Criar uma solicitação de certificado Exchange Server para uma autoridade de certificação

  • Artigo

Criar uma solicitação de certificado é a primeira etapa para instalar um novo certificado em um servidor do Exchange para configurar a criptografia TLS (Transport Layer Security) para um ou mais serviços do Exchange. Use uma solicitação de certificado (também conhecida como uma solicitação de assinatura de certificado ou CSR) para receber um certificado de uma autoridade de certificação (CA). Os procedimentos são os mesmos para obter certificados de uma AC interna (por exemplo, Serviços de Certificado do Active Directory) ou de uma AC comercial. Depois de criar a solicitação de certificado, você envia os resultados para a AC e a AC usa as informações para emitir o certificado real, que você instalará posteriormente.

Você pode criar solicitações de certificado no Centro de administração do Exchange (EAC) ou no Shell de Gerenciamento do Exchange. O assistente de certificado New Exchange no EAC pode ajudá-lo na seleção dos nomes de host necessários no certificado.

Do que você precisa saber para começar?

  • Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para obter mais informações sobre as permissões necessárias, consulte a entrada "Segurança dos serviços de acesso ao cliente" no artigo Permissões de clientes e dispositivos móveis .

  • Tempo estimado para concluir: 5 minutos para concluir a nova solicitação de certificado. No entanto, é necessário mais tempo antes que a solicitação leve à emissão de um certificado. Para obter mais informações, confira Próximas etapas.

  • Você precisa planejar cuidadosamente para escolher o tipo de certificado desejado e os nomes de host necessários no certificado. Para obter mais informações, consulte Certificados digitais e criptografia em Exchange Server.

  • Verifique os requisitos de solicitação de certificado da AC. O Exchange gera um arquivo PKCS #10 request (.req) que usa a codificação Base64 (padrão) ou Distinguished Encoding Rules (DER), com uma chave pública RSA 1024, 2048 (padrão) ou 4096 bits. As opções de codificação e chave pública só estão disponíveis no Shell de Gerenciamento do Exchange. Para obter mais informações, consulte New-ExchangeCertificate.

  • No EAC, você precisa armazenar o arquivo de solicitação de certificado em um caminho UNC (\\<Server>\<Share>\ ou \\<LocalServerName>\c$\). No Shell de Gerenciamento do Exchange, você pode especificar um caminho local.

  • Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

  • Para obter mais informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste artigo, consulte Atalhos de teclado no centro de administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Server, Exchange Online ou Proteção do Exchange Online.

Usar o EAC para criar uma nova solicitação de certificado

Observação

A solicitação de certificado ECP foi preterida no Exchange 2019 CU12 e superior e no Exchange 2016 CU23 e superior.

  1. Abra o EAC e navegue até Certificados de Servidores>.

  2. Na lista suspensa Selecionar servidor , selecione o servidor exchange em que você deseja instalar o certificado e selecione Adicionarícone..

O assistente de certificado do New Exchange é aberto.

  1. No assistente Esse assistente criará um novo certificado ou uma página de arquivo de solicitação de certificado, verifique se Criar uma solicitação de um certificado de uma autoridade de certificação está selecionado e selecione Avançar.

    Observação

    Para criar um novo certificado autoassinado, consulte Criar uma nova Exchange Server certificado autoassinado.

  2. Na página Nome amigável para este certificado , insira um nome descritivo para o certificado e selecione Avançar.

  3. Na página Solicitar um certificado curinga , faça uma das seguintes opções:

    • Se você quiser um certificado curinga: selecione Solicitar um certificado curinga e insira o caractere curinga (*) e o domínio na caixa de domínio Raiz , por exemplo, *.contoso.com ou *.eu.contoso.com. Quando concluir, selecione Avançar.
    • Se você quiser um certificado SAN (nome alternativo de assunto): não faça seleções nesta página e selecione Avançar.
    • Se você quiser um certificado para um único host: não faça seleções nesta página e selecione Avançar.

  4. Na solicitação de certificado store nesta página do servidor , selecione Procurar e selecione o servidor do Exchange em que você deseja armazenar a solicitação de certificado (onde deseja instalar o certificado). Em seguida, selecione OK e Avançar.

    Observação

    As etapas 7 e 8 só se aplicam a uma solicitação de um certificado SAN ou a um certificado para um único host. Se você selecionou Solicitar um certificado curinga, pule para a Etapa 9.

A página Especificar os domínios que você deseja incluir em sua página de certificado é exibida. Esta página é basicamente uma planilha que ajuda você a determinar os nomes de host internos e externos necessários no certificado para os seguintes serviços do Exchange:

  • Outlook na Web
  • Geração de catálogo de endereços offline (OAB)
  • Serviços de Web do Exchange
  • Exchange ActiveSync
  • Descoberta automática
  • POP
  • IMAP
  • Outlook em Qualquer Lugar

  1. Insira um valor para cada serviço com base no local (interno ou externo). Em seguida, o assistente determina os nomes de host necessários no certificado e as informações são exibidas na próxima página.

  2. Se você quiser modificar um valor para um serviço, selecione Editar (Editar ícone.) e insira o valor do nome do host que deseja usar (ou exclua o valor). Quando concluir, selecione Avançar.

    Observação

    Se você já determinou os valores de nome do host necessários no certificado, não precisará preencher as informações nesta página. Em vez disso, selecione Avançar para inserir manualmente os nomes de host na próxima página.

O Com base em suas seleções, os domínios a seguir serão incluídos em sua página de certificados . Esta página lista os nomes de host que serão incluídos na solicitação de certificado. O nome do host usado na caixa Assunto do certificado é em negrito, o que pode ser difícil de ver se esse nome de host está selecionado.

  1. Verifique as entradas de nome do host que são necessárias no certificado, referindo-se às seleções feitas na página anterior.

    Se você não quiser considerar essa lista de nomes de host para inclusão na solicitação de certificado, vá para a Etapa 10.

  2. Ignore os valores da última página e adicione, edite ou remova valores de nome do host executando as seguintes etapas: a. Se você quiser um certificado SAN: para selecionar o nome do host para o campo Assunto do certificado, selecione o valor e selecione Definir como nome comum (marca de seleção). O valor agora deve aparecer em negrito. b. Se você quiser um certificado para um único nome de host: selecione os outros valores um de cada vez e selecione Remover (Remover ícone.).

    Observação

    Você não pode excluir o valor do nome do host em negrito que será usado para a caixa Assunto do certificado. Primeiro, você precisa selecionar ou adicionar um nome de host diferente e, em seguida, verificar a caixa Definir como nome comum . As alterações feitas nesta página podem ser perdidas se você selecionar o botão Voltar .

  3. Na página Especificar informações sobre sua organização , insira os seguintes valores:

  • Nome da organização
  • Nome do departamento
  • Cidade/Localidade
  • Estado/Província
  • Nome do país/região

Observação

Esses valores X.500 são incluídos na caixa Assunto do certificado. Embora um valor seja necessário em todos os campos antes que você possa prosseguir, a AC pode não se importar com determinados campos (por exemplo, nome do departamento), enquanto outros campos são importantes (por exemplo, nome de país/região e nome da organização). Verifique os requisitos da caixa Assunto de sua AC.

  1. Quando concluir, selecione Avançar.

  2. Na página Salvar a solicitação de certificado para o arquivo a seguir , insira o caminho UNC e o nome do arquivo para a solicitação de certificado, por exemplo, \\FileServer01\Data\ExchCertRequest.req. Quando terminar, selecione Concluir.

A solicitação de certificado aparece na lista de certificados do Exchange com um valor de status de Pending. Para obter mais informações sobre as próximas etapas, consulte Próximas etapas .

Usar o Shell de Gerenciamento do Exchange para criar uma nova solicitação de certificado

Para criar uma nova solicitação para um certificado curinga, um certificado SAN ou um certificado para um único host, use a seguinte sintaxe:

  • Se você precisar enviar o conteúdo do arquivo de solicitação de certificado para a AC, use a seguinte sintaxe para criar um arquivo de solicitação codificado base64:

    $txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

  • Se você precisar enviar o arquivo de solicitação de certificado para a AC, use a seguinte sintaxe para criar um arquivo de solicitação codificado pelo DER:

    $binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded [-FriendlyName <DescriptiveName>] -SubjectName C=<CountryOrRegion>[,S=<StateOrProvince>,L=<LocalityOrCity>,O=<Organization>,OU=<Department>],CN=<HostNameOrFQDN> [-DomainName <Host1>,<Host2>...] [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
[System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)

Observação

A única parte necessária do valor do parâmetro X.500 SubjectName (a caixa Assunto do certificado) para executar o comando é CN=<HostNameOrFQDN>. Mas, você deve sempre incluir o C=<CountryOrRegion> valor. Caso contrário, talvez você não seja capaz de renovar o certificado. Verifique os requisitos da caixa Assunto de sua AC. Se você não usar o parâmetro KeySize , a solicitação de certificado terá uma chave pública RSA de 2048 bits. Se você não usar o parâmetro Server , o comando será executado no servidor exchange local.

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-ExchangeCertificate.

Solicitação de certificado curinga

Estes exemplos criam arquivos de solicitação de certificado para certificados curinga com as seguintes propriedades:

  • SubjectName: *.contoso.com no Estados Unidos, o que requer o valor C=US,CN=*.contoso.com.
  • RequestFile: \\FileServer01\Data\Contoso Wildcard Cert.<cer or pfx>
  • FriendlyName: Contoso.com Wildcard Cert

Para criar um arquivo de solicitação codificado base64 para o certificado curinga, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um arquivo de solicitação codificado pelo DER para o certificado curinga, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com Wildcard Cert" -SubjectName "C=US,CN=*.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso Wildcard Cert.pfx', $binrequest.FileData)

Solicitação de certificado SAN

Esses exemplos criam arquivos de solicitação de certificado para certificados SAN com as seguintes propriedades:

  • SubjectName: mail.contoso.com no Estados Unidos, que requer o valor C=US,CN=mail.contoso.com. Esse valor CN é incluído automaticamente no parâmetro DomainName (o campo Nome Alternativo do Assunto ).
  • Outros valores de campo Nome Alternativo de Assunto :
    • autodiscover.contoso.com
    • legacy.contoso.com
    • mail.contoso.net
    • autodiscover.contoso.net
    • legacy.contoso.net
  • RequestFile: \\FileServer01\Data\Contoso SAN Cert.<cer or pfx>
  • FriendlyName: Contoso.com SAN Cert
  • DomainName: lista de domínios separados por vírgulas não citados

Para criar um arquivo de solicitação codificado base64 para o certificado SAN, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um arquivo de solicitação codificado do DER para o certificado SAN, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Contoso.com SAN Cert" -SubjectName "C=US,CN=mail.contoso.com" -DomainName autodiscover.contoso.com,legacy.contoso.com,mail.contoso.net,autodiscover.contoso.net,legacy.contoso.net
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Contoso SAN Cert.pfx', $binrequest.FileData)

Solicitação de certificado de assunto único

Esses exemplos criam arquivos de solicitação de certificado para certificados de assunto único com as seguintes propriedades:

  • SubjectName: mail.contoso.com no Estados Unidos, que requer o valor C=US,CN=mail.contoso.com.
  • RequestFile: \\FileServer01\Data\Mail.contoso.com Cert.<cer or pfx>
  • FriendlyName: Mail.contoso.com Cert

Para criar um arquivo de solicitação codificado base64 para o certificado de assunto único, execute o seguinte comando:

$txtrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Para criar um arquivo de solicitação codificado do DER para o certificado de assunto único, execute o seguinte comando:

$binrequest = New-ExchangeCertificate -PrivateKeyExportable $True -GenerateRequest -BinaryEncoded -FriendlyName "Mail.contoso.com Cert" -SubjectName "C=US,CN=mail.contoso.com"
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\Mail.contoso.com Cert.pfx', $binrequest.FileData)

Como você sabe que esses comandos funcionaram?

Para verificar se você criou com êxito uma nova solicitação de certificado, execute uma das seguintes etapas:

  • No EAC em Certificados de Servidores>, verifique se o servidor em que você armazenou a solicitação de certificado está selecionado. A solicitação deve estar na lista de certificados com o valor do parâmetro Status definido como solicitação pendente.

  • No Shell de Gerenciamento do Exchange no servidor em que você armazenou a solicitação de certificado, execute o seguinte comando:

    Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

Próximas etapas

O conteúdo de um arquivo de solicitação de certificado codificado base64 se parece com o exemplo descrito abaixo:

-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----

Você precisa enviar essas informações para a AC. A forma como você o envia depende da AC, mas normalmente, você envia o conteúdo do arquivo em uma mensagem de email ou no formulário de solicitação de certificado no site da AC.

Se a AC exigir uma solicitação de certificado binário codificada pelo DER (você usou o cmdlet New-ExchangeCertificate com a opção BinaryEncoded ), normalmente você envia todo o arquivo de solicitação de certificado para a AC.

Depois de receber o certificado da AC, você precisará concluir a solicitação de certificado pendente. Para obter mais informações, consulte Concluir uma solicitação de certificado de Exchange Server pendente.