Compartir a través de

Import or install a certificate on an Exchange server

  • Artículo

Para habilitar el cifrado para uno o varios servicios de Exchange, el servidor de Exchange tiene que usar un certificado. La comunicación SMTP entre servidores internos de Exchange se cifra mediante el certificado autofirmado predeterminado que está instalado en el servidor de Exchange. Para cifrar la comunicación con clientes, servidores o servicios internos o externos, es posible que quiera usar un certificado en el que todos los clientes, servicios y servidores que se conectan a la organización de Exchange confíen automáticamente. Para obtener más información, consulte Requisitos de certificados para los servicios de Exchange.

Puede importar (instalar) certificados en servidores de Exchange en la Centro de administración de Exchange (EAC) o en Shell de administración de Exchange.

Estos son los tipos de archivos de certificado que se pueden importar en un servidor de Exchange:

  • Archivos de certificado PKCS #12: son archivos de certificado binarios que tienen extensiones de nombre de archivo .cer, .crt, .der, .p12 o .pfx y requieren una contraseña cuando el archivo contiene la clave privada o la cadena de confianza. Los ejemplos de estos tipos de archivos incluyen:

    • Certificados autofirmados que se exportaron desde otros servidores de Exchange mediante el EAC o Export-ExchangeCertificate con el valor $truedel parámetro PrivateKeyExportable . Para obtener más información, consulte Exportar un certificado desde un servidor de Exchange.

    • Certificados emitidos por una entidad de certificación (una interna como Servicios de certificados de Active Directory o una comercial).

    • Certificados exportados desde otros servidores (por ejemplo, Skype Empresarial Server).

  • Archivos de certificado PKCS #7: son archivos de certificado de texto que tienen extensiones de nombre de archivo .p7b o .p7c. Estos archivos contienen el texto: -----BEGIN CERTIFICATE----- y o -----BEGIN PKCS7----------END CERTIFICATE----- y -----END PKCS7-----. Una entidad de certificación puede incluir una cadena de archivo de certificados que también debe instalarse junto con el archivo de certificado binario real.

Nota:

Las tareas de administración de certificados se quitan de EAC para Exchange Server 2016 CU23 y Exchange Server 2019 CU12. Use el procedimiento del Shell de administración de Exchange para exportar o importar el certificado de estas versiones.

¿Qué necesita saber antes de comenzar?

  • Tiempo estimado para finalizar: 5 minutos.

  • En el EAC, debe importar el archivo de certificado desde una ruta de acceso UNC (\\<Server>\<Share>\ o \\<LocalServerName>\c$\). En Shell de administración de Exchange, puede especificar una ruta de acceso local.

  • En la EAC, puede importar el archivo de certificado en varios servidores de Exchange a la vez (paso 4 del procedimiento).

  • Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.

  • Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el Entrada "Seguridad de los servicios de acceso de clientes" en el tema Permisos de dispositivos móviles y clientes.

  • Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.

Sugerencia

¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.

Usar la EAC para importar un certificado en uno o más servidores de Exchange

  1. Abra el EAC y vaya aCertificados de servidores>.

  2. En la lista Seleccionar servidor , seleccione el servidor de Exchange donde desea instalar el certificado, haga clic en el icono Más opcionesMás opciones y seleccione Importar certificado de Exchange.

  3. Se abre el asistente Importar certificado de Exchange. En la página Este asistente importará un certificado desde un archivo, escriba la siguiente información:

    • Archivo desde el que se va a importar: escriba la ruta de acceso UNC y el nombre de archivo del archivo de certificado. Por ejemplo: \\FileServer01\Data\Fabrikam.cer

    • Contraseña: si el archivo de certificado contiene la clave privada o la cadena de confianza, el archivo está protegido por una contraseña. Escriba aquí la contraseña.

    Cuando termine, haga clic en Siguiente.

  4. En la página Especificar los servidores a los que desea aplicar este certificado , haga clic en elicono Agregar.

    En la página Seleccionar un servidor que se abre, seleccione el servidor de Exchange donde quiere instalar el certificado y haga clic en Agregar - >. Repita este paso tantas veces como sea necesario. Cuando haya terminado de seleccionar servidores, haga clic en Aceptar.

    Cuando haya terminado, haga clic en Finalizar. Para los pasos siguientes, consulte la sección Pasos siguientes.

Usar Shell de administración de Exchange para importar un certificado en un servidor de Exchange

Para importar un archivo de certificado, use la sintaxis siguiente:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Esta sintaxis se usa con los siguientes tipos de archivos de certificado:

  • Archivos de certificado binarios (archivos PKCS #12 que tienen extensiones de nombre de archivo .cer, .crt, .der, .p12 o .pfx).
  • Cadena de archivos de certificados (archivos de texto PKCS #7 que tienen extensiones de nombre de archivo .p7b o .p7c).

En este ejemplo se importa el archivo \\FileServer01\Data\Fabrikam.pfx de certificado protegido por la contraseña P@ssw0rd1 en el servidor exchange local. Se le pedirá que escriba la contraseña.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

En este ejemplo se importa la cadena de archivos \\FileServer01\Data\Chain of Certificates.p7bde certificados .

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Para obtener información detallada sobre la sintaxis y los parámetros, consulte Import-ExchangeCertificate.

Notas:

  • Debe repetir este procedimiento en cada servidor de Exchange donde quiera importar el certificado (ejecute el comando en el servidor o use el parámetro Server ).
  • El parámetro FileData acepta rutas de acceso locales si el archivo de certificado se encuentra en el servidor exchange donde se ejecuta el comando y este es el mismo servidor donde desea importar el certificado. De lo contrario, use una ruta de acceso UNC.
  • Si desea poder exportar el certificado desde el servidor donde lo va a importar, debe usar el parámetro PrivateKeyExportable con el valor $true.

¿Cómo saber si el proceso se ha completado correctamente?

Para comprobar que se ha importado (instalado) correctamente un certificado en un servidor de Exchange, use alguno de los procedimientos siguientes:

  • En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde instaló el certificado. El certificado debe estar en la lista de certificados con el valor de EstadoVálido.

  • En Shell de administración de Exchange, en el servidor donde se instaló el certificado, ejecute el siguiente comando:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Pasos siguientes

Después de instalar el certificado en el servidor, debe asignar el certificado a uno o más servicios de Exchange para que el servidor de Exchange pueda usarlo para el cifrado. Para obtener más información, consulte Asignación de certificados a servicios de Exchange Server.