Completare una richiesta di certificato Exchange Server in sospeso
Il completamento di una richiesta di certificato in sospeso (nota anche come richiesta di firma del certificato o CSR) è il passaggio successivo nella configurazione della crittografia TLS (Transport Layer Security) in Exchange Server. Dopo aver ricevuto il certificato dall'autorità di certificazione, si installa il certificato nel server di Exchange per completare la richiesta di certificato in sospeso.
È possibile completare una richiesta di certificato in sospeso nell'Interfaccia di amministrazione di Exchange (EAC) o in Exchange Management Shell. Le procedure per il completamento delle nuove richieste di certificato o delle richieste di rinnovo del certificato sono identiche. Le procedure sono le stesse anche per i certificati rilasciati da un'autorità di certificazione interna (ad esempio, Servizi certificati Active Directory) o da un'autorità di certificazione commerciale.
È possibile ricevere uno o più dei seguenti tipi di file di certificato rilasciati dall'autorità di certificazione:
File di certificato PKCS #12: si tratta di file di certificato binari che hanno estensioni .cer, crt, der, p12 o pfx e richiedono una password quando il file contiene la chiave privata o la catena di attendibilità. L'autorità di certificazione potrebbe rilasciare solo il file di certificato binario (protetto da password) o più file di certificato binario originali o intermedi da installare.
File di certificato PKCS #7: si tratta di file di certificato di testo con estensione p7b o p7c. Questi file contengono il testo:
-----BEGIN CERTIFICATE-----
e-----END CERTIFICATE-----
o-----BEGIN PKCS7-----
e-----END PKCS7-----
. Se l'autorità di certificazione include una catena di file di certificato con il file di certificato binario, è necessario installare anche la catena di file di certificato.
Nota
Le attività di gestione dei certificati vengono rimosse da EAC per Exchange Server 2016 CU23 e Exchange Server 2019 CU12. Utilizzare la procedura Exchange Management Shell per esportare/importare il certificato da queste versioni.
Che cosa è necessario sapere prima di iniziare
Tempo stimato per il completamento: 5 minuti.
Le procedure descritte in questo argomento richiedono la creazione di una nuova richiesta di certificato nel server di Exchange, l'invio della richiesta di certificato all'autorità di certificazione e la ricezione del certificato dall'autorità di certificazione. Per altre informazioni, vedere Create una richiesta di certificato Exchange Server per un'autorità di certificazione.
Nell'interfaccia di amministrazione di Exchange è necessario recuperare il file del certificato da un percorso UNC (
\\<Server>\<Share>
o\\<LocalServerName>\c$\
). In Exchange Management Shell, è possibile usare un percorso file locale.Se si rinnova o si sostituisce un certificato rilasciato da un'autorità di certificazione in un server Trasporto Edge sottoscritto, è necessario rimuovere il vecchio certificato, quindi eliminare e ricreare la sottoscrizione Edge. Per ulteriori informazioni, vedere Processo di sottoscrizione Edge.
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'argomento Autorizzazioni per client e dispositivi mobili .
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.
Usare l'interfaccia di amministrazione di Exchange per completare una richiesta di certificato in sospeso
Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.
Nell'elenco Seleziona server, selezionare il server di Exchange che conserva la richiesta di certificato in sospeso.
Una richiesta di certificato in sospeso dispone delle proprietà seguenti:
Nell'elenco di certificati, il valore del campo Stato è Richiesta in sospeso.
Quando si seleziona la richiesta di certificato dall'elenco, viene visualizzato il collegamento Completa nel riquadro dei dettagli.
Selezionare la richiesta di certificato in sospeso che si desidera completare e quindi fare clic su Completa nel riquadro dei dettagli.
Nella pagina Completa richiesta in sospeso visualizzata, nel campo File da importare da immettere il percorso UNC e il nome del file del certificato. Ad esempio,
\\FileServer01\Data\ContosoCert.cer
. Al termine, fare clic su OK.
La richiesta di certificato diventa un certificato nell'elenco dei certificati Exchange con un valore di statoValido. Per i passaggi successivi, vedere la sezione Passaggi successivi.
Usare Exchange Management Shell per completare una richiesta di certificato in sospeso
Per completare una richiesta di certificato in sospeso, usare la sintassi seguente:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]
Questa sintassi viene usata con i tipi di file di certificato seguenti:
- File di certificato binari (file PKCS #12 con estensioni .cer, crt, der, p12 o pfx).
- Catena di file di certificati (file di testo PKCS #7 con estensione p7b o p7c).
In questo esempio viene importato il file \\FileServer01\Data\Contoso Cert.cer
di certificato binario protetto nel server Exchange locale. Viene richiesto di immettere la password.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Contoso Cert.cer')) -Password (Read-Host "Enter password" -AsSecureString)
In questo esempio viene importato il file \\FileServer01\Data\Chain of Certificates.p7b
di certificato di testo nel server Exchange locale.
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))
Note:
- Il parametro FileData accetta percorsi locali se il file del certificato si trova nel server Exchange in cui si esegue il comando e si tratta dello stesso server in cui si vuole importare il certificato. In caso contrario, utilizzare un percorso UNC.
- Per poter esportare il certificato dal server in cui viene importato, è necessario usare il parametro PrivateKeyExportable con il valore
$true
. - Per ulteriori informazioni, vedere Import-ExchangeCertificate.
Come verificare se l'operazione ha avuto esito positivo
Per verificare di aver completato la richiesta di certificato e installato il certificato nel server Exchange, utilizzare una delle procedure seguenti:
Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stato installato il certificato. Nell'elenco dei certificati, verificare che il certificato abbia il valore della proprietà Stato su Valido.
In Exchange Management Shell nel server in cui è installato il certificato, eseguire il comando seguente e verificare che il certificato sia nell'elenco:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
Passaggi successivi
Dopo aver completato la richiesta di certificato in sospeso installando il certificato nel server, è necessario assegnare il certificato a uno o più servizi Exchange prima che il server Exchange sia in grado di utilizzare il certificato per la crittografia. Per altre informazioni, vedere Assegnare certificati ai servizi di Exchange.