Import or install a certificate on an Exchange server

  • Articolo

Per attivare la crittografia per uno o più servizi Exchange, il server Exchange deve utilizzare un certificato. La comunicazione SMTP tra i server Exchange interni è crittografata dal certificato autofirmato predefinito installato sul server Exchange. Per crittografare la comunicazione con i servizi, i server e i client interni o esterni, probabilmente sarà necessario utilizzare un certificato considerato automaticamente attendibile da tutti i client, i servizi e i server connessi all'organizzazione di Exchange. Per ulteriori informazioni, vedere Requisiti dei certificati per i servizi Exchange.

È possibile importare (installare) certificati nei server Exchange nell'Interfaccia di amministrazione di Exchange (EAC) o in Exchange Management Shell.

Questi sono i tipi di file di certificato che è possibile importare in un server Exchange:

  • File di certificato PKCS #12: si tratta di file di certificato binari che hanno estensioni .cer, crt, der, p12 o pfx e richiedono una password quando il file contiene la chiave privata o la catena di attendibilità. Esempi di questi tipi di file includono:

    • Certificati autofirmati esportati da altri server Exchange tramite EAC o Export-ExchangeCertificate con il valore $truedel parametro PrivateKeyExportable . Per ulteriori informazioni, vedere Esportare un certificato da un server Exchange.

    • Certificati rilasciati da un'autorità di certificazione (ad esempio, un'autorità di certificazione interna come Servizi certificati Active Directory o un'autorità di certificazione commerciale).

    • Certificati che sono stati esportati da altri server (ad esempio, Skype for Business Server).

  • File di certificato PKCS #7: si tratta di file di certificato di testo con estensione p7b o p7c. Questi file contengono il testo: -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----- o -----BEGIN PKCS7----- e -----END PKCS7-----. Un'autorità di certificazione può includere una catena di file di certificati che deve essere installata insieme al file di certificato binario effettivo.

Nota

Le attività di gestione dei certificati vengono rimosse da EAC per Exchange Server 2016 CU23 ed Exchange Server 2019 CU12. Utilizzare la procedura Exchange Management Shell per esportare/importare il certificato da queste versioni.

Che cosa è necessario sapere prima di iniziare

  • Tempo stimato per il completamento: 5 minuti.

  • Nell'interfaccia di amministrazione di Exchange è necessario importare il file del certificato da un percorso UNC (\\<Server>\<Share>\ o \\<LocalServerName>\c$\). In Exchange Management Shell, è possibile specificare un percorso locale.

  • In EAC, è possibile importare il file di certificato in più server Exchange contemporaneamente (passaggio 4 nella procedura).

  • Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.

  • Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'argomento Autorizzazioni per client e dispositivi mobili .

  • Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.

Importazione di un certificato in uno o più server Exchange tramite EAC

  1. Aprire L'interfaccia di amministrazione di Exchange e passare a Certificati server>.

  2. Nell'elenco Seleziona server selezionare il server Exchange in cui si vuole installare il certificato, fare clic sull'icona Altre opzioni Altre opzioni e selezionare Importa certificato di Exchange.

  3. Verrà visualizzata la procedura guidata Importa certificato di Exchange. Nella pagina La procedura guidata importa un certificato da un file, immettere le informazioni seguenti:

    • File da cui importare: immettere il percorso UNC e il nome file del file del certificato. Ad esempio, \\FileServer01\Data\Fabrikam.cer

    • Password: se il file del certificato contiene la chiave privata o la catena di attendibilità, il file viene protetto da una password. Immettere la password qui.

    Al termine dell'operazione, fare clic su Avanti.

  4. Nella pagina Specificare i server a cui applicare il certificato fare clic sull'icona Aggiungi.

    Nella pagina Seleziona server visualizzata, selezionare il server Exchange in cui si desidera installare il certificato, quindi fare clic su Aggiungi- >. Ripetere questo passaggio tutte le volte necessarie. Al termine della selezione dei server, fare clic su OK.

    Al termine dell'operazione, scegliere Fine. Per i passaggi successivi, vedere la sezione Passaggi successivi.

Importazione di un certificato su un server Exchange tramite Exchange Management Shell

Per importare un file di certificato, usare la sintassi seguente:

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('<FilePathOrUNCPath>')) [-Password (Read-Host "Enter password" -AsSecureString)] [-PrivateKeyExportable <$true | $false>] [-Server <ServerIdentity>]

Questa sintassi viene usata con i tipi di file di certificato seguenti:

  • File di certificato binari (file PKCS #12 con estensioni .cer, crt, der, p12 o pfx).
  • Catena di file di certificati (file di testo PKCS #7 con estensione p7b o p7c).

In questo esempio viene importato il file \\FileServer01\Data\Fabrikam.pfx di certificato protetto dalla password P@ssw0rd1 nel server Exchange locale. Viene richiesto di immettere la password.

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Fabrikam.pfx')) -Password (Read-Host "Enter password" -AsSecureString)

In questo esempio viene importata la catena di file \\FileServer01\Data\Chain of Certificates.p7bdi certificati .

Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes('\\FileServer01\Data\Chain of Certificates.p7b'))

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Import-ExchangeCertificate.

Note:

  • È necessario ripetere questa procedura in ogni server Exchange in cui si desidera importare il certificato (eseguire il comando nel server o usare il parametro Server ).
  • Il parametro FileData accetta percorsi locali se il file del certificato si trova nel server Exchange in cui si esegue il comando e si tratta dello stesso server in cui si vuole importare il certificato. In caso contrario, utilizzare un percorso UNC.
  • Per poter esportare il certificato dal server in cui viene importato, è necessario usare il parametro PrivateKeyExportable con il valore $true.

Come verificare se l'operazione ha avuto esito positivo

Per verificare di aver importato (installato) correttamente un certificato in un server Exchange, utilizzare una delle seguenti procedure:

  • Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stato installato il certificato. Il certificato dovrebbe essere nell'elenco dei certificati con il valore StatoValido.

  • In Exchange Management Shell, nel server in cui è installato il certificato, eseguire il seguente comando:

    Get-ExchangeCertificate | where {$_.Status -eq "Valid"} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Passaggi successivi

Dopo aver installato il certificato sul server, è necessario assegnare il certificato a uno o più servizi Exchange prima che il server Exchange sia in grado di utilizzare il certificato per la crittografia. Per altre informazioni, vedere Assegnare certificati ai servizi di Exchange Server.