Configurar Certificados SSL para Usar Vários Nomes do Host do Servidor de Acesso para Cliente

Artigo
05/13/2016

Aplica-se a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Tópico modificado em: 2012-07-23

Você pode usar o Shell para configurar os certificados SSL (Secure Sockets Layer) para usar vários nomes de host .

Ao implementar seus servidores de Acesso para Cliente do MicrosoftExchange Server 2010, você deve verificar se todos os clientes, como o MicrosoftOffice, o Outlook Web App e o Office Outlook 2007, poderão se conectar aos serviços usando uma sessão criptografada sem receber uma mensagem de erro que informe que o certificado não é confiável.

Usando o Shell, você pode criar uma solicitação de certificado para incluir todos os nomes do host DNS dos servidores de Acesso para Cliente. Em seguida, você poderá permitir que usuários se conectem ao certificado para serviços, como o Outlook em Qualquer Lugar, Descoberta Automática, POP3 e IMAP4, ou Unificação de Mensagens, que estão listados no atributo de nomes alternativos. Por exemplo, seus usuários podem se conectar aos seus serviços do Exchange especificando o nome conforme mostram os seguintes exemplos:

https://CAS01/owa
https://CAS01.FQDN.name/owa
https://CASIntranetName/owa
https://autodiscover.domíniodeemail.com

Em vez de precisar solicitar vários certificados e manter a configuração de vários endereços IP e sites de IIS (Serviços de Informações da Internet) para cada porta IP e combinação de certificado, você pode criar um único certificado que habilite clientes a se conectarem com êxito a cada nome de host usando SSL ou TLS (Transpor Layer Security).

Você pode criar um único certificado adicionando todos os valores de nome DNS possíveis à propriedade Subject Alternative Name do certificado na solicitação do certificado. Uma autoridade de certificação dos Serviços de Certificado baseados no Windows deve criar um certificado para essa solicitação.

Dica

Terceiros ou autoridades de certificação com base na Internet emitirão certificados apenas para nomes DNS que você está autorizado a usar. Portanto, os nomes DNS da intranet provavelmente não serão permitidos.

Para configurar seus certificados SSL para usar vários nomes de host de servidor de Acesso para Cliente, faça o seguinte:

Use o cmdlet New-ExchangeCertificate para criar um arquivo de solicitação de certificado.
Envie este arquivo para uma autoridade de certificação dos Serviços de Certificado do Windows e use o modelo do servidor da Web na página Autoridade de Certificação. Isto resultará em um arquivo .cer que pode ser importado pelo servidor de Acesso para Cliente.
Use o cmdlet Get-ExchangeCertificate para determinar a impressão digital do seu certificado.
Depois de importar o certificado, você poderá atribuí-lo a IIS, IMAP4 e POP3 usando o cmdlet Enable-ExchangeCertificate.

Procurando outras tarefas de gerenciamento relacionadas a SSL? Consulte Gerenciando SSL para um Servidor de Acesso para Cliente.

Pré-requisitos

Você fez logon no computador com uma conta que não está no grupo Administradores e usou o comando runas para executar o Gerenciador do IIS como administrador. Essa é uma prática recomendada de segurança. Para isso, no prompt de comando, digite **runas /user:**NomeDaContaAdministrativa "mmc systemroot\system32\inetsrv\iis.msc".
Você leu Funcionalidade TLS e terminologia relacionada do Exchange 2010. Ele contém informações sobre muitas variáveis que você deve considerar quando configurar certificados para serviços SSL ou TLS e a forma como essas variáveis podem afetar sua configuração geral.

Usar o Shell para criar um arquivo de solicitação de certificado

Entrada "Configurações de segurança do servidor de Acesso para Cliente" Para executar este procedimento, você precisa de permissões. Para ver de que permissões você precisa, consulte o no tópico Permissões de Acesso para Cliente.

Este exemplo criar um arquivo de texto que contém uma solicitação de certificado no formato PKCS#10.

New-ExchangeCertificate -generaterequest -subjectname "dc=com,dc=contoso,o=Contoso Corporation,cn=exchange.contoso.com" -domainname CAS01,CAS01.exchange.corp.constoso.com,exchange.contoso.com, autodiscover.contoso.com -path c:\certrequest_cas01.txt

Usar o Shell para importar um certificado

Este exemplo importa um certificado obtido anteriormente.

Import-ExchangeCertificate -path <certificate_file_name>.cer -friendlyname "Contoso CAS01"

Usar o Shell para determinar a impressão digital do seu certificado

Este exemplo determina a impressão digital de um certificado que corresponda ao nome de host CAS01.

Get-ExchangeCertificate -DomainName "CAS01"

Dica

Este exemplo retornará vários certificados caso haja vários certificados que coincidam com o nome de host que você especificou. Portanto, verifique se você selecionou a impressão digital do certificado correto para sua solicitação.

Usar o Shell para atribuir o certificado a ISS, POP3 e IMAP4

Este exemplo atribui o certificado ao IIS, POP3 e IMAP4.

Enable-ExchangeCertificate -thumbprint <certificate-thumbprint> -services "IIS,POP,IMAP"

Este exemplo atribui o certificado a um servidor, que por sua vez atribui o certificado a todos os serviços que estão sendo executados no servidor do Exchange.

Import-ExchangeCertificate -path <certificate file name> -friendlyname "Contoso CAS01" | enable-exchangecertificate -services "IIS,POP,IMAP"

Para obter mais informações sobre sintaxe e parâmetros para os cmdlets Import-ExchangeCertificate, Enable-ExchangeCertificate, Get-ExchangeCertificate e New-ExchangeCertificate, consulte Cmdlets globais.