Criar um pedido de certificado do Exchange Server para uma autoridade de certificação

  • Artigo

Criar um pedido de certificado é o primeiro passo para instalar um novo certificado num servidor Exchange para configurar a encriptação TLS (Transport Layer Security) para um ou mais serviços do Exchange. Use uma solicitação de certificado (também conhecida como uma solicitação de assinatura de certificado ou CSR) para receber um certificado de uma autoridade de certificação (CA). Os procedimentos são os mesmos para obter certificados de uma AC interna (por exemplo, Serviços de Certificados do Active Directory) ou de uma AC comercial. Depois de criar o pedido de certificado, envia os resultados para a AC e a AC utiliza as informações para emitir o certificado real, que instala mais tarde.

Pode criar pedidos de certificado no Centro de administração do Exchange (EAC) ou na Shell de Gestão do Exchange. O assistente Novo certificado do Exchange no EAC pode ajudá-lo a selecionar os nomes de anfitrião que são necessários no certificado.

Do que você precisa saber para começar?

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para obter mais informações sobre as permissões de que precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no artigo Permissões de clientes e dispositivos móveis .

  • Tempo estimado para concluir: 5 minutos para concluir o novo pedido de certificado. No entanto, é necessário mais tempo antes de o pedido levar à emissão de um certificado. Para obter mais informações, veja Passos seguintes.

  • Tem de planear cuidadosamente para escolher o tipo de certificado que pretende e os nomes de anfitrião que são necessários no certificado. Para obter mais informações, veja Certificados digitais e encriptação no Exchange Server.

  • Verifique os requisitos de pedido de certificado da AC. O Exchange gera um ficheiro de pedido PKCS #10 (.req) que utiliza codificação Base64 (predefinição) ou Regras de Codificação Distintas (DER), com uma chave pública RSA que é 1024, 2048 (predefinição) ou 4096 bits. As opções de codificação e chave pública só estão disponíveis na Shell de Gestão do Exchange. Para obter mais informações, consulte New-ExchangeCertificate.

  • No EAC, tem de armazenar o ficheiro de pedido de certificado num caminho UNC (\\<Server>\<Share>\ ou \\<LocalServerName>\c$\). No Shell de Gerenciamento do Exchange, você pode especificar um caminho local.

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

  • Para obter mais informações sobre os atalhos de teclado que podem ser aplicados aos procedimentos neste artigo, consulte Atalhos de teclado no Centro de administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Utilizar o EAC para criar um novo pedido de certificado

Observação

O pedido de certificado ECP foi preterido no Exchange 2019 CU12 e superior e no Exchange 2016 CU23 e superior.

  1. Abra o EAC e navegue para Certificados de Servidores>.

  2. Na lista pendente Selecionar servidor , selecione o servidor Exchange onde pretende instalar o certificado e, em seguida, selecione Adicionarícone Adicionar..

É aberto o assistente Novo certificado do Exchange .

  1. Na página Este assistente irá criar um novo certificado ou um ficheiro de pedido de certificado , verifique se a opção Criar um pedido de certificado de uma autoridade de certificação está selecionada e, em seguida, selecione Seguinte.

    Observação

    Para criar um novo certificado autoassinado, veja Criar um novo certificado autoassinado do Exchange Server.

  2. Na página Nome amigável deste certificado , introduza um nome descritivo para o certificado e, em seguida, selecione Seguinte.

  3. Na página Pedir um certificado de caráter universal , efetue uma das seguintes opções:

    • Se quiser um certificado de caráter universal: selecione Pedir um certificado de caráter universal e introduza o caráter universal (*) e o domínio na caixa Domínio de raiz, por exemplo, *.contoso.com ou *.eu.contoso.com. Quando concluir, selecione Avançar.
    • Se quiser um certificado de nome alternativo (SAN) do requerente: não efetue seleções nesta página e selecione Seguinte.
    • Se quiser um certificado para um único anfitrião: não faça seleções nesta página e selecione Seguinte.

  4. Na página Armazenar certificado neste servidor , selecione Procurar e selecione o servidor Exchange onde pretende armazenar o pedido de certificado (onde pretende instalar o certificado). Em seguida, selecione OK e Seguinte.

