Certificados digitales y cifrado en Exchange ServerDigital certificates and encryption in Exchange Server

El cifrado y los certificados digitales son consideraciones importantes en cualquier organización.Encryption and digital certificates are important considerations in any organization. De forma predeterminada, Exchange Server está configurado para usar seguridad de la capa de transporte (TLS) para cifrar la comunicación entre los servidores internos de Exchange y entre los servicios de Exchange en el servidor local.By default, Exchange Server is configured to use Transport Layer Security (TLS) to encrypt communication between internal Exchange servers, and between Exchange services on the local server. Pero, los administradores de Exchange necesitan tener en cuenta sus requisitos de cifrado para la comunicación con clientes internos y externos (equipos y dispositivos móviles), y servidores de mensajería externos.But, Exchange administrators need to consider their encryption requirements for communication with internal and external clients (computers and mobile devices), and external messaging servers.

Nota

Exchange Server 2019 incluye cambios importantes para mejorar la seguridad de las conexiones de cliente y servidor.Exchange Server 2019 includes important changes to improve the security of client and server connections. La configuración predeterminada para el cifrado habilitará TLS 1.2 únicamente y deshabilitará la compatibilidad con algoritmos antiguos (es decir, DES, 3DES, RC2 y RC4 y MD5).The default configuration for encryption will enable TLS 1.2 only and disable support for older algorithms (namely, DES, 3DES, RC2, RC4 and MD5). También se dará prioridad a los algoritmos de intercambio de claves de curva elíptica sobre los algoritmos de curva no elíptica.It will also configure elliptic curve key exchange algorithms with priority over non-elliptic curve algorithms. En Exchange Server 2016 y versiones posteriores, todas las opciones de criptografía se heredan de la configuración que se especifica en el sistema operativo.In Exchange Server 2016 and later, all cryptography settings are inherited from the configuration specified in the operating system. Para obtener más información, consulte Guía de TLS de Exchange Server.For additional information, see Exchange Server TLS Guidance.

En este tema se describen los diferentes tipos de certificados que están disponibles, la configuración predeterminada de los certificados en Exchange y las recomendaciones para los certificados adicionales que necesitará usar con Exchange.This topic describes the different types of certificates that are available, the default configuration for certificates in Exchange, and recommendations for additional certificates that you'll need to use with Exchange.

Para obtener los procedimientos necesarios para los certificados de Exchange Server, vea Procedimientos decertificado en Exchange Server .For the procedures that are required for certificates in Exchange Server, see Certificate procedures in Exchange Server.

Introducción a los certificados digitalesDigital certificates overview

Los certificados digitales son archivos electrónicos que funcionan como una contraseña en línea para comprobar la identidad de un usuario o equipo. Sirven para crear el canal cifrado, que a su vez se usa para las comunicaciones del cliente. Un certificado es una declaración digital emitida por una entidad de certificación (CA) que garantiza la identidad del poseedor del certificado y permite que las partes se comuniquen de manera segura mediante el cifrado.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. They're used to create the encrypted channel that's used for client communications. A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner by using encryption.

Los certificados digitales proporcionan los siguientes servicios:Digital certificates provide the following services:

  • Cifrado: ayudan a proteger los datos que se intercambian contra robos o manipulaciones.Encryption: They help protect the data that's exchanged from theft or tampering.

  • Autenticación: comprueban que sus poseedores (personas, sitios web e incluso dispositivos de red como enrutadores) son realmente quién o lo que dicen ser.Authentication: They verify that their holders (people, web sites, and even network devices such as routers) are truly who or what they claim to be. Normalmente, la autenticación es unidireccional, donde el origen comprueba la identidad del destino, pero la autenticación TLS mutua también es posible.Typically, the authentication is one-way, where the source verifies the identity of the target, but mutual TLS authentication is also possible.

Se pueden emitir certificados para varios usos. Por ejemplo: autenticación de usuario web, autenticación de servidor web, extensiones seguras multipropósito al correo de Internet (S/MIME), protocolo de seguridad de Internet (IPsec) y firma de código.Certificates can be issued for several uses. For example: web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), and code signing.

Un certificado contiene y vincula una clave pública con la identidad de la persona, el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente como el servidor usan las claves públicas y privadas para cifrar datos antes de transmitirlos. Para los usuarios, equipos y servicios de Windows, la confianza en una CA se establece cuando el certificado raíz se define en el almacén de certificados raíz de confianza y el certificado contiene una ruta de certificación válida. Un certificado se considera válido si no se ha revocado (no se encuentra en la lista de revocación de certificados de CA o CRL) ni ha expirado.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. The public and private keys are used by the client and the server to encrypt data before it's transmitted. For Windows users, computers, and services, trust in the CA is established when the root certificate is defined in the trusted root certificate store, and the certificate contains a valid certification path. A certificate is considered valid if it hasn't been revoked (it isn't in the CA's certificate revocation list or CRL), or hasn't expired.

