andersonpatricio.org v3 ._. exchange server, active directory, lync and more

Home | Tutoriais | Vídeo Tutoriais | Suporte | Certificados | Comunidade | Grupo de Exchange | Sobre o site | Quemsomos

Procurar

Home | Tutor| -> Exchange 2010 | Exchange 2007 | Exchange 2003 | Lync | Windows Server | System Center | ForeFront | Office365 | Outros

AP1431 - Gerenciando certificados no Exchange Server 2010

Autor: Anderson Patricio / Rodrigo Rodrigues

Publicação: 11/Outubro/2009

Este tutorial seaplica a:

Exchange Server 2010 RC

Compartilhe esteartigo:

Overview

O Exchange Server 2007 trouxe inúmeras novidades para o ambiente de mensageria e uma delas foi o requerimento decertificados por padrão, que depois foi seguido de perto por outros produtos da família, tais como OCS. Infelizmente no ExchangeServer 2007 a única forma de fazer o gerenciamento dos mesmos é através da linha de comando, já no Exchange Server 2010podemos estar gerenciando via Exchange Management Console, como iremos demonstrar neste tutorial.

Os certificados continuam sendo um mistério para muitos administradores, os processos descritos aqui ajudam em parte dasolução, após o certificado configurado os web services e outros serviços tem que ser ajustados para os certificados existentes.Outro ponto é entender o funcionamento dos certificados, saber a relação entre eles e nome de hosts, serviços e IP. Pode ser umpouco complicado no início mas depois de entendido a arquitetura o processo se torna simples e prático.

Tutoriais relacionados:

AP912 - Criando certificados com Subject Alternative names em uma PKI interna

AP1429 - Exchange Server 2010: Transição do Exchange Server 2003

AP1424 - Instalando o Exchange Server 2010 RC

AP1430 - Instalando o Exchange Server 2010 via linha de comando

Solução

Neste tutorial vamos ver como gerenciar certificados usando o Exchange Management Console através das seguintes seções.

Visualizando os certificados existentes....

No Exchange Server 2010 o gerenciamento de certificados ficou muito mais simples, podemos ver todos os certificadosrelacionados ao Exchange através do Exchange Management Console, clicando em Server Configuration e depois clicando noservidor desejado, para cada servidor a listagem dos certificados será mostrado abaixo, teremos as seguintes colunas para ajudarno gerenciamento dos certificados:

NomeTipo do certificado (Self-Signed ou externo)StatusServiçosSubject (CN do certificado)Issuer (Emissor)Expiration Date (data de expiração)

Curtir 258 pessoascurtiram isso.Seja o primeiroentre seusamigos.

Anderson Patricioapatricio

Join the conversation

apatricio Everything YouNeed to Know AboutExchange Backups* -Part 1tinyurl.com/7k4psec4 hours ago · reply ·

retweet · favorite

apatricio My MCMself-study labs and acouple of hints about theexam processtinyurl.com/6njayd64 hours ago · reply ·

retweet · favorite

apatricio Changes toRecoverable Itemsversioning in Exchange2010 SP2 RU3tinyurl.com/c8ukyng4 days ago · reply ·

retweet · favorite

apatricio TMG 2010 –FBA, troubleshooting thechange password featuretinyurl.com/6njzb4511 days ago · reply ·

retweet · favorite

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ... http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

1 de 16 06/06/2012 16:25

Fora isso, temos como gerenciar o certificado através do Toolbox Actions, entre as tarefas principais temos: criar, remover,associar serviços ao certificados, importar, exportar.

Criando um novo certificado...

O processo para criar um novo certificado pode ser visto nos seguintes passos.

Na página Introduction. Vamos colocar um nome para este certificado, este nome é somente para identificação, feito issovamos clicar em Next.

1.

Na página Domain Scope. Aqui podemos definir se o certificado vai ser wildcard certificate. Exchange Server 2007/2010aceitam este tipo de certificado, mas o problema com este tipo de certificado é que eles são mais caros e se alguém tiver

2.


2 de 16 06/06/2012 16:25

acesso ao mesmo pode criar qualquer host com o nome do seu domínio (ou seja, podem se tornar uma ameaça em mãoerradas). Para nos mantermos na mesma linha de raciocínio um wildcard certificate é quando temos o certificado noformato *.andersonpatricio.org.

A recomendação é usar UC Certificates, ou seja, certificados que aceitam mais de um nome associado ao mesmo.Vamos deixar as opções padrão aqui e vamos clicar em Next.

Na página Exchange Configuration. É aqui que podemos configurar os nomes para os mais variados serviços. Arecomendação é manter o menor número possíveis de nome, mesmo que a sua empresa tenha todos os serviços usandocertificados (POP,IMAP, Outlook Anywhere, OWA, SMTP) eles podem estar utilizando um único nome, os mais comuns sãowebmail e mail para estes serviços.

O mais importante é ir abrindo os serviços que o assistente oferece e informar os nomes do certificado para tal serviço.Nota: A escolha dos nomes precisa ser bem analizada e validado baseado nos serviços, utilização, infra-estrutura DNS e porai vai. Algumas empresas não gostam de publicar nomes internos e preferem usar split-dns.

3.


3 de 16 06/06/2012 16:25

Ainda na mesma página o assistente já auxilia também no processo de Autodiscover externo, perguntando como serápublicado o serviço na Internet e com isto ele já cria os nomes requeridos. No caso deste tutorial vamos utilizarautodiscover.andersonpatricio.org (Long URL). Feito as escolhas de todos os serviços, clique em Next.

Se houver coexistência com o Exchange Server 2003, a seção Legacy Exchange Server precisa ser configurada, a boa prática éusar um nome simples, no caso legacy.dominio.com.br. Mas isto é totalmente a critério do Administrator.


4 de 16 06/06/2012 16:25

Na página Certificate Domains. Baseado na página anterior, todos os nomes utilizados serão listados e podemos selecionarqual será o CN (Common Name) do certificado, é aconselhado deixar o nome que será utilizado pelo Outlook Anywherecomo CN, da mesma forma como mostramos na figura abaixo.

4.

Na página Organization and Location. Aqui devemos colocar as informações da empresa que está solicitando a informação.Clique em Browse e defina um caminho e nome para o pedido que será criado após a conclusão deste assistente. Feitoisso clique em Next.

5.


5 de 16 06/06/2012 16:25

Na página Certificate Configuration. Um sumário de tudo que já vimos e configuramos até agora será mostrado, clique emNew.

6.

Tela final do assistente, mostrando os commandlet utilizados para gerar o pedido. Clique em Finish.Nota: Atentem para o detalhe que PrivateKeyExportable já está no cmdlet.

7.


6 de 16 06/06/2012 16:25

Agora podemos olhar o Certificado que acabamos de fazer a requisição na figura abaixo e podemos ver que ele não possui oícone de válido como o certificado da linha debaixo. Agora que já temos o arquivo com o request do certificado contendo todasinformações que usamos nos passos anteriores, devemos ir para uma CA Publica e seguir o procedimento da mesma e colocar oconteúdo daquele arquivo quando solicitado. Também podemos usar o conteúdo daquele arquivo em uma CA interna para fazer opedido do certificado. O resultado, independente de ser uma CA Publica ou uma CA interna será um arquivo .cer que seráfornecido pela CA. Em posso daquele arquivo, podemos clicar em Complete Pending Request como mostrado na figura abaixo.

Na primeira tela do assistente, clique em Browse e selecione o arquivo fornecido pela Certification Authority, e depois deescolhido o mesmo clique em Complete.


7 de 16 06/06/2012 16:25

Na tela final podemos ver que o certificado, devemos clicar em Finish.

Está pronto o processo? Não!! até agora criamos um novo pedido a agora completamos o processo e o certificado estáinstalado e válido mas não está associado a nenhum serviço ainda... como mostrado na figura abaixo.


8 de 16 06/06/2012 16:25

Associando o certificado...

Depois de criar um certificado o próximo passo é associar o certificado aos serviços ao qual ele foi designado. Feito isso, vamosclicar em um certificado válido da lista, como mostrado abaixo, e vamos clicar em Assign Services to Certificate...

Na página Select Servers, podemos selecionar mais de um servidor que contenha o mesmo certificado e fazer o processoapenas uma vez, em nosso ambiente temos apenas um servidor, então vamos clicar em Next.


9 de 16 06/06/2012 16:25

Na página Select Services, podemos selecionar os serviços ao qual este certificado será utilizado. Lembrando, que parafuncionar no serviço o DNS e a configuração do mesmo tem que estar configurado, somente associando um certificado não vaifazer o serviço funcionar automaticamente. Feito as escolhas clique em Next.

Na página Assign Services, um resumo com os serviços que serão associados ao servidor serão mostrados, apenas clique emAssign.


10 de 16 06/06/2012 16:25

Na última tela podemos ver que o processo de associação do certificado com o serviço é mostrado. Podemos clicar em Finish.

Para serviços de OWA e Outlook Anywhere as vezes é necessário rodar um iisreset /noforce para dar um refresh no IIS.

Exportando o certificado...

Para exportar o certificado basta selecionar o certificado a ser exportado, e clicar em Export Exchange Certificate naToolbox Actions. Na tela Introduction devemos associar uma senha e um nome de arquivo (através do botão Browse..). Não é


11 de 16 06/06/2012 16:25

necessário digitar extensão de arquivo na caixa que se abre do Browse somente o local e o nome do arquivo onde desejamos oarquivo exportado. Feito isto, basta clicar em Export.

O processo de export executa dois processos e o resultado pode ser visto na figura abaixo. Podemos clicar em Finish paraconcluir o processo.

O resultado deste processo será o arquivo criado e para importar só precisamos seguir o procedimento de importação quetambém é descrito neste artigo, utilizando a senha que foi definido.


12 de 16 06/06/2012 16:25

Detalhes importantes:

Para ocorrer a exportação o certificado precisa ter o atributo de exportar chave privada marcado, por padrão todocertificado criado pela interface gráfica possui isso. Se for via linha de comando tem que usar o -PrivateKeyExportable $true

Pode-se exportar mais de uma vez um certificado existente

A senha é somente para aquela exportação, uma segunda exportação pode ter uma senha diferente

A senha é só utilizado no processo de importação, no entanto ela é definida na exportação

Renovando um certificado built-in (self-signed)

O processo de renovação é diferenciado para self-signed certificados (aquele criado durante a instalação) e Certificadosexternos (que podem ser numa CA interna ou ainda em uma Pública). Nesta seção vamos mostrar como fazer a renovação doself-signed certificates.

Para identificar se um certificado é self-signed ou não basta olhar na segunda coluna (Self Signed) e deve estar como True.

Para atualizarmos devemos selecionar o certificado em questão e clicar em Renew Exchange Certificate... na ToolboxActions. E na tela Renew Exchange Certificate selecione todos os serviços que este certificado está executando e clique emRenew.

Se ele for um dos certificados padrão para o SMTp a seguinte figura será mostrada. Clique em Yes para continuar com oprocesso.

O processo efetuará três sequencias (new-exchangecertificate, enable-exchangecertificate e remove-exchangecertificate) e oresultado pode ser visto na figura abaixo.


13 de 16 06/06/2012 16:25

Renovando um certificado Público...

Para renovarmos um certificado existente, basta clicarmos no mesmo e clicar em Renew Exchange Certificate como ocertificado já existe e todas informações do primeiro assisntente já estão respondidas, a primeira tela será para especificar onome do arquivo com o pedido do certificado e o local no disco. Feito isso apenas clique em Renew.

Feito isso o pedido já será feito e o arquivo estará com a requisição já estará pronto para ser enviado para a Certificadora,


14 de 16 06/06/2012 16:25

como mostrado na figura abaixo.

O certificado existente irá continuar ativo, o próximo passo é fazer o mesmo processo com a CA externa e receber o novo .cerarquivo e depois disto, selecionar o certificado (único que não está com o ícone de OK) e clicar em Complete Pending Request,os passos serão os mesmos que vimos na criação de um novo certificado.

Removendo um certificado..

O processo de remoção é extremamente simples, basta selecionar o certificado desejado e clique em Remove que seencontra na Toolbox Actions, e na caixa de diálogo que aparecer clique em yes.

Nota: Só será permitido a remoção de certificado se ele não for o único associado a um serviço essencial, caso ele esteja sendoutilizado um novo certificado tem que ser associado aos serviços como pré-requisito para a remoção do certificado.

Criando certificado via linha de comando (Exchange Management Shell)...


15 de 16 06/06/2012 16:25

O processo de criação é semelhante ao do Exchange Server 2007 e o processo pode ser visto no seguinte tutorial aqui emAndersonPatricio.org:

AP912 - Criando certificados com Subject Alternative names em uma PKI interna

Conclusão

Com este tutorial base mostramos como gerenciar certificados no Exchange Server 2010.

Comentários

Neste espaço você pode utilizar sua rede social preferida para adicionar dicas e/ou qualquer informação adicional para ajudar acomunidade relacionado a este Tutorial.

Facebook social plugin

CommentPosting as Rafael Rodrigues (Not you?)

Add a comment...

Post to Facebook


16 de 16 06/06/2012 16:25

andersonpatricio.org v3 ._. exchange server, active directory, lync and more

Documents

exchange atravs

overviewo exchange server

via exchange management

gerenciamento de certificados

server configuration

certificados existentes

funcionamento dos certificados

certificado atravs