Partilhar via

Concluir um pedido de certificado de Exchange Server pendente

  • Artigo

Concluir um pedido de certificado pendente (também conhecido como pedido de assinatura de certificado ou CSR) é o passo seguinte na configuração da encriptação TLS (Transport Layer Security) no Exchange Server. Depois de receber o certificado da autoridade de certificação (AC), instale o certificado no servidor Exchange para concluir o pedido de certificado pendente.

Pode concluir um pedido de certificado pendente no Centro de administração do Exchange (EAC) ou na Shell de Gestão do Exchange. Os procedimentos são os mesmos para concluir novos pedidos de certificado ou pedidos de renovação de certificados. Os procedimentos também são os mesmos para certificados emitidos por uma AC interna (por exemplo, Serviços de Certificados do Active Directory) ou uma AC comercial.

Poderá receber um ou mais dos seguintes tipos de AC de ficheiros de certificado:

  • Ficheiros de certificado PKCS #12: estes são ficheiros de certificado binário que têm extensões de nome de ficheiro .cer, .crt, .der, .p12 ou .pfx e requerem uma palavra-passe quando o ficheiro contém a chave privada ou cadeia de fidedignidade. A AC pode emitir apenas um ficheiro de certificado binário que precisa de instalar (protegido por uma palavra-passe) ou vários ficheiros de certificado binário de raiz ou intermédios que também precisa de instalar.

  • Ficheiros de certificado PKCS #7: estes são ficheiros de certificado de texto que têm extensões de nome de ficheiro .p7b ou .p7c. Estes ficheiros contêm o texto: -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- ou -----BEGIN PKCS7----- e -----END PKCS7-----. Se a AC incluir uma cadeia de ficheiros de certificados com o ficheiro de certificado binário, também terá de instalar a cadeia de ficheiros de certificados.

Observação

O Exchange Administração Center (EAC) pode ser utilizado para gerir certificados no Exchange Server 2019 CU15 e posterior. Para Exchange Server CU23 de 2016 e Exchange Server CU12 para CU14 de 2019, utilize o procedimento do Exchange Management Shell (EMS).

O que você precisa saber antes de começar?

  • Tempo estimado para conclusão: 5 minutos.

  • Os procedimentos neste tópico requerem que tenha criado um novo pedido de certificado no servidor Exchange, enviado o pedido de certificado para a AC e recebido o certificado da AC. Para obter mais informações, veja Criar um pedido de certificado Exchange Server para uma autoridade de certificação.

  • No EAC, tem de obter o ficheiro de certificado a partir de um caminho UNC (\\<Server>\<Share> ou \\<LocalServerName>\c$\). Na Shell de Gestão do Exchange, pode utilizar um caminho de ficheiro local.

  • Se renovar ou substituir um certificado emitido por uma AC num servidor de Transporte Edge subscrito, terá de remover o certificado antigo e, em seguida, eliminar e recriar a Subscrição do Edge. Para obter mais informações, veja Processo de subscrição do Edge.

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Open the Exchange Management Shell.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no tópico Permissões de clientes e dispositivos móveis .

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Utilizar o EAC para criar um pedido de certificado pendente

  1. Abra o EAC e navegue para Certificados de Servidores>.

  2. Na lista Selecionar servidor , selecione o servidor Exchange que contém o pedido de certificado pendente.

  3. Um pedido de certificado pendente tem as seguintes propriedades:

    • Na lista de certificados, o valor do campo Estado é Pedido pendente.

    • Quando seleciona o pedido de certificado na lista, existe uma ligação Completo no painel de detalhes.

    Selecione o pedido de certificado pendente que pretende concluir e, em seguida, clique em Concluir no painel de detalhes.

  4. Na página Concluir pedido pendente que é aberto, no campo Ficheiro a importar, introduza o caminho UNC e o nome do ficheiro de certificado. Por exemplo, \\FileServer01\Data\ContosoCert.cer. Quando terminar, clique em OK.

O pedido de certificado torna-se um certificado na lista de certificados do Exchange com um valor de Estadoválido. Para as próximas etapas, confira a seção Próximas etapas.

Utilizar a Shell de Gestão do Exchange para concluir um pedido de certificado pendente

Para concluir um pedido de certificado pendente, utilize a seguinte sintaxe:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Utilize esta sintaxe com os seguintes tipos de ficheiros de certificado:

  • Ficheiros de certificado binário (ficheiros PKCS #12 com extensões de nome de ficheiro .cer, .crt, .der, .p12 ou .pfx).
  • Cadeia de ficheiros de certificados (ficheiros de texto PKCS #7 com extensões de nome de ficheiro .p7b ou .p7c).

Este exemplo importa o ficheiro \\FileServer01\Data\Contoso Cert.cer de certificado binário que está protegido no servidor Exchange local. É-lhe pedido que introduza a palavra-passe.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)

Este exemplo importa o ficheiro \\FileServer01\Data\Chain of Certificates.p7b de certificado de texto no servidor Exchange local.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Observações:

  • O parâmetro FileData aceita caminhos locais se o ficheiro de certificado estiver localizado no servidor Exchange onde está a executar o comando e este é o mesmo servidor onde pretende importar o certificado. Caso contrário, use um caminho UNC.
  • Se pretender exportar o certificado do servidor onde o está a importar, tem de utilizar o parâmetro PrivateKeyExportable com o valor $true.
  • Para saber mais, veja Import-ExchangeCertificate.

Como saber se funcionou?

Para verificar se concluiu com êxito o pedido de certificado e instalou o certificado no servidor Exchange, utilize um dos seguintes procedimentos:

  • No EAC em Certificados de Servidores>, verifique se o servidor onde instalou o certificado está selecionado. Na lista de certificados, verifique se o certificado tem o valor da propriedade EstadoVálido.

  • Na Shell de Gestão do Exchange no servidor onde instalou o certificado, execute o seguinte comando e verifique se o certificado está listado:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Próximas etapas

Depois de concluir o pedido de certificado pendente ao instalar o certificado no servidor, tem de atribuir o certificado a um ou mais serviços do Exchange antes de o servidor Exchange poder utilizar o certificado para encriptação. Para obter mais informações, veja Atribuir certificados aos serviços do Exchange.