    Observação

    Os passos 7 e 8 aplicam-se apenas a um pedido de certificado SAN ou a um certificado para um único anfitrião. Se tiver selecionado Pedir um certificado de caráter universal, avance para o Passo 9.

É apresentada a página Especificar os domínios que pretende incluir no certificado . Esta página é basicamente uma folha de cálculo que o ajuda a determinar os nomes de anfitrião internos e externos que são necessários no certificado para os seguintes serviços do Exchange:

  • Outlook na Web
  • Geração de livros de endereços offline (OAB)
  • Serviços de Web do Exchange
  • Exchange ActiveSync
  • Descoberta automática
  • POP
  • IMAP
  • Outlook em Qualquer Lugar

  1. Introduza um valor para cada serviço com base na localização (interna ou externa). Em seguida, o assistente determina os nomes de anfitrião que são necessários no certificado e as informações são apresentadas na página seguinte.

  2. Se quiser modificar um valor para um serviço, selecione Editar (ícone Editar.) e introduza o valor do nome do anfitrião que pretende utilizar (ou elimine o valor). Quando concluir, selecione Avançar.

    Observação

    Se já determinou os valores de nome de anfitrião de que precisa no certificado, não precisa de preencher as informações nesta página. Em vez disso, selecione Seguinte para introduzir manualmente os nomes de anfitrião na página seguinte.

Com base nas suas seleções, os seguintes domínios serão incluídos na sua página de certificado. Esta página lista os nomes de anfitrião que serão incluídos no pedido de certificado. O nome do anfitrião utilizado na caixa Assunto do certificado está a negrito, o que pode ser difícil de ver se esse nome de anfitrião está selecionado.

  1. Verifique as entradas de nome de anfitrião necessárias no certificado ao consultar as seleções que efetuou na página anterior.

    Se não quiser considerar esta lista de nomes de anfitriões para inclusão no pedido de certificado, vá para o Passo 10.

  2. Ignore os valores da última página e adicione, edite ou remova valores de nome de anfitrião ao executar os seguintes passos: a. Se quiser um certificado SAN: para selecionar o nome do anfitrião para o campo Assunto do certificado, selecione o valor e selecione Definir como nome comum (marca de verificação). O valor deverá agora aparecer a negrito. b. Se quiser um certificado para um único nome de anfitrião: selecione os outros valores um de cada vez e selecione Remover (ícone Remover.).

    Observação

    Não pode eliminar o valor de nome de anfitrião a negrito que será utilizado para a caixa Assunto do certificado. Primeiro, tem de selecionar ou adicionar um nome de anfitrião diferente e, em seguida, selecionar a caixa Definir como nome comum . As alterações que efetuar nesta página poderão perder-se se selecionar o botão Anterior .

  3. Na página Especificar informações sobre a sua organização , introduza os seguintes valores:

  • Nome da organização
  • Nome do departamento
  • Cidade/Localidade
  • Estado/Província
  • Nome do país/região

Observação

Estes valores X.500 estão incluídos na caixa Assunto do certificado. Embora seja necessário um valor em todos os campos antes de poder continuar, a AC poderá não se preocupar com determinados campos (por exemplo, Nome do departamento), enquanto outros campos são importantes (por exemplo, Nome do país/região e Nome da organização). Selecione os requisitos da caixa Assunto da sua AC.

  1. Quando concluir, selecione Avançar.

  2. Na página Guardar o pedido de certificado no seguinte ficheiro , introduza o caminho UNC e o nome do ficheiro do pedido de certificado, por exemplo, \\FileServer01\Data\ExchCertRequest.req. Quando terminar, selecione Concluir.

O pedido de certificado é apresentado na lista de certificados do Exchange com um valor de estado pendente. Para obter mais informações sobre os próximos passos, consulte a secção Passos seguintes.

