AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Home | Tutoriais | Vdeo Tutoriais | Suporte | Certificados | Comunidade | Grupo de Exchange | Sobre o site | Quem somos

Procurar

Home | Tutor| -> Exchange 2010 | Exchange 2007 | Exchange 2003 | Lync | Windows Server | System Center | ForeFront | Office365 | Outros

Anderson Patricio

AP1431 - Gerenciando certificados no Exchange Server 2010

Autor: Publicao: Este tutorial se aplica a: Compartilhe este artigo: Anderson Patricio / Rodrigo Rodrigues 11/Outubro/2009 Exchange Server 2010 RC

apatricio apatricio Everything You Need to Know About Exchange Backups* Part 1 tinyurl.com/7k4psec 4 hours ago reply retweet favorite apatricio My MCM self-study labs and a couple of hints about the exam process tinyurl.com/6njayd6 4 hours ago reply retweet favorite apatricio Changes to Recoverable Items versioning in Exchange 2010 SP2 RU3 tinyurl.com/c8ukyng 4 days ago reply retweet favorite apatricio TMG 2010 FBA, troubleshooting the change password feature tinyurl.com/6njzb45 11 days ago reply retweet favorite Join the conversation
258 pessoas curtiram isso. Seja o primeiro entre seus amigos.

Overview
O Exchange Server 2007 trouxe inmeras novidades para o ambiente de mensageria e uma delas foi o requerimento de certificados por padro, que depois foi seguido de perto por outros produtos da famlia, tais como OCS. Infelizmente no Exchange Server 2007 a nica forma de fazer o gerenciamento dos mesmos atravs da linha de comando, j no Exchange Server 2010 podemos estar gerenciando via Exchange Management Console, como iremos demonstrar neste tutorial. Os certificados continuam sendo um mistrio para muitos administradores, os processos descritos aqui ajudam em parte da soluo, aps o certificado configurado os web services e outros servios tem que ser ajustados para os certificados existentes. Outro ponto entender o funcionamento dos certificados, saber a relao entre eles e nome de hosts, servios e IP. Pode ser um pouco complicado no incio mas depois de entendido a arquitetura o processo se torna simples e prtico.
Tutoriais relacionados:

AP912 - Criando certificados com Subject Alternative names em uma PKI interna AP1429 - Exchange Server 2010: Transio do Exchange Server 2003 AP1424 - Instalando o Exchange Server 2010 RC AP1430 - Instalando o Exchange Server 2010 via linha de comando

Curtir

Soluo
Neste tutorial vamos ver como gerenciar certificados usando o Exchange Management Console atravs das seguintes sees.
Visualizando os certificados existentes....

No Exchange Server 2010 o gerenciamento de certificados ficou muito mais simples, podemos ver todos os certificados relacionados ao Exchange atravs do Exchange Management Console, clicando em Server Configuration e depois clicando no servidor desejado, para cada servidor a listagem dos certificados ser mostrado abaixo, teremos as seguintes colunas para ajudar no gerenciamento dos certificados: Nome Tipo do certificado (Self-Signed ou externo) Status Servios Subject (CN do certificado) Issuer (Emissor) Expiration Date (data de expirao)

1 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Fora isso, temos como gerenciar o certificado atravs do Toolbox Actions, entre as tarefas principais temos: criar, remover, associar servios ao certificados, importar, exportar.

Criando um novo certificado...

O processo para criar um novo certificado pode ser visto nos seguintes passos. 1. Na pgina Introduction. Vamos colocar um nome para este certificado, este nome somente para identificao, feito isso vamos clicar em Next.

2. Na pgina Domain Scope. Aqui podemos definir se o certificado vai ser wildcard certificate. Exchange Server 2007/2010 aceitam este tipo de certificado, mas o problema com este tipo de certificado que eles so mais caros e se algum tiver

2 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

acesso ao mesmo pode criar qualquer host com o nome do seu domnio (ou seja, podem se tornar uma ameaa em mo erradas). Para nos mantermos na mesma linha de raciocnio um wildcard certificate quando temos o certificado no formato *.andersonpatricio.org. A recomendao usar UC Certificates, ou seja, certificados que aceitam mais de um nome associado ao mesmo. Vamos deixar as opes padro aqui e vamos clicar em Next.

3. Na pgina Exchange Configuration. aqui que podemos configurar os nomes para os mais variados servios. A recomendao manter o menor nmero possveis de nome, mesmo que a sua empresa tenha todos os servios usando certificados (POP,IMAP, Outlook Anywhere, OWA, SMTP) eles podem estar utilizando um nico nome, os mais comuns so webmail e mail para estes servios. O mais importante ir abrindo os servios que o assistente oferece e informar os nomes do certificado para tal servio. Nota: A escolha dos nomes precisa ser bem analizada e validado baseado nos servios, utilizao, infra-estrutura DNS e por ai vai. Algumas empresas no gostam de publicar nomes internos e preferem usar split-dns.

3 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Ainda na mesma pgina o assistente j auxilia tambm no processo de Autodiscover externo, perguntando como ser publicado o servio na Internet e com isto ele j cria os nomes requeridos. No caso deste tutorial vamos utilizar autodiscover.andersonpatricio.org (Long URL). Feito as escolhas de todos os servios, clique em Next.

Se houver coexistncia com o Exchange Server 2003, a seo Legacy Exchange Server precisa ser configurada, a boa prtica usar um nome simples, no caso legacy.dominio.com.br. Mas isto totalmente a critrio do Administrator.

4 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

4. Na pgina Certificate Domains. Baseado na pgina anterior, todos os nomes utilizados sero listados e podemos selecionar qual ser o CN (Common Name) do certificado, aconselhado deixar o nome que ser utilizado pelo Outlook Anywhere como CN, da mesma forma como mostramos na figura abaixo.

5. Na pgina Organization and Location. Aqui devemos colocar as informaes da empresa que est solicitando a informao. Clique em Browse e defina um caminho e nome para o pedido que ser criado aps a concluso deste assistente. Feito isso clique em Next.

5 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

6. Na pgina Certificate Configuration. Um sumrio de tudo que j vimos e configuramos at agora ser mostrado, clique em New.

7. Tela final do assistente, mostrando os commandlet utilizados para gerar o pedido. Clique em Finish. Nota: Atentem para o detalhe que PrivateKeyExportable j est no cmdlet.

6 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Agora podemos olhar o Certificado que acabamos de fazer a requisio na figura abaixo e podemos ver que ele no possui o cone de vlido como o certificado da linha debaixo. Agora que j temos o arquivo com o request do certificado contendo todas informaes que usamos nos passos anteriores, devemos ir para uma CA Publica e seguir o procedimento da mesma e colocar o contedo daquele arquivo quando solicitado. Tambm podemos usar o contedo daquele arquivo em uma CA interna para fazer o pedido do certificado. O resultado, independente de ser uma CA Publica ou uma CA interna ser um arquivo .cer que ser fornecido pela CA. Em posso daquele arquivo, podemos clicar em Complete Pending Request como mostrado na figura abaixo.

Na primeira tela do assistente, clique em Browse e selecione o arquivo fornecido pela Certification Authority, e depois de escolhido o mesmo clique em Complete.

7 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Na tela final podemos ver que o certificado, devemos clicar em Finish.

Est pronto o processo? No!! at agora criamos um novo pedido a agora completamos o processo e o certificado est instalado e vlido mas no est associado a nenhum servio ainda... como mostrado na figura abaixo.

8 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Associando o certificado...

Depois de criar um certificado o prximo passo associar o certificado aos servios ao qual ele foi designado. Feito isso, vamos clicar em um certificado vlido da lista, como mostrado abaixo, e vamos clicar em Assign Services to Certificate...

Na pgina Select Servers, podemos selecionar mais de um servidor que contenha o mesmo certificado e fazer o processo apenas uma vez, em nosso ambiente temos apenas um servidor, ento vamos clicar em Next.

9 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Na pgina Select Services, podemos selecionar os servios ao qual este certificado ser utilizado. Lembrando, que para funcionar no servio o DNS e a configurao do mesmo tem que estar configurado, somente associando um certificado no vai fazer o servio funcionar automaticamente. Feito as escolhas clique em Next.

Na pgina Assign Services, um resumo com os servios que sero associados ao servidor sero mostrados, apenas clique em Assign.

10 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Na ltima tela podemos ver que o processo de associao do certificado com o servio mostrado. Podemos clicar em Finish.

Para servios de OWA e Outlook Anywhere as vezes necessrio rodar um iisreset /noforce para dar um refresh no IIS.
Exportando o certificado...

Para exportar o certificado basta selecionar o certificado a ser exportado, e clicar em Export Exchange Certificate na Toolbox Actions. Na tela Introduction devemos associar uma senha e um nome de arquivo (atravs do boto Browse..). No

11 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

necessrio digitar extenso de arquivo na caixa que se abre do Browse somente o local e o nome do arquivo onde desejamos o arquivo exportado. Feito isto, basta clicar em Export.

O processo de export executa dois processos e o resultado pode ser visto na figura abaixo. Podemos clicar em Finish para concluir o processo.

O resultado deste processo ser o arquivo criado e para importar s precisamos seguir o procedimento de importao que tambm descrito neste artigo, utilizando a senha que foi definido.

12 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Detalhes importantes: Para ocorrer a exportao o certificado precisa ter o atributo de exportar chave privada marcado, por padro todo certificado criado pela interface grfica possui isso. Se for via linha de comando tem que usar o -PrivateKeyExportable $true Pode-se exportar mais de uma vez um certificado existente A senha somente para aquela exportao, uma segunda exportao pode ter uma senha diferente A senha s utilizado no processo de importao, no entanto ela definida na exportao
Renovando um certificado built-in (self-signed)

O processo de renovao diferenciado para self-signed certificados (aquele criado durante a instalao) e Certificados externos (que podem ser numa CA interna ou ainda em uma Pblica). Nesta seo vamos mostrar como fazer a renovao do self-signed certificates. Para identificar se um certificado self-signed ou no basta olhar na segunda coluna (Self Signed) e deve estar como True. Para atualizarmos devemos selecionar o certificado em questo e clicar em Renew Exchange Certificate... na Toolbox Actions. E na tela Renew Exchange Certificate selecione todos os servios que este certificado est executando e clique em Renew.

Se ele for um dos certificados padro para o SMTp a seguinte figura ser mostrada. Clique em Yes para continuar com o processo.

O processo efetuar trs sequencias (new-exchangecertificate, enable-exchangecertificate e remove-exchangecertificate) e o resultado pode ser visto na figura abaixo.

13 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

Renovando um certificado Pblico...

Para renovarmos um certificado existente, basta clicarmos no mesmo e clicar em Renew Exchange Certificate como o certificado j existe e todas informaes do primeiro assisntente j esto respondidas, a primeira tela ser para especificar o nome do arquivo com o pedido do certificado e o local no disco. Feito isso apenas clique em Renew.

Feito isso o pedido j ser feito e o arquivo estar com a requisio j estar pronto para ser enviado para a Certificadora,

14 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

como mostrado na figura abaixo.

O certificado existente ir continuar ativo, o prximo passo fazer o mesmo processo com a CA externa e receber o novo .cer arquivo e depois disto, selecionar o certificado (nico que no est com o cone de OK) e clicar em Complete Pending Request, os passos sero os mesmos que vimos na criao de um novo certificado.

Removendo um certificado..

O processo de remoo extremamente simples, basta selecionar o certificado desejado e clique em Remove que se encontra na Toolbox Actions, e na caixa de dilogo que aparecer clique em yes. Nota: S ser permitido a remoo de certificado se ele no for o nico associado a um servio essencial, caso ele esteja sendo utilizado um novo certificado tem que ser associado aos servios como pr-requisito para a remoo do certificado.

Criando certificado via linha de comando (Exchange Management Shell)...

15 de 16

06/06/2012 16:25

AndersonPatricio.org v3 .:. Exchange Server, Active Directory, Lync and ...

http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=1431

O processo de criao semelhante ao do Exchange Server 2007 e o processo pode ser visto no seguinte tutorial aqui em AndersonPatricio.org: AP912 - Criando certificados com Subject Alternative names em uma PKI interna

Concluso
Com este tutorial base mostramos como gerenciar certificados no Exchange Server 2010.

Comentrios
Neste espao voc pode utilizar sua rede social preferida para adicionar dicas e/ou qualquer informao adicional para ajudar a comunidade relacionado a este Tutorial.
Add a comment... Post to Facebook
Facebook social plugin

Posting as Rafael Rodrigues (Not you?)

Comment

16 de 16

06/06/2012 16:25