Los tres tipos principales de certificados digitales se describen en la tabla siguiente.The three primary types of digital certificates are described in the following table.



TipoType DescripciónDescription VentajasAdvantages DesventajasDisadvantages
Certificado autofirmadoSelf-signed certificate El certificado se firma mediante la aplicación que lo ha creado.The certificate is signed by the application that created it. Costo (gratuito).Cost (free). Los dispositivos móviles y los equipos clientes no confían automáticamente en el certificado. El certificado necesita agregarse manualmente al almacén de certificados raíz de confianza en todos los equipos cliente y dispositivos, pero no todos los dispositivos móviles permiten cambios en el almacén de certificados raíz de confianza.The certificate isn't automatically trusted by client computers and mobile devices. The certificate needs to be manually added to the trusted root certificate store on all client computers and devices, but not all mobile devices allow changes to the trusted root certificate store.

No todos los servicios funcionan con certificados autofirmados.Not all services work with self-signed certificates.

Dificultad para establecer una infraestructura para la administración del ciclo de vida del certificado. Por ejemplo, los certificados autofirmados no pueden revocarse.Difficult to establish an infrastructure for certificate lifecycle management. For example, self-signed certificates can't be revoked.

Certificado emitido por una CA internaCertificate issued by an internal CA El certificado se emite mediante una infraestructura de clave pública (PKI) de su organización. Un ejemplo son los Servicios de certificados de Active Directory (AD CS). Para obtener más información, vea Información general de Servicios de certificados de Active Directory. The certificate is issued by a public key infrastructure (PKI) in your organization. An example is Active Directory Certificate Services (AD CS). For more information, see Active Directory Certificate Services Overview. Permite que las organizaciones emitan sus propios certificados.Allows organizations to issue their own certificates.

Menos costoso que los certificados de una CA comercial.Less expensive than certificates from a commercial CA.

Más complejidad para implementar y mantener la PKI.Increased complexity to deploy and maintain the PKI.

Los dispositivos móviles y los equipos clientes no confían automáticamente en el certificado. El certificado necesita agregarse manualmente al almacén de certificados raíz de confianza en todos los equipos cliente y dispositivos, pero no todos los dispositivos móviles permiten cambios en el almacén de certificados raíz de confianza.The certificate isn't automatically trusted by client computers and mobile devices. The certificate needs to be manually added to the trusted root certificate store on all client computers and devices, but not all mobile devices allow changes to the trusted root certificate store.

Certificado emitido por una CA comercialCertificate issued by a commercial CA El certificado se compra desde una CA comercial de confianza.The certificate is purchased from a trusted commercial CA. Implementación de certificados simplificada, porque todos los clientes, dispositivos y servidores confían automáticamente en los certificados.Simplified certificate deployment, because all clients, devices, and servers automatically trust the certificates. Costo. Necesita planear con antelación para minimizar el número de certificados que se necesitan.Cost. You need to plan ahead to minimize the number of certificates that are required.

Para demostrar que un titular de certificado es quien dice ser, el certificado debe identificar con precisión el titular del certificado a otros clientes, dispositivos o servidores. Los tres métodos básicos para hacer esto se describen en la tabla siguiente.To prove that a certificate holder is who they claim to be, the certificate must accurately identify the certificate holder to other clients, devices, or servers. The three basic methods to do this are described in the following table.



MétodoMethod DescripciónDescription VentajasAdvantages DesventajasDisadvantages
Coincidencia de asunto del certificadoCertificate subject match El campo Subject del certificado contiene el nombre común (CN) del host. Por ejemplo, el certificado que se ha emitido para www.contoso.com puede usarse para el sitio web https://www.contoso.com. The certificate's Subject field contains the common name (CN) of the host. For example, the certificate that's issued to www.contoso.com can be used for the web site https://www.contoso.com. Compatible con todos los clientes, dispositivos y servicios.Compatible with all clients, devices, and services.

Compartimentación. Revocar el certificado de un host no afecta a los demás hosts.Compartmentalization. Revoking the certificate for a host doesn't affect other hosts.

Número de certificados necesarios. Solo puede usar el certificado para el host especificado. Por ejemplo, no puede usar el certificado de www.contoso.com para ftp.contoso.com, ni cuando los servicios están instalados en el mismo servidor.Number of certificates required. You can only use the certificate for the specified host. For example, you can't use the www.contoso.com certificate for ftp.contoso.com, even when the services are installed on the same server.

