Compartilhar via

Renovar o certificado de federação

  • Artigo

Este tópico explica como atualizar o certificado de federação autoassinado usado em uma confiança de federação:

  • Se o certificado de federação não tiver expirado, siga as etapas na seção Atualizar um certificado de federação em funcionamento.

  • Se o certificado de federação já tiver expirado, siga as etapas na seção Substituir um certificado de federação expirada.

Observação

Por design, depois de renovar o certificado, o certificado expirado associado à confiança da federação não pode ser removido do objeto de confiança da federação.

Para obter mais informações sobre confianças e federação de federação, consulte Federação.

Do que você precisa saber para começar?

  • Tempo estimado para conclusão: 10 minutos.

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Federação e certificados" no tópico permissões de infraestrutura do Exchange e shell.

  • Os procedimentos neste tópico usam o Shell de Gerenciamento do Exchange. Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização Exchange local, confira Open the Shell.

  • Para ver se o certificado de federação existente expirou, execute o seguinte comando no Shell de Gerenciamento do Exchange:

    Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | Format-Table -Auto Thumbprint,NotAfter

  • Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Aviso

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.

Atualizar um certificado de federação de trabalho

Se o certificado de federação não tiver expirado, você poderá atualizar a confiança de federação existente com um novo certificado de federação.

Etapa 1: Criar um novo certificado de federação

Execute o seguinte comando no Shell de Gerenciamento do Exchange para criar um novo certificado de federação:

$SKI = [System.Guid]::NewGuid().ToString("N"); New-ExchangeCertificate -DomainName 'Federation' -FriendlyName "Exchange Delegation Federation" -Services Federation -SubjectKeyIdentifier $SKI -PrivateKeyExportable $true

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-ExchangeCertificate.

A saída de comando contém o valor da impressão digital do novo certificado. Você precisará desse valor nas etapas restantes e poderá copiar o valor diretamente da janela Shell de Gerenciamento do Exchange:

  1. Clique com o botão direito do mouse em qualquer lugar na janela Shell de Gerenciamento do Exchange e selecione Marcar na caixa de diálogo exibida.

  2. Selecione o valor da impressão digital e pressione ENTER.

Para os outros procedimentos neste tópico, usaremos o valor da impressão digital do certificado de federação: 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73. O valor da impressão digital do certificado será diferente.

Etapa 2: configurar o novo certificado como o certificado de federação

Para usar o Shell de Gerenciamento do Exchange para configurar o novo certificado como o certificado de federação, use a seguinte sintaxe:

Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint <Thumbprint> -RefreshMetaData

Este exemplo usa o valor 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 da impressão digital do certificado da Etapa 1.

Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 -RefreshMetaData

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-FederationTrust.

Nota: A saída de comando contém um aviso de que você precisa atualizar a prova do registro TXT de propriedade de domínio no DNS. Você fará isso na próxima etapa.

Etapa 3: atualizar a prova de federação do registro TXT de propriedade de domínio no DNS externo

Você pode executar essa etapa com segurança agora, pois o registro TXT de propriedade de domínio só é verificado durante a ativação (Etapa 5). No entanto, depois de atualizar o registro TXT e antes de continuar para a próxima etapa, você precisa dar tempo para o registro TXT atualizado se propagar (com base na hora de viver ou no valor TTL do registro DNS).

  1. Localize os valores necessários para o registro TXT necessário executando o seguinte comando no Shell de Gerenciamento do Exchange:

    Get-FederatedDomainProof -DomainName <Domain> | Format-List Thumbprint,Proof

    Por exemplo, se o domínio federado for contoso.com, execute o seguinte comando:

    Get-FederatedDomainProof -DomainName contoso.com | Format-List Thumbprint,Proof

    A saída de comando é semelhante a esta:

    Thumbprint : <new certificate thumbprint> (for example, 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73)

Proof      : <new hash text> (for example, znMfbkgSbOQSsWFdsW+gm3to0nZSdE3zbcPPHGVAqdgsLFGsCPuLHiyVbKoPmgyZKX90NH2g1PbCZH0YTQF6oA==)

Thumbprint : <old certificate thumbprint> (for example, CC9BC204BB4DC60D06FC1F10F3C373DC785DA2A5)

Proof      : <old hash text> (for example, m4gZX7OLr9iOWYJMVjEklQpoSkPb5hSbcFjD7Q3/vsqmdJ2Z+HcSt7j5pzBKFmEW2s27JYr3xsK2POzAI/8Ffw==)

    Observe que a saída de comando retorna informações para dois registros de propriedade de domínio: um para o novo certificado e outro para o certificado atual que você está substituindo. Você pode dizer qual é o valor da impressão digital e o valor de texto de hash configurado na prova atual do registro TXT de propriedade de domínio em seu DNS externo (público).

  2. Atualize a prova de federação do registro TXT de propriedade de domínio em seu DNS externo. As instruções variam de acordo com seu provedor DNS, mas você pode editar o registro TXT atual para substituir o valor de texto de hash atual pelo novo valor de texto hash. Para obter mais informações, consulte a seção Exchange Online nos registros do Sistema de Nomes de Domínio Externo para Office 365.

Etapa 4: verificar a distribuição do novo certificado de federação para todos os servidores do Exchange

O Exchange distribui automaticamente o novo certificado de federação para todos os servidores, mas precisamos verificar a distribuição antes que possamos prosseguir.

Para usar o Shell de Gerenciamento do Exchange para verificar a distribuição do novo certificado de federação, execute o seguinte comando:

$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match 'Federation'}} | Format-List Identity,Thumbprint,Services,Subject

Nota: No Exchange 2010, a saída do cmdlet Test-FederationCertificate contém nomes de servidor. A saída do cmdlet no Exchange 2013 ou posterior não inclui nomes de servidor.

Etapa 5: Ativar o novo certificado de federação

Para usar o Shell de Gerenciamento do Exchange para ativar o novo certificado de federação, execute o seguinte comando:

Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-FederationTrust.

Nota: A saída de comando contém um aviso de que você precisa atualizar a prova do registro TXT de propriedade de domínio no DNS (o que você já fez na Etapa 3).

Como saber se funcionou?

Para verificar se você atualizou com êxito a confiança da federação existente com um novo certificado de federação, use estas etapas:

  • No Shell de Gerenciamento do Exchange, execute o seguinte comando para verificar se o novo certificado está sendo usado:

    Get-FederationTrust | Format-List *priv*

    • A propriedade OrgPrivCertificate deve conter a impressão digital do novo certificado de federação.

    • A propriedade OrgPrevPrivCertificate deve conter a impressão digital do certificado de federação antigo (substituído).

  • No Shell de Gerenciamento do Exchange, substitua <o endereço> de email do usuário pelo endereço de email de um usuário em sua organização e execute o seguinte comando para verificar se a confiança da federação está funcionando:

    Test-FederationTrust -UserIdentity <user's email address>

Substituir um certificado de federação expirado

Se o certificado de federação já tiver expirado, você precisará remover todos os domínios federados da confiança da federação e remover e recriar a confiança da federação.

  1. Se você tiver vários domínios federados, precisará identificar o domínio compartilhado de domínio primário para poder removê-lo por último. Para usar o Shell de Gerenciamento do Exchange para identificar o domínio compartilhado primário e todos os domínios federados, execute o seguinte comando:

    Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains

    O valor da propriedade AccountNamespace contém o domínio compartilhado primário no formato FYDIBOHF25SPDLT<primary shared domain>. Por exemplo, no valor FYDIBOHF25SPDLT.contoso.com, contoso.com é o domínio compartilhado primário.

  2. Remova cada domínio federado que não é o domínio compartilhado primário executando o seguinte comando no Shell de Gerenciamento do Exchange:

    Remove-FederatedDomain -DomainName <domain> -Force

  3. Depois de remover todos os outros domínios federados, remova o domínio compartilhado primário executando o seguinte comando no Shell de Gerenciamento do Exchange:

    Remove-FederatedDomain -DomainName <domain> -Force

  4. Remova a confiança da federação executando o seguinte comando no Shell de Gerenciamento do Exchange:

    Remove-FederationTrust "Microsoft Federation Gateway"

  5. Recrie a confiança da federação. Para obter instruções, consulte Configurar uma confiança de federação.