New-ExchangeCertificate

Articolo
08/07/2014

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Ultima modifica dell'argomento: 2009-05-11

Utilizzare il cmdlet New-ExchangeCertificate per creare un nuovo certificato autofirmato o una nuova richiesta di certificato per i servizi TLS (Transport Layer Security) e SSL (Secure Sockets Layer).

Importante

Durante la configurazione dei certificati per i servizi SSL e TLS, è necessario prendere in considerazione diverse variabili e tenere presenti gli effetti che ciascuna di esse produce sulla configurazione. Prima di continuare, leggere Utilizzo dei certificati in Exchange 2007 Server.

Sintassi

New-ExchangeCertificate [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

Descrizione dettagliata

Nel cmdlet New-ExchangeCertificate vengono utilizzati numerosi parametri di tipo SwitchParameter. Per ulteriori informazioni sull'utilizzo di questo tipo di parametri, vedere l'argomento dedicato ai parametri delle opzioni in Parameters.

Per eseguire il cmdlet New-ExchangeCertificate, è necessario utilizzare un account che disponga della seguente delega:

Ruolo Exchange Server Administrator e appartenenza al gruppo Administrators locale del server di destinazione.

Per eseguire il cmdlet New-ExchangeCertificate su un computer in cui è installato il ruolo del server Trasporto Edge, è necessario accedere al sistema utilizzando un account membro del gruppo di amministratori locale del computer.

Per ulteriori informazioni sulle autorizzazioni, sulla delega dei ruoli e sui diritti necessari per l'amministrazione di Microsoft Exchange Server 2007, vedere Considerazioni sulle autorizzazioni.

