none
Aumentar período de expirar o certificado built-in Exchange RRS feed

  • Pergunta

  • Bom tarde a todos,

    É possível aumentar o tempo de vencimento do certificado Built-in, pois ao renovar o certificado o período é de 1 ano, gostaria de aumentar esse tempo, alguém já passou por isso?

    Obrigado


    Leandro
    quarta-feira, 14 de outubro de 2009 17:32

Respostas

Todas as Respostas

  • Ola Zaiplad,

    Você já renovou? Te aconselho criar um novo com um tempo extendido...

    Abs.
    Quer aprender sobre Exchange Server 2007? Em breve treinamento online com os MVP´s... Detalhes aqui: http://www.andersonpatricio.org/training - Aguarde! - Rodrigo Rodrigues .:. www.andersonpatricio.org .:. blog.rodrigorodrigues.org
    quarta-feira, 14 de outubro de 2009 17:48
  • Ola ZaipLad,

    Junto com a dica do Rodrigo no Sp2 eles aumentaram para 5 anos e provavelmente no RTM do Exchange 2010, tu pode criar um certificado e pedir de mais tempo com a tua CA, se for só o renew ele vai sair com aquele 1 ano.
    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quarta-feira, 14 de outubro de 2009 18:25
  • Rodrigo,

    Não encontrei nada falando sobre criar certificado com tempo extendido, vcoê pode me ajudar?

    Obrigado


    Leandro
    quarta-feira, 14 de outubro de 2009 18:41
  • Zaiplad,

    Não é possível alterar a data de validade de um certificado self-signed criado pelo New-ExchangeCertificate, porém se você usar uma CA interna no domínio pode alterar isso antes de solicitar o certificado para a CA.

    New-ExchangeCertificate
    http://technet.microsoft.com/en-us/library/aa998327.aspx

    How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
    http://support.microsoft.com/kb/254632/en-us
    Paulo Alves - Microsoft Premier Support
    quarta-feira, 14 de outubro de 2009 19:46
  • Ola Zaiplad,

    Tudo bem? Basta vc criar um novo certificado usando o new-ExchangeCertificate como mostrado neste tutorial: http://www.andersonpatricio.org/tutoriais/tutoriais.asp?tut=912 e entao durante o enable-exchangcertificate tu pode substituir o default para o novo certificado pela CA interna que ai vai na boa.

    O built-in certificado nao é obrigado desde que tu tenha outro feito por uma CA Publica ou ainda CA interna.
    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quarta-feira, 14 de outubro de 2009 19:48
  • Anderson,

    Então, segui o teu tutorial para criar um certificado com Certificate Authority, crio na boa, mas ao acessar o endereço dá erro Página não pode ser exibida, tenho que executar algum outro procedimento depois de criar e habilitar o certificado, habilitei os serviços IIS, SMTP, IMAP e POP, tenho que configurar algo no IIS?

    Obrigado


    Leandro
    quarta-feira, 14 de outubro de 2009 20:02

  • zaiplad,

    Você tem um CA instalada em algum servidor? se não irá precisar de uma. Siga o artigo abaixo para instalar

    Instalando uma CA (Autoridade Certificadora) Corporativa Root no Windows 2003 Server
    http://technet.microsoft.com/pt-br/library/cc668455.aspx

    Abraços

    Eduardo
    quarta-feira, 14 de outubro de 2009 21:49
  • Ola ZaipLad,

    Tudo bem? Qual endereço está acessando, tu tem uma CA instalada? Tu consegue acessar http://servidor-com-a-CA/CertSrv ?

    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quarta-feira, 14 de outubro de 2009 21:51
  • Ola zaipLad,

    Outro ponto é : vc nao é obrigado a ter uma CA Interna, se vc tem uma CA externa para todos os outros serviços. Uma opção é colocar o FQDN do servidor ( e se quiser o netbios) no certificado publico e isto também funciona.