Utilizar a Shell de Gestão do Exchange para criar um novo pedido de certificado

Para criar um novo pedido para um certificado de caráter universal, um certificado SAN ou um certificado para um único anfitrião, utilize a seguinte sintaxe:

  • Se precisar de enviar o conteúdo do ficheiro de pedido de certificado para a AC, utilize a seguinte sintaxe para criar um ficheiro de pedido codificado Base64:

    $txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

  • Se precisar de enviar o ficheiro de pedido de certificado para a AC, utilize a seguinte sintaxe para criar um ficheiro de pedido codificado DER:

    $binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)

Observação

A única parte necessária do valor do parâmetro SubjectName X.500 (caixa Assunto do certificado) para executar o comando é CN=<HostNameOrFQDN>. No entanto, deve incluir sempre o C=<CountryOrRegion> valor. Caso contrário, poderá não conseguir renovar o certificado. Selecione os requisitos da caixa Assunto da sua AC. Se não utilizar o parâmetro KeySize , o pedido de certificado tem uma chave pública RSA de 2048 bits. Se não utilizar o parâmetro Servidor , o comando é executado no servidor Exchange local.

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-ExchangeCertificate.

Pedido de certificado de caráter universal

Estes exemplos criam ficheiros de pedido de certificado para certificados com carateres universais com as seguintes propriedades:

  • SubjectName: *.contoso.com nos Estados Unidos, que requer o valor C=US,CN=*.contoso.com.
  • RequestFile: \\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx>
  • FriendlyName: Contoso.com Certificado de Caráter Universal

Para criar um ficheiro de pedido codificado Base64 para o certificado de caráter universal, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um ficheiro de pedido codificado DER para o certificado de caráter universal, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)

Pedido de certificado SAN

Estes exemplos criam ficheiros de pedido de certificado para certificados SAN com as seguintes propriedades:

  • SubjectName: mail.contoso.com nos Estados Unidos, que requer o valor C=US,CN=mail.contoso.com. Este valor CN é automaticamente incluído no parâmetro DomainName (o campo Nome Alternativo do Requerente ).
  • Outros valores do campo Nome Alternativo do Requerente :
    • autodiscover.contoso.com
    • legacy.contoso.com
    • mail.contoso.net
    • autodiscover.contoso.net
    • legacy.contoso.net
  • RequestFile: \\FileServer01\Data\Contoso SAN Cert.<cer or pfx>
  • FriendlyName: Contoso.com SAN Cert
  • DomainName: lista de domínios separados por vírgulas não listados

Para criar um ficheiro de pedido codificado Base64 para o certificado SAN, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um ficheiro de pedido codificado DER para o certificado SAN, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)

Pedido de certificado de requerente único

Estes exemplos criam ficheiros de pedido de certificado para certificados de requerente único com as seguintes propriedades:

  • SubjectName: mail.contoso.com nos Estados Unidos, que requer o valor C=US,CN=mail.contoso.com.
  • RequestFile: \\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx>
  • FriendlyName: Mail.contoso.com Cert

Para criar um ficheiro de pedido codificado Base64 para o certificado de requerente único, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um ficheiro de pedido codificado DER para o certificado de requerente único, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)

Como sabe que estes comandos funcionaram?

Para verificar se criou com êxito um novo pedido de certificado, execute um dos seguintes passos:

  • No EAC em Certificados de Servidores>, verifique se o servidor onde armazenou o pedido de certificado está selecionado. O pedido deve estar na lista de certificados com o valor do parâmetro Estado definido como Pedido pendente.

  • Na Shell de Gestão do Exchange no servidor onde armazenou o pedido de certificado, execute o seguinte comando:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Próximas etapas

O conteúdo de um ficheiro de pedido de certificado codificado com Base64 é semelhante ao exemplo descrito abaixo:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Tem de enviar estas informações para a AC. A forma como o envia depende da AC, mas normalmente envia o conteúdo do ficheiro numa mensagem de e-mail ou no formulário de pedido de certificado no site da AC.

Se a AC exigir um pedido de certificado binário codificado pelo DER (utilizou o cmdlet New-ExchangeCertificate com o comutador BinaryEncoded ), normalmente envia todo o ficheiro de pedido de certificado para a AC.

Depois de receber o certificado da AC, terá de concluir o pedido de certificado pendente. Para obter mais informações, veja Concluir um pedido de certificado do Exchange Server pendente.