Complejidad. En un servidor web, cada certificado necesita su propio enlace de direcciones IP.Complexity. On a web server, each certificate requires its own IP address binding.

Coincidencia del nombre alternativo del firmante (SAN) del certificadoCertificate subject alternative name (SAN) match Además del campo Subject, el campo Subject Alternative Name del certificado contiene una lista de varios nombres de host. Por ejemplo: In addition to the Subject field, the certificate's Subject Alternative Name field contains a list of multiple host names. For example:
  • www.contoso.comwww.contoso.com
  • ftp.contoso.comftp.contoso.com
  • ftp.eu.fabirkam.netftp.eu.fabirkam.net
Comodidad. Puede usar el mismo certificado para varios hosts en varios dominios independientes.Convenience. You can use the same certificate for multiple hosts in multiple, separate domains.

La mayoría de los clientes, dispositivos y servicios admiten certificados de SAN.Most clients, devices, and services support SAN certificates.

Auditoría y seguridad. Sabe exactamente qué hosts pueden usar el certificado de SAN.Auditing and security. You know exactly which hosts are capable of using the SAN certificate.

Se necesita más planeación. Necesita proporcionar la lista de hosts cuando cree el certificado.More planning required. You need to provide the list of hosts when you create the certificate.

Falta de compartimentación. No puede revocar certificados de manera selectiva para algunos de los hosts especificados sin que afecte a todos los hosts del certificado.Lack of compartmentalization. You can't selectively revoke certificates for some of the specified hosts without affecting all of the hosts in the certificate.

Coincidencia del certificado comodínWildcard certificate match El campo Subject del certificado contiene el nombre común como el carácter comodín (*) además de un dominio o subdominio único. Por ejemplo, *.contoso.com o *.eu.contoso.com. El certificado comodín *.contoso.com puede usarse para: The certificate's Subject field contains the common name as the wildcard character (*) plus a single domain or subdomain. For example, *.contoso.com or *.eu.contoso.com. The *.contoso.com wildcard certificate can be used for:
  • www.contoso.comwww.contoso.com
  • ftp.contoso.comftp.contoso.com
  • mail.contoso.commail.contoso.com
Flexibilidad.Flexibility. No es necesario proporcionar una lista de hosts al solicitar el certificado y puede usar el certificado en cualquier número de hosts que pueda necesitar en el futuro.You don't need to provide a list of hosts when you request the certificate, and you can use the certificate on any number of hosts that you may need in the future. No puede usar certificados comodín con otros dominios de primer nivel (TLD). Por ejemplo, no puede usar el certificado comodín *.contoso.com para los hosts de *.contoso.net.You can't use wildcard certificates with other top-level domains (TLDs). For example, you can't use the *.contoso.com wildcard certificate for *.contoso.net hosts.

Solo puede usar certificados comodín para nombres de host en el nivel del carácter comodín. Por ejemplo, no puede usar el certificado *.contoso.com para www.eu.contoso.com. O, no puede usar el certificado *.eu.contoso.com para www.uk.eu.contoso.com.You can only use wildcard certificates for host names at the level of the wildcard. For example, you can't use the *.contoso.com certificate for www.eu.contoso.com. Or, you can't use the *.eu.contoso.com certificate for www.uk.eu.contoso.com.

Los servicios, aplicaciones, dispositivos o clientes antiguos puede que no sean compatibles con los certificados comodín.Older clients, devices, applications, or services might not support wildcard certificates.

Los caracteres comodín no están disponibles para los certificados de validación extendida (EV).Wildcards aren't available with Extended Validation (EV) certificates.

Se necesita un control y una auditoría minuciosa. Si el certificado comodín está en peligro, afecta a cada host del dominio especificado.Careful auditing and control is required. If the wildcard certificate is compromised, it affects every host in the specified domain.

Certificados en ExchangeCertificates in Exchange

Al instalar Exchange 2016 o Exchange 2019 en un servidor, Exchange crea e instala dos certificados autofirmados.When you install Exchange 2016 or Exchange 2019 on a server, two self-signed certificates are created and installed by Exchange. Microsoft Windows crea e instala un tercer certificado autofirmado para el servicio de administración web en Internet Information Services (IIS).A third self-signed certificate is created and installed by Microsoft Windows for the Web Management service in Internet Information Services (IIS). Estos tres certificados están visibles en el Centro de administración de Exchange (EAC) y el Shell de administración de Exchange, y se describen en la tabla siguiente:These three certificates are visible in the Exchange admin center (EAC) and the Exchange Management Shell, and are described in the following table:



NombreName ComentariosComments
Microsoft ExchangeMicrosoft Exchange Este certificado autofirmado de Exchange tiene las siguientes características:This Exchange self-signed certificate has the following capabilities:
  • Todos los servidores de Exchange de la organización confían automáticamente en el certificado.The certificate is automatically trusted by all other Exchange servers in the organization. Esto incluye los servidores de transporte perimetral suscritos a la organización de Exchange.This includes any Edge Transport servers subscribed to the Exchange organization.
  • El certificado está habilitado automáticamente para todos los servicios de Exchange excepto la mensajería unificada, y se usa para cifrar la comunicación interna entre servidores de Exchange, servicios de Exchange en el mismo equipo y las conexiones de cliente redirigidas mediante proxy desde los servicios de acceso de cliente a los servicios de back-end en servidores de buzón.The certificate is automatically enabled for all Exchange services except Unified Messaging, and is used to encrypt internal communication between Exchange servers, Exchange services on the same computer, and client connections that are proxied from the Client Access services to the backend services on Mailbox servers. (Nota: la mensajería unificada no está disponible en Exchange 2019).(Note: UM is not available on Exchange 2019.)
  • El certificado está habilitado automáticamente para las conexiones entrantes desde servidores externos de mensajes de SMTP, y para las conexiones salientes para servidores externos de mensajes de SMTP.The certificate is automatically enabled for inbound connections from external SMTP messaging servers, and outbound connections to external SMTP messaging servers. Esta configuración predeterminada permite a Exchange proporcionar TLS oportunista en todas las conexiones SMTP entrantes y salientes.This default configuration allows Exchange to provide opportunistic TLS on all inbound and outbound SMTP connections. Exchange intenta cifrar la sesión de SMTP con un servidor externo de mensajes, pero si el servidor externo no admite el cifrado TLS, la sesión no se cifra.Exchange attempts to encrypt the SMTP session with an external messaging server, but if the external server doesn't support TLS encryption, the session is unencrypted.
  • El certificado no proporciona una comunicación cifrada con clientes internos o externos. Los clientes y servidores no confían en el certificado autofirmado de Exchange, porque el certificado no se define en sus almacenes de certificados raíz de confianza.The certificate doesn't provide encrypted communication with internal or external clients. Clients and servers don't trust the Exchange self-signed certificate, because the certificate isn't defined in their trusted root certification stores.
Certificado de autenticación de Microsoft Exchange ServerMicrosoft Exchange Server Auth Certificate Este certificado autofirmado de Exchange se usa para la autenticación de servidor a servidor y la integración con OAuth.This Exchange self-signed certificate is used for server-to-server authentication and integration by using OAuth. Para obtener más información, vea Plan Exchange Server integration with SharePoint and Skype for Business.For more information, see Plan Exchange Server integration with SharePoint and Skype for Business.
WMSVCWMSVC El Servicio de administración web de IIS usa este certificado autofirmado de Windows para habilitar la administración remota del servidor web y sus aplicaciones y sitios web asociados.This Windows self-signed certificate is used by the Web Management service in IIS to enable remote management of the web server and its associated web sites and applications.

Si quita este certificado, el Servicio de administración web no podrá iniciarse si no está seleccionado ningún certificado válido.If you remove this certificate, the Web Management service will fail to start if no valid certificate is selected. Tener el servicio en este estado puede impedir que instale actualizaciones de Exchange, o que desinstale Exchange del servidor.Having the service in this state can prevent you from installing Exchange updates, or uninstalling Exchange from the server. Para obtener instrucciones sobre cómo corregir este problema, vea Event ID 1007 - Servicio de administración web de IIS AuthenticationFor instructions on how to correct this issue, see Event ID 1007 - IIS Web Management Service Authentication

Las propiedades de estos certificados autofirmados se describen en la sección Propiedades de los certificados autofirmados predeterminados.The properties of these self-signed certificates are described in the Properties of the default self-signed certificates section.

Estos son los problemas principales que necesita tener en cuenta cuando se trata de certificados en Exchange:These are the key issues that you need to consider when it comes to certificates in Exchange:

  • No necesita reemplazar el certificado autofirmado de Microsoft Exchange para cifrar el tráfico de red entre servidores y servicios de Exchange de su organización.You don't need to replace the Microsoft Exchange self-signed certificate to encrypt network traffic between Exchange servers and services in your organization.

  • Necesita certificados adicionales para cifrar las conexiones de los servidores de Exchange mediante clientes internos y externos.You need additional certificates to encrypt connections to Exchange servers by internal and external clients.

  • Necesita certificados adicionales para forzar el cifrado de las conexiones de SMTP entre los servidores de Exchange y los servidores externos de mensajes.You need additional certificates to force the encryption of SMTP connections between Exchange servers and external messaging servers.