    Me explica como tá a tua estrtura de certificados.
    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quarta-feira, 14 de outubro de 2009 21:52
  • Sim, tenho um CA instalada no mesmo servidor do Exchange, consigo fazer todo o processo de mitir o certificado tranquilo, também consigo acessar o endereço do servidor de certificado, não tenho uma CA Externa. Vou tentar esboçar minha estrutura para terem uma ideia:

    Uso certificado Built-In para Exchange, não tenho certificadora externa, instalei uma CA no servidor Exchange, gerei o arquivo .req pela console, acesso o link da CA, copiei o conteúdo, fiz download do arquivo Issue no arquivo .cer, importei para Exchange e habilitei os serviços IIS, SMTP, IMAP e POP, a estrutura é basicamente nada muito complexo, só estou executando esse procedimento para evitar que todo ano tenha que renovar certificado.

    Obrigado por acompanhar o processo.
    Leandro
    quarta-feira, 14 de outubro de 2009 22:12
  • Ola zaiplad,

    CA e exchange server na mesma máquina nao é uma boa. :( Eu preferiria renovar todo ano do que instalar uma CA no Exchange. Tu instalou uma Enterprise CA?

    Tiranod este ponto, se tu ja instalou o certificado da CA interna, durant a parte do enable-exchangecertificate ele pediu para substituir o default, correto? Caso seja isto, quais sao sao os nomes do teu certificado pedido (ele possui o fqdn e o netbios da maquina do exchange)?

    Roda um Get-ExchangeCertificate e posta aqui, que eu te ajudo a ver como está os certificados. Os clientes estão confiando no certiifcado novo? Se eles forem https://cas(mesmo nome do certificado)/owa eles acessam sem problemas? Caso nao tu vai ter que mexser com as gpos para dar o certificado da nova CA para eles começarem a confiar os certificados emitidos pela mesma, se for CA Enterprise isso nao ser aum problema.

    No aguardo,
    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quarta-feira, 14 de outubro de 2009 22:40
  • Pelo jeito está tudo funcionando para vc criar o certificado. Só não entendi que erro era ao acessar pagina quando vc disse " mas ao acessar o endereço dá erro Página não pode ser exibida".

     Um ponto importante é o nomes alternativos que o Anderson colocou.

     No mais, vc precisa duplicar o Web Server Template e criar um template com mais de 2 anos que deve vir como padrão em Enterprise CA, se não me engano.

     O artigo abaixo mostra como duplicar

    http://technet.microsoft.com/en-us/library/cc740077(WS.10).aspx

     Depois vc precisa publicar, segdo o abaixo:

    http://technet.microsoft.com/en-us/library/cc786293(WS.10).aspx

     Depois disso, a request que você gerou via linha de comando, você irá utilizar na requisição de um novo certificado usando o novo template.

    Abraços

    Eduardo
    • Marcado como Resposta zaiplad quarta-feira, 28 de outubro de 2009 17:58
    quarta-feira, 14 de outubro de 2009 23:27
  • Ola zaiplad,

    O certificado default da CA é 5 anos e por padrão do certificado dado é por 2 anos,. Se a tua CA for 2008 eu já havia criado um tutorial explicando o processo

    segue o tutorial: http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=780

    Se quiser alterar a validação dos já emitidos, nao precisa criar template, pode executar este processo descrito neste kb: http://support.microsoft.com/kb/254632/ e o legal que funciona para 2003 e 2008.  Presta atençao nas observaçoes.
    • Editado Anderson Patricio - MVP quarta-feira, 14 de outubro de 2009 23:48 Updated
    • Marcado como Resposta zaiplad quarta-feira, 28 de outubro de 2009 17:58
    quarta-feira, 14 de outubro de 2009 23:41
  • Exato, esse passo pode ser eliminado pelo artigo 254632 postado pelo Paulo e o Anderson para certificados já emitidos.

    Abraços
    quinta-feira, 15 de outubro de 2009 00:59
  • Show de bola Eduardo, agora só falta o zaiplad postar o resultado :)


    Grande abraço,
    Anderson Patricio

    Exchange and OCS resource site:http://www.andersonpatricio.org
    Blog (BR): http://blog.andersonpatricio.org
    MSExchange Blog: http://blogs.msexchange.org/patricio
    Blog (EN): http://msmvps.org/blogs/andersonpatricio
    Twitter: http://twitter.com/apatricio

    quinta-feira, 15 de outubro de 2009 01:28
  • Boa tarde Senhores,

    A empresa está adquirindo uma CA externa.

    Obrigado


    Leandro
    quarta-feira, 28 de outubro de 2009 18:03