Atribuir certificados a serviços do Exchange Server
Depois de instalar um certificado num servidor Exchange, tem de atribuir o certificado a um ou mais serviços do Exchange antes de o servidor Exchange poder utilizar o certificado para encriptação. Pode atribuir certificados a serviços no Centro de administração do Exchange (EAC) ou na Shell de Gestão do Exchange. Depois de atribuir um certificado a um serviço, não pode remover a atribuição. Se já não quiser utilizar um certificado para um serviço específico, tem de atribuir outro certificado ao serviço e, em seguida, remover o certificado que não pretende utilizar.
Os serviços do Exchange disponíveis estão descritos na tabela seguinte.
Serviço | Utiliza |
---|---|
IIS | Encriptação TLS para ligações de cliente interna e externa que utilizam HTTP. Isso inclui: Descoberta automática Exchange ActiveSync Centro de administração do Exchange Serviços Web do Exchange Distribuição do catálogo de endereços offline (OAB) Outlook em Qualquer Lugar (RPC sobre HTTP) MAPI sobre HTTP no Outlook Outlook na Web |
IMAP | Encriptação TLS para ligações de cliente IMAP4. Não atribua um certificado de caráter universal ao serviço IMAP4. Em vez disso, utilize o cmdlet Set-ImapSettings para configurar o nome de domínio completamente qualificado (FQDN) que os clientes utilizam para ligar ao serviço IMAP4. |
POP | Encriptação TLS para ligações de cliente POP3. Não atribua um certificado de caráter universal ao serviço POP3. Em vez disso, use o cmdlet Set-PopSettings para configurar o FQDN que os clientes usam para se conectarem ao serviço POP3. |
SMTP | Encriptação TLS para ligações de servidor e cliente SMTP externos. Autenticação TLS mútua entre o Exchange e outros servidores de mensagens. Quando atribui um certificado ao SMTP, é-lhe pedido que substitua o certificado autoassinado predefinido do Exchange que é utilizado para encriptar a comunicação SMTP entre servidores internos do Exchange. Normalmente, não precisa de substituir o certificado SMTP predefinido. |
UM (Unificação de Mensagens) | Encriptação TLS para ligações de cliente ao serviço UM de back-end em servidores de Caixa de Correio do Exchange 2016. Só pode atribuir um certificado ao serviço UM quando a propriedade modo de arranque do UM do serviço estiver definida como TLS ou Dual. Se o modo de arranque do UM estiver definido para o valor predefinido TCP, não poderá atribuir o certificado ao serviço UM. (Nota: o UM não está disponível no Exchange 2019). Para obter mais informações, consulte Configurar o Modo de Arranque num Servidor de Caixa de Correio. |
Router de Chamadas de Mensagens Unificadas (UMCallRouter) | Encriptação TLS para ligações de cliente ao serviço Router de Chamadas do UM nos serviços de Acesso de Cliente nos servidores da Caixa de Correio do Exchange 2016. Só pode atribuir um certificado ao serviço Router de Chamadas um quando a propriedade modo de arranque do UM do serviço estiver definida como TLS ou Dual. Se o modo de arranque do UM estiver definido para o valor predefinido TCP, não poderá atribuir o certificado ao serviço Router de Chamadas do UM. (Nota: o UM não está disponível no Exchange 2019). Para obter mais informações, veja Configurar o Modo de Arranque num Servidor de Acesso de Cliente. |
O que você precisa saber antes de começar?
Tempo estimado para conclusão: 5 minutos.
Depois de efetuar os procedimentos neste tópico, poderá ter de reiniciar os Serviços de Informação Internet (IIS). Em alguns cenários, o Exchange pode continuar a utilizar o certificado anterior para encriptar e desencriptar o cookie utilizado para a autenticação do Outlook na Web (anteriormente conhecido como Outlook Web App). Recomendamos que reinicie o IIS em ambientes que utilizam balanceamento de carga de Camada 4.
Se renovar ou substituir um certificado emitido por uma AC num servidor de Transporte Edge subscrito, terá de remover o certificado antigo e, em seguida, eliminar e recriar a Subscrição do Edge. Para obter mais informações, veja Processo de subscrição do Edge.
Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no tópico Permissões de clientes e dispositivos móveis .
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.
Utilizar o EAC para atribuir um certificado aos serviços do Exchange
Abra o EAC e navegue para Certificados de Servidores>.
Na lista Selecionar servidor , selecione o servidor Exchange que contém o certificado.
Selecione o certificado que pretende configurar e, em seguida, clique em Editar. O certificado tem de ter o valor EstadoVálido.
No separador Serviços , na secção Especificar os serviços aos quais pretende atribuir este certificado , selecione os serviços. Lembre-se de que pode adicionar serviços, mas não pode removê-los. Quando concluir, clique em Salvar.
Utilizar a Shell de Gestão do Exchange para atribuir um certificado aos serviços do Exchange
Para atribuir um certificado aos serviços do Exchange, utilize a seguinte sintaxe:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
Este exemplo atribui o certificado que tem o valor 434AC224C8459924B26521298CE8834C514856AB
thumbprint aos serviços POP, IMAP, IIS e SMTP.
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
Pode encontrar o valor de thumbprint do certificado com o cmdlet Get-ExchangeCertificate .
Como saber se funcionou?
Para verificar se atribuiu um certificado a um ou mais serviços do Exchange com êxito, utilize um dos seguintes procedimentos:
No EAC em Certificados de Servidores>, verifique se o servidor onde instalou o certificado está selecionado. Selecione o certificado e, no painel de detalhes, verifique se a propriedade Atribuído aos serviços contém os serviços que selecionou.
Na Shell de Gestão do Exchange no servidor onde instalou o certificado, execute o seguinte comando para verificar os serviços do Exchange para o certificado:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services