Los siguientes elementos de planeación e implementación para Exchange Server son controladores importantes para los requisitos del certificado:The following elements of planning and deployment for Exchange Server are important drivers for your certificate requirements:

Requisitos de certificado para servicios de ExchangeCertificate requirements for Exchange services

Los servicios de Exchange a los que se pueden asignar los certificados se describen en la tabla siguiente.The Exchange services that certificates can be assigned to are described in the following table.



ServicioService DescripciónDescription
IIS (HTTP)IIS (HTTP) De manera predeterminada, los siguientes servicios se ofrecen en el sitio web predeterminado en los servicios de acceso de cliente (front-end) en un servidor de buzón, y los clientes los usan para conectarse a Exchange:By default, the following services are offered under the default website in the Client Access (frontend) services on a Mailbox server, and are used by clients to connect to Exchange:
  • Detección automáticaAutodiscover
  • Exchange ActiveSyncExchange ActiveSync
  • Centro de administración de ExchangeExchange admin center
  • Servicios web de ExchangeExchange Web Services
  • Distribución de la libreta de direcciones sin conexión (OAB)Offline address book (OAB) distribution
  • Outlook en cualquier lugar (RPC sobre el proxy HTTP)Outlook Anywhere (RPC over HTTP)
  • Outlook MAPI sobre HTTPOutlook MAPI over HTTP
  • Outlook en la webOutlook on the web
  • PowerShell remoto*Remote PowerShell*

Como solo puede asociar un certificado único a un sitio web, todos los nombres DNS que los clientes usan para conectarse a estos servicios necesitan incluirse en el certificado. Puede obtener esto mediante un certificado de SAN o un certificado comodín.Because you can only associate a single certificate with a website, all the DNS names that clients use to connect to these services need to be included in the certificate. You can accomplish this by using a SAN certificate or a wildcard certificate.

POP o IMAPPOP or IMAP Los certificados usados para POP o IMAP pueden ser diferentes del certificado usado para IIS. En cambio, para simplificar la administración, recomendamos que también incluya los nombres de host que se usan para POP o IMAP en el certificado IIS, y use el mismo certificado para todos estos servicios.The certificates that are used for POP or IMAP can be different from the certificate that's used for IIS. However, to simplify administration, we recommend that you also include the host names that are used for POP or IMAP in your IIS certificate, and use the same certificate for all of these services.
SMTPSMTP Las conexiones de SMTP de clientes o servidores de mensajes se aceptan por uno o más conectores de recepción que están configurados en el servicio de Transporte front-end en el servidor de Exchange. Para obtener más información, vea Conectores de recepción. SMTP connections from clients or messaging servers are accepted by one or more Receive connectors that are configured in the Front End Transport service on the Exchange server. For more information, see Receive connectors.

Para requerir el cifrado TLS en las conexiones de SMTP, puede usar un certificado independiente para cada conector de recepción. El certificado debe incluir el nombre DNS que usan los servidores o clientes de SMTP para conectarse al conector de recepción. Para que la administración de certificados sea más sencilla, considere la posibilidad de incluir en un solo certificado todos los nombres DNS para los que es necesario el tráfico TLS. To require TLS encryption for SMTP connections, you can use a separate certificate for each Receive connector. The certificate must include the DNS name that's used by the SMTP clients or servers to connect to the Receive connector. To simplify certificate management, consider including all DNS names for which you have to support TLS traffic in a single certificate.

Para requerir la autenticación TLS mutua, donde las conexiones SMTP entre los servidores de origen y de destino están cifradas y autenticadas, vea Seguridad del dominio.To require mutual TLS authentication, where the SMTP connections between the source and destination servers are both encrypted and authenticated, see Domain Security.

Mensajería unificada (UM)Unified Messaging (UM) Para obtener más información, vea Deploying Certificates for UM.For more information, see Deploying Certificates for UM.

Nota: La mensajería unificada no está disponible en Exchange 2019.Note: UM is not available in Exchange 2019.

Implementación híbrida con Microsoft 365 u Office 365Hybrid deployment with Microsoft 365 or Office 365 Para obtener más información, vea Certificate Requirements for Hybrid Deployments.For more information, see Certificate Requirements for Hybrid Deployments.
Extensiones seguras multipropósito al correo de Internet (S/MIME)Secure/Multipurpose Internet Mail Extensions (S/MIME) Para obtener más información, vea S/MIME para la firma y el cifrado de mensajes.For more information, see S/MIME for message signing and encryption.

* La autenticación Kerberos y el cifrado Kerberos se usan para el acceso remoto de PowerShell, tanto desde el Centro de administración de Exchange como desde el Shell de administración de Exchange.* Kerberos authentication and Kerberos encryption are used for remote PowerShell access, from both the Exchange admin center and the Exchange Management Shell. Por lo tanto, no necesita configurar sus certificados para usarlos con PowerShell remoto, siempre que se conecte directamente a un servidor de Exchange (no a un espacio de nombres de carga equilibrada).Therefore, you don't need to configure your certificates for use with remote PowerShell, as long as you connect directly to an Exchange server (not to a load balanced namespace). Para usar PowerShell remoto para conectarse a un servidor Exchange desde un equipo que no es miembro del dominio o para conectarse desde Internet, debe configurar los certificados para usarlos con PowerShell remoto.To use remote PowerShell to connect to an Exchange server from a computer that isn't a member of the domain, or to connect from the internet, you need to configure your certificates for use with remote PowerShell.

Procedimientos recomendados para los certificados de ExchangeBest practices for Exchange certificates

Aunque la configuración de los certificados digitales de la organización variará en función de sus necesidades específicas, a continuación se incluye información sobre prácticas recomendadas que puede serle útil a la hora de elegir la configuración de certificados digitales más adecuada.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

  • Use el menor número posible de certificados: es muy probable que esto signifique usar certificados SAN o certificados comodín.Use as few certificates as possible: Very likely, this means using SAN certificates or wildcard certificates. En términos de interoperabilidad con Exchange, ambos son equivalentes a nivel funcional.In terms of interoperability with Exchange, both are functionally equivalent. La decisión de si usar un certificado de SAN o un certificado comodín depende más de las características o limitaciones principales (reales o percibidas) para cada tipo de certificado como se describe en la Introducción a los certificados digitales.The decision on whether to use a SAN certificate vs a wildcard certificate is more about the key capabilities or limitations (real or perceived) for each type of certificate as described in the Digital certificates overview.

    Por ejemplo, si todos sus nombres comunes van a estar en el mismo nivel de contoso.com, no importa si usa un certificado de SAN o un certificado comodín. Pero, si necesita usar el certificado para autodiscover.contoso.com, autodiscover.fabrikam.com y autodiscover.northamerica.contoso.com, necesita usar un certificado de SAN.For example, if all of your common names will be in the same level of contoso.com, it doesn't matter if you use a SAN certificate or a wildcard certificate. But, if need to use the certificate for autodiscover.contoso.com, autodiscover.fabrikam.com, and autodiscover.northamerica.contoso.com, you need to use a SAN certificate.

  • Usar certificados de una CA comercial para conexiones de cliente y de servidor externo: aunque puede configurar la mayoría de los clientes para que confíen en cualquier emisor de certificados o certificados, es mucho más fácil usar un certificado de una CA comercial para las conexiones de cliente a los servidores de Exchange.Use certificates from a commercial CA for client and external server connections: Although you can configure most clients to trust any certificate or certificate issuer, it's much easier to use a certificate from a commercial CA for client connections to your Exchange servers. No se necesita ninguna configuración en el cliente para que confíe en un certificado que se ha emitido mediante una CA comercial.No configuration is required on the client to trust a certificate that's issued by a commercial CA. Muchas CA comerciales ofrecen certificados que están configurados específicamente para Exchange.Many commercial CAs offer certificates that are configured specifically for Exchange. Puede usar el EAC o el Shell de administración de Exchange para generar solicitudes de certificado que funcionen con la mayoría de las CA comerciales.You can use the EAC or the Exchange Management Shell to generate certificate requests that work with most commercial CAs.

  • Elija la CA comercial correcta: compare los precios de los certificados y las características entre las CA.Choose the right commercial CA: Compare certificate prices and features between CAs. Por ejemplo:For example:

    • Compruebe que la CA es de confianza para los clientes (sistemas operativos, exploradores y dispositivos móviles) que se conectan a los servidores de Exchange.Verify that the CA is trusted by the clients (operating systems, browsers, and mobile devices) that connect to your Exchange servers.

    • Compruebe que la CA admite el tipo de certificado que necesita. Por ejemplo, no todas las CA admiten certificados de SAN, la CA puede limitar el número de nombres comunes que puede usar en un certificado de SAN, o la CA puede facturarle más en función del número de nombres comunes de un certificado de SAN.Verify that the CA supports the kind of certificate that you need. For example, not all CAs support SAN certificates, the CA might limit the number of common names that you can use in a SAN certificate, or the CA may charge extra based on the number of common names in a SAN certificate.

    • Vea si la CA ofrece un período de gracia durante el que puede agregar nombres comunes adicionales a certificados de SAN después de que se emitan sin cargos.See if the CA offers a grace period during which you can add additional common names to SAN certificates after they're issued without being charged.

    • Compruebe que la licencia del certificado le permite usar el certificado en el número de servidores necesario. Algunas CA solo le permiten usar el certificado en un servidor.Verify that the certificate's license allows you to use the certificate on the required number of servers. Some CAs only allow you to use the certificate on one server.

  • Use el Asistente para certificados de Exchange: un error común al crear certificados es olvidar uno o más nombres comunes necesarios para los servicios que desea usar.Use the Exchange certificate wizard: A common error when you create certificates is to forget one or more common names that are required for the services that you want to use. El Asistente para certificados en el Centro de administración de Exchange le ayuda a incluir la lista correcta de nombres comunes en la solicitud del certificado.The certificate wizard in the Exchange admin center helps you include the correct list of common names in the certificate request. El asistente le permite especificar los servicios que usará el certificado, e incluye los nombres comunes que necesita tener en el certificado para esos servicios.The wizard lets you specify the services that will use the certificate, and includes the common names that you need to have in the certificate for those services. Ejecute el asistente para certificados cuando haya implementado el conjunto inicial de servidores de Exchange 2016 o Exchange 2019 y determine qué nombres de host usar para los distintos servicios para la implementación.Run the certificate wizard when you've deployed your initial set of Exchange 2016 or Exchange 2019 servers and determined which host names to use for the different services for your deployment.

  • Use el menor número posible de nombres de host: minimizar el número de nombres de host en certificados SAN reduce la complejidad que implica la administración de certificados.Use as few host names as possible: Minimizing the number of host names in SAN certificates reduces the complexity that's involved in certificate management. No se sienta obligado a incluir los nombres de host de servidores de Exchange individuales en certificados de SAN si el uso previsto para el certificado no lo necesita.Don't feel obligated to include the host names of individual Exchange servers in SAN certificates if the intended use for the certificate doesn't require it. Normalmente, solo necesita incluir los nombres DNS que se presentan a los clientes internos, clientes externos o servidores externos que usan el certificado para conectarse a Exchange.Typically, you only need to include the DNS names that are presented to the internal clients, external clients, or external servers that use the certificate to connect to Exchange.

    Para una organización Exchange Server llamada Contoso, este es un ejemplo hipotético de los nombres de host mínimos que serían necesarios:For a simple Exchange Server organization named Contoso, this is a hypothetical example of the minimum host names that would be required:

    • mail.contoso.com: este nombre de host cubre la mayoría de las conexiones a Exchange, incluidos Outlook, Outlook en la web, distribución de la OAB, Servicios web de Exchange, Centro de administración de Exchange y Exchange ActiveSync.mail.contoso.com: This host name covers most connections to Exchange, including Outlook, Outlook on the web, OAB distribution, Exchange Web Services, Exchange admin center, and Exchange ActiveSync.

    • autodiscover.contoso.com: este nombre de host específico es necesario para los clientes que admiten la detección automática, incluidos los clientes de Outlook, Exchange ActiveSync y Exchange Web Services.autodiscover.contoso.com: This specific host name is required by clients that support Autodiscover, including Outlook, Exchange ActiveSync, and Exchange Web Services clients. Para más información, vea Servicio Detección automática.For more information, see Autodiscover service.

Propiedades de los certificados autofirmados predeterminadosProperties of the default self-signed certificates

Algunas de las propiedades más interesantes de los certificados autofirmados predeterminados que están visibles en el Centro de administración de Exchange o el Shell de administración de Exchange en un servidor de Exchange se describen en la tabla siguiente.Some of the more interesting properties of the default self-signed certificates that are visible in the Exchange admin center and/or the Exchange Management Shell on an Exchange server are described in the following table.



PropiedadProperty Microsoft ExchangeMicrosoft Exchange Certificado de autenticación de Microsoft Exchange ServerMicrosoft Exchange Server Auth Certificate WMSVCWMSVC
AsuntoSubject CN=<ServerName> (por ejemplo, CN=Mailbox01 )CN=<ServerName> (for example, CN=Mailbox01) CN=Microsoft Exchange Server Auth Certificate CN=WMSvc-<ServerName> (por ejemplo, CN=WMSvc-Mailbox01 )CN=WMSvc-<ServerName> (for example, CN=WMSvc-Mailbox01)
Nombres alternativos de sujeto (CertificateDomains)Subject Alternative Names (CertificateDomains) <ServerName> (por ejemplo, Mailbox01)<ServerName> (for example, Mailbox01)

