Criar um novo certificado autoassinado do Exchange Server

Quando instala o Exchange Server, um certificado autoassinado que é criado e assinado pelo próprio servidor Exchange é instalado automaticamente no servidor. No entanto, também pode criar certificados autoassinados adicionais que pode utilizar.

Pode criar certificados autoassinados no Centro de administração do Exchange (EAC) ou na Shell de Gestão do Exchange.

O que você precisa saber antes de começar?

• Tempo estimado para conclusão: 5 minutos.

• Os certificados autoassinados do Exchange funcionam bem para encriptar a comunicação entre servidores internos do Exchange, mas não tão bem para encriptar ligações externas, porque os clientes, servidores e serviços não confiam automaticamente em certificados autoassinados do Exchange. Para criar um pedido de certificado (também conhecido como pedido de assinatura de certificado ou CSR) para uma autoridade de certificação comercial que é automaticamente considerada fidedigna por todos os clientes, servidores e serviços, veja Criar um pedido de certificado do Exchange Server para uma autoridade de certificação.

• Quando cria um novo certificado autoassinado com o cmdlet New-ExchangeCertificate , pode atribuir o certificado aos serviços do Exchange durante a criação do certificado. Para obter mais informações sobre os serviços do Exchange, veja Atribuir certificados aos serviços do Exchange Server.

• Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no tópico Permissões de clientes e dispositivos móveis .

• Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Utilizar o EAC para criar um novo certificado autoassinado do Exchange

1. Abra o EAC e navegue para Certificados de Servidores>.

2. Na lista Selecionar servidor, selecione o servidor Exchange onde pretende instalar o certificado e, em seguida, clique em .

3. É aberto o assistente Novo certificado do Exchange . Na página Este assistente irá criar um novo certificado ou um ficheiro de pedido de certificado , selecione Criar um certificado autoassinado e, em seguida, clique em Seguinte.

   Nota: Para criar um novo pedido de certificado para uma autoridade de certificação, veja Criar um pedido de certificado do Exchange Server para uma autoridade de certificação.

4. Na página Nome amigável para este certificado , introduza um nome amigável para o certificado e, em seguida, clique em Seguinte.

5. Na página Especificar os servidores aos quais pretende aplicar este certificado, clique no

   Na página Selecionar um servidor que abre, selecione o servidor do Exchange onde você deseja instalar o certificado e clique em Adicionar - >. Repita essa etapa quantas vezes forem necessárias. Quando terminar de selecionar servidores, clique em OK.

   Ao terminar, clique em Avançar.

6. A página Especificar os domínios que pretende incluir no certificado é basicamente uma folha de cálculo que o ajuda a determinar os nomes de anfitrião internos e externos que são necessários no certificado para os seguintes serviços do Exchange:

   • Outlook na Web

   • Geração de livros de endereços offline (OAB)

   • Serviços de Web do Exchange

   • Exchange ActiveSync

   • Descoberta automática

   • POP

   • IMAP

   • Outlook em Qualquer Lugar

     Se introduzir um valor para cada serviço com base na localização (interna ou externa), o assistente determina os nomes de anfitrião que são necessários no certificado e as informações são apresentadas na página seguinte. Para modificar um valor para um serviço, clique em Editar () e introduza o valor do nome do anfitrião que pretende utilizar (ou elimine o valor). Ao terminar, clique em Avançar.

     Se já determinou os valores de nome de anfitrião de que precisa no certificado, não precisa de preencher as informações nesta página. Em vez disso, clique em Seguinte para introduzir manualmente os nomes de anfitrião na página seguinte.

7. Com base nas suas seleções, os seguintes domínios serão incluídos na sua página de certificado e lista os nomes de anfitrião que serão incluídos no certificado autoassinado. O nome do anfitrião utilizado no campo Assunto do certificado está a negrito, o que pode ser difícil de ver se esse nome de anfitrião está selecionado. Pode verificar as entradas de nome de anfitrião necessárias no certificado com base nas seleções que efetuou na página anterior. Em alternativa, pode ignorar os valores da última página e adicionar, editar ou remover valores de nome de anfitrião.

   • Se quiser um certificado SAN, o campo Assunto ainda requer um valor de nome comum (CN). Para selecionar o nome do anfitrião para o campo Assunto do certificado, selecione o valor e clique em Definir como nome comum (marca de verificação). O valor deverá agora aparecer a negrito.

   • Se quiser um certificado para um único nome de anfitrião, selecione os outros valores um de cada vez e clique em Remover ().

     Quando tiver terminado nesta página, clique em Concluir.

   Observações:

   • Não pode eliminar o valor de nome de anfitrião a negrito que será utilizado para o campo Assunto do certificado. Primeiro, tem de selecionar ou adicionar um nome de anfitrião diferente e, em seguida, clicar em Definir como nome comum (marca de verificação).
   • As alterações que efetuar nesta página poderão perder-se se clicar no botão Anterior .

Utilizar a Shell de Gestão do Exchange para criar um novo certificado autoassinado do Exchange

Para criar um novo certificado autoassinado do Exchange, utilize a seguinte sintaxe:

New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]

Este exemplo cria um certificado autoassinado no servidor Exchange local com as seguintes propriedades:

• Assunto: <ServerName>. Por exemplo, se executar o comando no servidor com o nome Caixa de Correio01, o valor é Mailbox01.
• Nomes alternativos do requerente: <ServerName>, <FQDN do> Servidor. Por exemplo, Mailbox01, Mailbox01.contoso.com.
• Nome amigável: Microsoft Exchange
• Serviços: POP, IMAP, SMTP.

New-ExchangeCertificate

Este exemplo cria um certificado autoassinado no servidor Exchange local com as seguintes propriedades:

• Assunto: Exchange01, que requer o valor CN=Exchange01. Tenha em atenção que este valor é automaticamente incluído no parâmetro DomainName (o campo Nome Alternativo do Requerente ).
• Nomes alternativos adicionais do requerente:
  • mail.contoso.com
  • autodiscover.contoso.com
  • Exchange01.contoso.com
  • Exchange02.contoso.com
• Serviços: SMTP, IIS
• Nome amigável: Certificado do Exchange da Contoso
• A chave privada é exportável. Isto permite-lhe exportar o certificado do servidor (e importá-lo noutros servidores).

New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true

Observações:

• A única parte necessária do valor do parâmetro SubjectName X.500 (o campo Assunto do certificado) é CN=<HostNameOrFQDN>.
• Alguns valores de parâmetros dos Serviços geram mensagens de aviso ou confirmação. Para obter mais informações, veja Atribuir certificados aos serviços do Exchange Server.
• Para obter mais informações, consulte New-ExchangeCertificate.

Como saber se funcionou?

Para verificar se criou com êxito um certificado autoassinado do Exchange, execute um dos seguintes passos:

• No EAC em Certificados de Servidores>, verifique se o servidor onde criou o certificado autoassinado está selecionado. O certificado deve estar na lista de certificados com o valor StatusVálido.

• Na Shell de Gestão do Exchange no servidor onde criou o certificado autoassinado, execute o seguinte comando e verifique as propriedades:

  Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter