Renovar um certificado de Exchange Server

APLICA-SE A:2016 2019 Subscription Edition

Cada certificado tem uma data de expiração incorporada. No Exchange Server, o certificado autoassinado predefinido instalado no servidor Exchange expira 5 anos após a instalação do Exchange no servidor. Pode utilizar o Centro de administração do Exchange (EAC) ou a Shell de Gestão do Exchange para renovar certificados do Exchange. Isto inclui certificados autoassinados do Exchange e certificados emitidos por uma autoridade de certificação (AC).

Do que você precisa saber para começar?

• Tempo estimado para conclusão: 5 minutos

• Para saber como abrir o Shell de Gerenciamento do Exchange em sua organização do Exchange local, confira Abra o Shell de Gerenciamento do Exchange.

• Para os certificados emitidos por uma AC, verifique os requisitos de pedido de certificado da AC. O Exchange gera um ficheiro de pedido PKCS #10 (.req) que utiliza a codificação Base64 (predefinição) ou Distinguished Encoding Rules (DER), com uma chave pública RSA que é 1024, 2048 (predefinição) ou 4096 bits. Tenha em atenção que as opções de codificação e chave pública só estão disponíveis na Shell de Gestão do Exchange.

• Para renovar um certificado emitido por uma AC, tem de renovar o certificado com a mesma AC que emitiu o certificado. Se estiver a alterar as ACs ou se existir um problema com o certificado original ao tentar renová-lo, terá de criar um novo pedido de certificado (também conhecido como pedido de assinatura de certificado ou CSR) para um novo certificado. Para obter mais informações, veja Criar um pedido de certificado Exchange Server para uma autoridade de certificação.

• Se renovar ou substituir um certificado emitido por uma AC num servidor de Transporte Edge subscrito, terá de remover o certificado antigo e, em seguida, eliminar e recriar a Subscrição do Edge. Para obter mais informações, veja Processo de subscrição do Edge.

• Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver que permissões precisa, consulte a entrada "Segurança dos serviços de Acesso de Cliente" no tópico Permissões de clientes e dispositivos móveis .

• Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.

Renovar um certificado emitido por uma autoridade de certificação

Os procedimentos são os mesmos para certificados emitidos por uma AC interna (por exemplo, Serviços de Certificados do Active Directory) ou uma AC comercial.

Para renovar um certificado emitido por uma AC, crie um pedido de renovação de certificado e, em seguida, envie o pedido para a AC. Em seguida, a AC envia-lhe o ficheiro de certificado real que precisa de instalar no servidor Exchange. O procedimento é quase idêntico ao de concluir um novo pedido de certificado ao instalar o certificado no servidor. Para obter instruções, veja Concluir um pedido de certificado Exchange Server pendente.

Utilizar o EAC para criar um pedido de renovação de certificados para uma autoridade de certificação

1. Abra o EAC e navegue para Certificados de Servidores>.

2. Na lista Selecionar servidor , selecione o servidor Exchange que contém o certificado que pretende renovar.

3. Todos os certificados válidos têm uma ligação Renovar no painel de detalhes que é visível quando seleciona o certificado na lista. Selecione o certificado que pretende renovar e, em seguida, clique em Renovar no painel de detalhes.

4. Na página Renovar certificado do Exchange que é aberta, no campo Guardar o pedido de certificado no seguinte ficheiro , introduza o caminho UNC e o nome de ficheiro do novo ficheiro de pedido de renovação do certificado. Por exemplo, \\FileServer01\Data\ContosoCertRenewal.req. Quando terminar, clique em OK.

O pedido de certificado é apresentado na lista de certificados do Exchange com um valor de status pendente.

Utilizar a Shell de Gestão do Exchange para criar um pedido de renovação de certificados para uma autoridade de certificação

Para criar um novo pedido de renovação de certificados para uma autoridade de certificação, utilize a seguinte sintaxe:

• Se precisar de enviar o conteúdo do ficheiro de pedido de renovação do certificado para a AC, utilize a seguinte sintaxe para criar um ficheiro de pedido codificado Base64:

  $txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
  [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
  

• Se precisar de enviar o ficheiro de pedido de renovação do certificado para a AC, utilize a seguinte sintaxe para criar um ficheiro de pedido codificado DER:

  $binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>]
  [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
  

Para localizar o valor thumbprint do certificado que pretende renovar, execute o seguinte comando:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-ExchangeCertificate e New-ExchangeCertificate.

Observações:

• Se não utilizar o parâmetro KeySize , o pedido de certificado tem uma chave pública RSA de 2048 bits.
• Se não utilizar o parâmetro Servidor , o comando é executar o servidor Exchange local.

Este exemplo cria um pedido de renovação de certificado codificado Base64 para o certificado existente com o valor 5DB9879E38E36BCB60B761E29794392B23D1C054Thumbprint:

$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))

Este exemplo cria um pedido de renovação de certificado codificado de DER (binário) para o mesmo certificado:

$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)

Como sabe que criou com êxito um pedido de renovação de certificado?

Para verificar se criou com êxito um pedido de renovação de certificados para uma autoridade de certificação, execute um dos seguintes passos:

• No EAC em Certificados de Servidores>, verifique se o servidor onde armazenou o pedido de certificado está selecionado. O pedido deve estar na lista de certificados com o valor EstadoPedido pendente.

• Na Shell de Gestão do Exchange no servidor onde armazenou o pedido de certificado, execute o seguinte comando:

  Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
  

Renovar um certificado autoassinado do Exchange

Quando renova um certificado autoassinado do Exchange, está basicamente a criar um novo certificado.

Utilizar o EAC para renovar um certificado autoassinado do Exchange

1. Abra o EAC e navegue para Certificados de Servidores>.

2. Na lista Selecionar servidor , selecione o servidor Exchange que contém o certificado que pretende renovar.

3. Todos os certificados válidos têm uma ligação Renovar no painel de detalhes que é visível quando seleciona o certificado na lista. Selecione o certificado que pretende renovar e, em seguida, clique em Renovar no painel de detalhes.

4. Na página Renovar certificado do Exchange que é aberta, verifique a lista só de leitura dos serviços exchange aos quais o certificado existente está atribuído e, em seguida, clique em OK.

Utilizar a Shell de Gestão do Exchange para renovar um certificado autoassinado do Exchange

Para renovar um certificado autoassinado, utilize a seguinte sintaxe:

Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]

Para localizar o valor thumbprint do certificado que pretende renovar, execute o seguinte comando:

Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Este exemplo renova um certificado autoassinado no servidor Exchange local e utiliza as seguintes definições:

• O valor thumbprint do certificado autoassinado existente a renovar é BC37CBE2E59566BFF7D01FEAC9B6517841475F2D
• O comutador Force substitui o certificado autoassinado original sem um pedido de confirmação.
• A chave privada é exportável. Isto permite-lhe exportar o certificado e importá-lo noutros servidores.

Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true

Como sabe que renovou com êxito um certificado autoassinado do Exchange?

Para verificar se renovou com êxito um certificado autoassinado do Exchange, utilize um dos seguintes procedimentos:

• No EAC em Certificados de Servidores>, verifique se o servidor onde instalou o certificado está selecionado. Na lista de certificados, verifique se o certificado tem o valor da propriedade EstadoVálido.

• Na Shell de Gestão do Exchange no servidor onde renovou o certificado autoassinado, execute o seguinte comando para verificar os valores das propriedades:

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

Recursos adicionais

Não é possível abrir o OWA, o ECP ou o EMS depois de um certificado autoassinado ser removido do site do Exchange Back End