Creare un nuovo certificato autofirma di Exchange Server
Quando si installa Exchange Server, nel server viene installato automaticamente un certificato autofirmato creato e firmato dal server Exchange stesso. Tuttavia, è possibile creare anche certificati autofirmati aggiuntivi da usare.
È possibile creare certificati autofirmati in Interfaccia di amministrazione di Exchange (EAC) o in Exchange Management Shell.
Che cosa è necessario sapere prima di iniziare
Tempo stimato per il completamento: 5 minuti.
I certificati autofirmati Exchange funzionano bene per la crittografia delle comunicazioni tra server Exchange interni, ma non altrettanto bene per crittografare le connessioni esterne, poiché i client, i server e i servizi non ritengono automaticamente attendibili i certificati Exchange autofirmati. Per creare una richiesta di certificato (nota anche come richiesta di firma del certificato o CSR) per un'autorità di certificazione commerciale considerata automaticamente attendibile da tutti i client, i server e i servizi, vedere Creare una richiesta di certificato di Exchange Server per un'autorità di certificazione.
Quando si crea un nuovo certificato autofirmato utilizzando il cmdlet New-ExchangeCertificate, è possibile assegnare il certificato ai servizi Exchange durante la creazione del certificato. Per altre informazioni sui servizi di Exchange, vedere Assegnare certificati ai servizi di Exchange Server.
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'argomento Autorizzazioni per client e dispositivi mobili .
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.
Creazione di un nuovo certificato autofirmato Exchange tramite l'interfaccia di amministrazione di Exchange
Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.
Nell'elenco Seleziona server selezionare il server Exchange in cui si vuole installare il certificato e quindi fare clic
Verrà visualizzata la procedura guidata Nuovo certificato di Exchange. Nella pagina La procedura guidata crea un nuovo certificato o un file richiesta di certificato, selezionare Crea certificato autofirmato, quindi fare clic su Avanti.
Nota: Per creare una nuova richiesta di certificato per un'autorità di certificazione, vedere Creare una richiesta di certificato di Exchange Server per un'autorità di certificazione.
Nella pagina Nome descrittivo per il certificato, immettere un nome descrittivo per il certificato, quindi fare clic su Avanti.
Nella pagina Specificare i server a cui applicare il certificato fare clic
Nella pagina Seleziona server visualizzata, selezionare il server Exchange in cui si desidera installare il certificato, quindi fare clic su Aggiungi- >. Ripetere questo passaggio tutte le volte necessarie. Al termine della selezione dei server, fare clic su OK.
Al termine dell'operazione, fare clic su Avanti.
La pagina Specifica i domini che vuoi includere nel tuo certificato è fondamentalmente un foglio di lavoro che consente di determinare i nomi host interni ed esterni necessari nel certificato per le operazioni nei servizi Exchange seguenti:
Outlook sul Web
Generazione della Rubrica fuori rete (OAB)
Servizi Web Exchange
Exchange ActiveSync
Individuazione automatica
POP
IMAP
Outlook via Internet
Se si immette un valore per ogni servizio in base alla posizione (interna o esterna), la procedura guidata determina i nomi host necessari nel certificato e le informazioni vengono visualizzate nella pagina successiva. Per modificare un valore per un servizio, fare clic su Modifica () e immettere il valore del nome host che si vuole usare (o eliminare il valore). Al termine dell'operazione, fare clic su Avanti.
Se è già stato determinato il valore del nome host necessario nel certificato, non è necessario immettere le informazioni in questa pagina. In alternativa, fare clic su Avanti per immettere manualmente i nomi host nella pagina successiva.
In Base alle selezioni effettuate, i domini seguenti verranno inclusi nella pagina del certificato in cui sono elencati i nomi host che verranno inclusi nel certificato autofirmati. The host name that's used in the certificate's Subject field is bold, which can be hard to see if that host name is selected. You can verify the host name entries that are required in the certificate based on the selections that you made on the previous page. Or, you can ignore the values from the last page and add, edit, or remove host name values.
Se si desidera un certificato SAN, il campo Subject necessita ancora di un valore nome comune (CN). Per selezionare il nome host per il campo Subject del certificato, selezionare il valore e fare clic su Imposta come nome comune (segno di spunta). Il valore verrà visualizzato in grassetto.
Se si desidera un certificato per un singolo nome host, selezionare gli altri valori uno alla volta e fare clic su Rimuovi (
Al termine di questa pagina, fare clic su Fine.
Note:
- È possibile eliminare il valore nome host in grassetto che verrà usato per il campo Subject del certificato. Prima di tutto è necessario selezionare o aggiungere un nome host diverso e quindi fare clic su Imposta come nome comune (segno di spunta).
- Le modifiche apportate in questa pagina potrebbero andare perse se si sceglie il pulsante Indietro.
Creazione di un nuovo certificato autofirmato Exchange tramite Exchange Management Shell
Per creare un nuovo certificato autofirmato Exchange, utilizzare la seguente sintassi:
New-ExchangeCertificate [-FriendlyName <DescriptiveName>] [-SubjectName [C=<CountryOrRegion>,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN>]] [-DomainName <Host1>,<Host2>...] [-Services <None | IIS | IMAP | POP | SMTP | UM | UMCallRouter> [-PrivateKeyExportable < $true | $false>] [-Server <ServerIdentity>] -[Force]
In questo esempio viene creato un certificato autofirmato nel server Exchange locale con le seguenti proprietà:
-
Oggetto: <NomeServer>. Ad esempio, se si esegue il comando sul server denominato Mailbox01, il valore è
Mailbox01
. -
Nomi alternativi del soggetto: <NomeServer>, <FQDN> server. Ad esempio,
Mailbox01, Mailbox01.contoso.com
. - Nome descrittivo: Microsoft Exchange
- Servizi: POP, IMAP, SMTP.
New-ExchangeCertificate
In questo esempio viene creato un certificato autofirmato nel server Exchange locale con le seguenti proprietà:
-
Oggetto: Exchange01, che richiede il valore
CN=Exchange01
. Tenere presente che questo valore viene automaticamente incluso nel parametro DomainName (il campo Subject Alternative Name). - Altri nomi alternativi del soggetto:
- mail.contoso.com
- autodiscover.contoso.com
- Exchange01.contoso.com
- Exchange02.contoso.com
- Servizi: SMTP, IIS
- Nome descrittivo: Contoso Exchange Certificate
- La chiave privata è esportabile. In questo modo è possibile esportare il certificato dal server (e importarlo in altri server).
New-ExchangeCertificate -FriendlyName "Contoso Exchange Certificate" -SubjectName CN=Exchange01 -DomainName mail.contoso.com,autodiscover.contoso.com,Exchange01.contoso.com,Exchange02.contoso.com -Services SMTP,IIS -PrivateKeyExportable $true
Note:
- L'unica parte obbligatoria del valore del parametro SubjectName X.500 (campo Subject del certificato) è
CN=<HostNameOrFQDN>
. - I valori parametro Services generano messaggi di conferma o di avviso. Per altre informazioni, vedere Assegnare certificati ai servizi di Exchange Server.
- Per ulteriori informazioni, vedere New-ExchangeCertificate.
Come verificare se l'operazione ha avuto esito positivo
Per verificare di aver creato un certificato autofirmato Exchange, eseguire le operazioni seguenti:
Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stato creato il certificato autofirmati. Il certificato dovrebbe essere nell'elenco dei certificati con il valore StatoValido.
Nel server di Exchange Management Shell in cui è stato creato il certificato autofirmato, eseguire il comando seguente e verificare le proprietà:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter