none
Renovar certificado Exchange 2010 RRS feed

  • Pergunta

  • Ola, meu servidor Exchange tem um certificado "não válido" que irá vencer em breve, como relata o log:

    The STARTTLS certificate will expire soon: subject: server.dominio.com.br, thumbprint: 7487D53AD15E64B3DF07810611E463E7DA4A2AAD, hours remaining: 534. Run the New-ExchangeCertificate cmdlet to create a new certificate.

    Queria saber como faço para renovar esse certificado, ou tenho que criar um novo e associá-lo novamente?

    Obrigado

    Fernando Maciel

    terça-feira, 19 de fevereiro de 2013 20:01

Respostas

  • Bom dia

    RESOLVIDO - Fiz o procedimento de forma direferente. Via GUI, cliquei no certificado e com o botão direito - Renew Exchange Certificate. Ele criou um arquivo .REQ. Esse arquivo foi gerado no formato Binário. Ai entrei no site (http://www.motobit.com/util/base64-decoder-encoder.asp) e gerei ele no formato BASE-64. Em seguida abri o arquivo e copiei a Key para minha que minha certificadora interna gerasse o certificado .CER.

    Em seguida voltei ao Exchange - botão direito no certificado "Complete Pending request" e associei o arquivo .CER criado. 

    Em seguida cliquei com o botão direito no certificado "Assign Services to Certificate" e associei o IIS.

    Fiz o teste externo e o certificado estava OK.

    OBS: Instalei o certificado (personal - Certificates) e Trusted Root Certification Authorities para que o Exchange validasse o certificado.

    Obrigado

    Fernando Maciel

    • Marcado como Resposta Fernando Maciel quinta-feira, 21 de fevereiro de 2013 15:14
    quinta-feira, 21 de fevereiro de 2013 15:14

Todas as Respostas

  • Olá Fernando,

    Dê uma olhada nesse artigo da própria Microsoft sobre a renovação de certificado de um Exchange 2010

    http://technet.microsoft.com/pt-br/library/ee332322(v=exchg.141).aspx

    Grande Abraço,

    Arthur Ramos Schaefer

    quarta-feira, 20 de fevereiro de 2013 03:24
  • Fernando,

        O artigo indicado pelo Arthur contém todos os passos. Em resumo, é necessário gerar outro certificado e associá-lo novamente mas, o processo descrito no artigo facilita bastante. ;)

        Atentar para as observações no artigo: "Após gerar uma solicitação de certificado, envie-a para a autoridade de certificação, obtenha um certificado assinado e instale o certificado no mesmo servidor."

    Abraço!


    Alexandre Smialoski

    quarta-feira, 20 de fevereiro de 2013 11:22
  • Alexandre boa tarde

    Já fiz o procedimento até a parte (Get- ExchangeCertificate -Thumbprint 'AD19B141228C7CF98B5F78DCED978B7C45E15434' | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $true). Ele criou um novo certificado em meu servidor Exchange. Porém, vejo que ele não foi assinado pela minha CA interna. Como eu faço para "envie-a para a autoridade de certificação, obtenha um certificado assinado e instale o certificado no mesmo servidor"? 

    Obrigado

    quarta-feira, 20 de fevereiro de 2013 18:30
  • Fernando, boa tarde!

        Primeiro você precisa executar o comando Get-ExchangeCertificate, então anotar o Thumbprint do certificado que você deseja renovar.

        Então executar o comando "Get-ExchangeCertificate -Thumbprint 'ThumbPrintANOTADO' | New-ExchangeCertificate"


    Alexandre Smialoski

    quarta-feira, 20 de fevereiro de 2013 20:44
  • Alexandre

    Tudo isso eu já fiz! O que estou dizendo é que agora tenho no meu Exchange 2 certificados. 1 é o que está para vencer e o outro é o novo criado depois desse procedimento. O segundo certificado quando abro ele, vejo que em Certification Path, está apenas o nome do servidor onde ele foi gerado (ele está como Self Sign) enquanto o primeiro certificado está em Certification Path com o nome do meu servidor CA e embaixo o nome do servidor exchange e não está como Self Sign.

    O que eu preciso fazer e não sei como é "assinar" esse certificado na minha CA para que ele fique igual o primeiro certificado.

    Obrigado

    quarta-feira, 20 de fevereiro de 2013 20:51
  • Fernando,

    Você disse que executou o comando "Get- ExchangeCertificate -Thumbprint 'AD19B141228C7CF98B5F78DCED978B7C45E15434' | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $true", veja que ele é diferente do comando que eu acredito ser o correto.

    O certificado novo você pode excluir, então executar o procedimento:

    1. Get-ExchangeCertificate, então anotar o Thumbprint do certificado que você deseja renovar;

    2. Então executar o comando "Get-ExchangeCertificate -Thumbprint 'ThumbPrintANOTADO' | New-ExchangeCertificate"

    Se me lembro bem, este comando renova o certificado, sem criar outro. Ah, você pode fazer um backup do certificado existente exportando ele antes de alterar.


    Alexandre Smialoski

    quarta-feira, 20 de fevereiro de 2013 20:55
  • Fernando,

    Você possui certificado de uma CA terceira ou está querendo apenas atualizar o certificado gerado pelo próprio Exchange?

    Quando você abre o o Webmail fora da sua empresa aparece algum erro de certificado?


    Arthur Ramos Schaefer Analista de Infraestrutura de TI

    quinta-feira, 21 de fevereiro de 2013 14:31
  • Bom dia

    RESOLVIDO - Fiz o procedimento de forma direferente. Via GUI, cliquei no certificado e com o botão direito - Renew Exchange Certificate. Ele criou um arquivo .REQ. Esse arquivo foi gerado no formato Binário. Ai entrei no site (http://www.motobit.com/util/base64-decoder-encoder.asp) e gerei ele no formato BASE-64. Em seguida abri o arquivo e copiei a Key para minha que minha certificadora interna gerasse o certificado .CER.

    Em seguida voltei ao Exchange - botão direito no certificado "Complete Pending request" e associei o arquivo .CER criado. 

    Em seguida cliquei com o botão direito no certificado "Assign Services to Certificate" e associei o IIS.

    Fiz o teste externo e o certificado estava OK.

    OBS: Instalei o certificado (personal - Certificates) e Trusted Root Certification Authorities para que o Exchange validasse o certificado.

    Obrigado

    Fernando Maciel

    • Marcado como Resposta Fernando Maciel quinta-feira, 21 de fevereiro de 2013 15:14
    quinta-feira, 21 de fevereiro de 2013 15:14