento
Para usar o Shell de Gerenciamento do Exchange para criar um arquivo de solicitação de certificado
Execute o seguinte comando:
New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname exchange.contoso.com, CAS01,CAS01.exchange.corp.constoso.com, autodiscover.contoso.com -PrivateKeyExportable $true -path c:\certrequest_cas01.txt
Este comando criará um arquivo de texto que contém uma solicitação de certificado no formato PKCS#10.
Para usar o Shell de Gerenciamento do Exchange para importar um certificado
Execute o seguinte comando:
Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"
Para usar o Shell de Gerenciamento do Exchange para determinar a impressão digital do seu certificado
Para determinar a impressão digital, execute o seguinte comando:
Get-ExchangeCertificate -DomainName "CAS01"
Dica
Este comando retornará vários certificados caso haja vários certificados que coincidam com o nome de host que você especificou. Portanto, verifique se você selecionou a impressão digital do certificado correto para sua solicitação.
Para usar o Shell de Gerenciamento do Exchange para atribuir um certificado a ISS, POP3 e IMAP4
Para atribuir um certificado a ISS, POP3 e IMAP4, execute o seguinte comando:
Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"
Ou, como alternativa, para atribuir um certificado a um servidor, que por sua vez atribui um certificado a todos os serviços que estão sendo executados no servidor Exchange, execute o seguinte comando:
Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"
Para obter mais informações sobre sintaxe e parâmetros para os cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate e New-ExchangeCertificate, consulte Cmdlets globais.
Para obter mais informações
Para obter mais informações sobre como criar certificados ou solicitações de certificado para SSL ou TLS, consulte Criando um certificado ou uma solicitação de certificado de TLS.