<ServerFQDN> (por ejemplo, Mailbox01.contoso.com)<ServerFQDN> (for example, Mailbox01.contoso.com)

ningunonone WMSvc-<ServerName> (por ejemplo, WMSvc-Mailbox01 )WMSvc-<ServerName> (for example, WMSvc-Mailbox01)
Tiene clave privada (HasPrivateKey)Has private key (HasPrivateKey) (True)Yes (True) (True)Yes (True) (True)Yes (True)
PrivateKeyExportable*PrivateKeyExportable* FalseFalse TrueTrue TrueTrue
EnhancedKeyUsageList*EnhancedKeyUsageList* Autenticación del servidor (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1) Autenticación del servidor (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1) Autenticación del servidor (1.3.6.1.5.5.7.3.1)Server Authentication (1.3.6.1.5.5.7.3.1)
IISServices*IISServices* IIS://<ServerName>/W3SVC/1, IIS://<ServerName>/W3SVC/2 (por ejemplo, IIS://Mailbox01/W3SVC/1, IIS://Mailbox01/W3SVC/2 )IIS://<ServerName>/W3SVC/1, IIS://<ServerName>/W3SVC/2 (for example, IIS://Mailbox01/W3SVC/1, IIS://Mailbox01/W3SVC/2) ningunonone ningunonone
IsSelfSignedIsSelfSigned TrueTrue TrueTrue TrueTrue
EmisorIssuer CN=<ServerName> (por ejemplo, CN=Mailbox01 )CN=<ServerName> (for example, CN=Mailbox01) CN=Microsoft Exchange Server Auth Certificate CN=WMSvc-<ServerName> (por ejemplo, CN=WMSvc-Mailbox01 )CN=WMSvc-<ServerName> (for example, CN=WMSvc-Mailbox01)
NotBeforeNotBefore Le fecha y la hora en la que se ha instalado Exchange.The date/time that Exchange was installed. Le fecha y la hora en la que se ha instalado Exchange.The date/time that Exchange was installed. La fecha y la hora en la que el Servicio de administración web de IIS se ha instalado.The date/time that the IIS Web Manager service was installed.
Expira en (NotAfter)Expires on (NotAfter) 5 años después de NotBefore .5 years after NotBefore. 5 años después de NotBefore .5 years after NotBefore. 10 años después NotBefore de .10 years after NotBefore.
Tamaño de clave pública (PublicKeySize)Public key size (PublicKeySize) 20482048 20482048 20482048
RootCATypeRootCAType RegistroRegistry NingunoNone RegistroRegistry
ServiciosServices IMAP, POP, IIS, SMTPIMAP, POP, IIS, SMTP SMTPSMTP NingunoNone

* Estas propiedades no están visibles en la vista estándar del Shell de administración de Exchange.* These properties aren't visible in the standard view in the Exchange Management Shell. Para verlas, necesita especificar el nombre de propiedad (nombre exacto o coincidencia de carácter comodín) con los cmdlets Format-Table o Format-List.To see them, you need to specify the property name (exact name or wildcard match) with the Format-Table or Format-List cmdlets. Por ejemplo:For example:

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-List *

  • Get-ExchangeCertificate -Thumbprint <Thumbprint> | Format-Table -Auto FriendlyName,*PrivateKey*

Para obtener más información, vea Get-ExchangeCertificate.For more information, see Get-ExchangeCertificate.

En la siguiente tabla se describen más detalles sobre los certificados autofirmados predeterminados que son visibles en el Administrador de certificados de Windows.Further details about the default self-signed certificates that are visible in Windows Certificate Manger are described in the following table.



PropiedadProperty Microsoft ExchangeMicrosoft Exchange Certificado de autenticación de Microsoft Exchange ServerMicrosoft Exchange Server Auth Certificate WMSVCWMSVC
Algoritmo de firmaSignature algorithm sha1RSAsha1RSA sha1RSAsha1RSA sha1RSAsha1RSA
Algoritmo hash de firmaSignature hash algorithm sha1sha1 sha1sha1 sha1sha1
Uso de la claveKey usage Firma digital, cifrado de clave (a0)Digital Signature, Key Encipherment (a0) Firma digital, cifrado de clave (a0)Digital Signature, Key Encipherment (a0) Firma digital, cifrado de clave (a0), cifrado de datos (b0 00 00 00)Digital Signature, Key Encipherment (a0), Data Encipherment (b0 00 00 00)
Restricciones básicasBasic constraints Subject Type=End Entity

Path Length Constraint=None

Subject Type=End Entity

Path Length Constraint=None

n/dn/a
Algoritmo de huella digitalThumbprint algorithm sha1sha1 sha1sha1 sha1sha1

Normalmente, no usa el Administrador de certificados de Windows para administrar certificados de Exchange (usa el Centro de administración de Exchange o el Shell de administración de Exchange). Tenga en cuenta que el certificado WMSVC no es un certificado Exchange.Typically, you don't use Windows Certificate Manger to manage Exchange certificates (use the Exchange admin center or the Exchange Management Shell). Note that the WMSVC certificate isn't an Exchange certificate.