Parametri

Parametro	Obbligatorio	Tipo	Descrizione
BinaryEncoded	Facoltativo	System.Management.Automation.SwitchParameter	Questa opzione di parametro consente di specificare come dovrà essere codificato il file esportato. Per impostazione predefinita, il cmdlet crea un file codificato in base allo standard Base64. Per creare un file codificato in base allo standard DER, impostare il parametro su `$True`.
Confirm	Facoltativo	System.Management.Automation.SwitchParameter	Il parametro Confirm consente di determinare la sospensione dell'elaborazione e di richiedere che l'utente confermi l'operazione che verrà eseguita dal comando prima che l'elaborazione continui. Con il parametro Confirm non è necessario specificare un valore.
DomainController	Facoltativo	System.String	Per specificare il nome di dominio completo (FQDN) del controller di dominio che recupera i dati dal servizio directory Active Directory, includere nel comando il parametro DomainController. Il parametro DomainController non è supportato nei computer che eseguono il ruolo del server Trasporto Edge. Il ruolo del server Trasporto Edge prevede la scrittura solo nell'istanza locale del servizio ADAM (Application Mode) di Active Directory.
DomainName	Facoltativo	Microsoft.Exchange.Data.MultiValuedProperty	Utilizzare questo parametro per inserire uno o più nomi di dominio (FQDN) o di server nella richiesta di certificato risultante. I nomi di dominio possono contenere caratteri alfabetici inclusi nell'intervallo "a-z", valori numerici compresi tra 0 e 9 e il trattino (-), per un totale di 255 elementi. Per immettere più nomi di server o di dominio, è necessario specificarli separandoli con virgole.
Force	Facoltativo	System.Management.Automation.SwitchParameter	Questo parametro consente di sovrascrivere un file di richiesta di certificato esistente presente nel percorso di file specificato nel cmdlet corrente. Per impostazione predefinita, il cmdlet non sovrascrive i file esistenti.
FriendlyName	Facoltativo	System.String	Questo parametro consente di specificare un nome descrittivo contenente meno di 64 caratteri per il certificato risultante. Il nome descrittivo predefinito è "Microsoft Exchange".
GenerateRequest	Facoltativo	System.Management.Automation.SwitchParameter	Questo parametro consente di specificare il tipo di oggetto certificato che si desidera creare. Per impostazione predefinita, il parametro crea un certificato autofirmato nell'archivio certificati del computer locale. Per creare una richiesta per un certificato PKI (PKCS #10) nell'archivio richieste locale, impostare il parametro su `$True`.
IncludeAcceptedDomains	Facoltativo	System.Management.Automation.SwitchParameter	Questo parametro consente di includere tutti i domini accettati definiti nel campo dei nomi di dominio. È inoltre possibile specificare un parametro DomainName nella richiesta. Nella richiesta o nel certificato risultante verranno combinati i due valori.
IncludeAutoDiscover	Facoltativo	System.Management.Automation.SwitchParameter	Utilizzare questo parametro per aggiungere il prefisso "autodiscover" a ciascun nome di dominio generato per il certificato risultante. È possibile specificare questo parametro solo quando il cmdlet viene eseguito in un server di Exchange in cui è installato il ruolo del server Accesso client. Nota: se nel nome di dominio è già presente il prefisso, la stringa "autodiscover" non verrà aggiunta.
Instance	Facoltativo	System.Security.Cryptography.X509Certificates.X509Certificate2	Questo parametro consente di passare un intero oggetto al comando per l'elaborazione. Il parametro Instance viene utilizzato principalmente negli script in cui è necessario passare un intero oggetto al comando.
KeySize	Facoltativo	System.Int32	Questo parametro consente di specificare le dimensioni, in bit, della chiave pubblica RSA associata al certificato di cui è in corso la creazione. I valori accettati sono `4096`, `2048` e `1024`. Il valore predefinito è `2048`.
Path	Facoltativo	System.String	Questo parametro consente di specificare un percorso per il file della richiesta PKCS #10 risultante. Il parametro è valido solo se il valore di GenerateRequest è `$true`. Il cmdlet New-ExchangeCertificate genererà una richiesta nell'archivio certificati locale anche se è specificato il parametro Path. Tale richiesta contiene le chiavi del certificato risultante. Per utilizzare il parametro, è necessario specificare il nome del file della richiesta, che deve necessariamente terminare con l'estensione REQ, ad esempio: `-Path c:\certificates\request.req` Il file REQ viene utilizzato dall'Autorità di certificazione (CA) per generare un certificato.
PrivateKeyExportable	Facoltativo	System.Boolean	Questo parametro consente di specificare se il certificato risultante sarà associato a una chiave privata esportabile. Per impostazione predefinita, nessuna richiesta di certificato e nessun certificato creato dal cmdlet corrente consente l'esportazione della chiave privata. È tuttavia opportuno tenere presente che se la chiave privata non è esportabile non sarà possibile esportare né importare il certificato. Per consentire l'esportazione della chiave privata dal certificato risultante, impostare questo parametro su `$true` .
Services	Facoltativo	Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices	Questo parametro consente di specificare i servizi per i quali verrà utilizzato il certificato risultante. Se il valore di GenerateRequest è `$true`, non sarà possibile specificare i servizi. Nella gamma di immissione valida è inclusa una combinazione dei seguenti valori: `IMAP` `POP` `UM` `IIS` `SMTP` `None` Per creare un certificato autofirmato per più servizi, racchiudere i valori tra virgolette e separarli con virgole, ad esempio: `-Services "IMAP, POP, IIS"` Per creare un certificato che non è possibile esportare in un altro computer, impostare il parametro su `None`. L'impostazione predefinita è `SMTP`.
SubjectName	Facoltativo	System.Security.Cryptography.X509Certificates.X500DistinguishedName	Questo parametro consente di specificare il nome del soggetto nel certificato risultante. Il nome del soggetto di un certificato rappresenta il campo utilizzato dai servizi compatibili con DNS. Il campo Nome soggetto associa un certificato a un server o a un nome dominio particolare. Un nome soggetto rappresenta un nome distinto X.500 composto da uno o più nomi distinti relativi, noti anche come RDN. Per impostazione predefinita, viene utilizzato come nome comune il nome host del server su cui viene eseguito il cmdlet nel certificato risultante. Se ad esempio il cmdlet viene eseguito sul server EXMBX01, verrà utilizzato il nome soggetto CN=EXMBX01.
WhatIf	Facoltativo	System.Management.Automation.SwitchParameter	Il parametro WhatIf consente di indicare al comando di simulare le azioni da eseguire sull'oggetto. Il parametro WhatIf consente di visualizzare le modifiche che verrebbero apportate senza applicarle. Con il parametro WhatIf non è necessario specificare un valore.

Tipi di input

Tipi restituiti

Errori

Errore	Descrizione

Eccezioni

Eccezioni	Descrizione

Esempio

Nel primo esempio viene illustrato come eseguire il cmdlet senza argomenti. Quando si esegue il cmdlet New-ExchangeCertificate senza argomenti, viene generato un certificato autofirmato per SMTP SSL/TLS. che come nome del soggetto presenta il nome di dominio completo del computer locale. Questo certificato di trasporto interno può essere utilizzato, così com'è, per l'autenticazione di trust diretto e la crittografia tra i server Trasporto Edge e Trasporto Hub. Al gruppo di protezione locale dei servizi di rete viene concesso anche l'accesso in lettura alla chiave privata associata al certificato. Inoltre, il certificato viene pubblicato in Active Directory, in modo che sia possibile utilizzare il trust diretto di Exchange Server per convalidare l'autenticità del server in relazione alla protezione TLS reciproca.

Nel secondo esempio viene illustrato come eseguire il cmdlet per generare una richiesta di certificato e copiarla in un percorso del computer locale. Al certificato risultante saranno associati i seguenti attributi:

Nome del soggetto: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com
Nomi del soggetto alternativi: woodgrove.com e prova.com
Una chiave privata esportabile

Per ulteriori esempi, vedere Creazione di un certificato o di una richiesta di certificato per TLS e gli articoli nel blog del team di Microsoft Exchange:

Analisi di fine progetto: Generazione di un certificato con una CA di terze parti
Certificati e individuazione automatica di Exchange 2007
Ulteriori informazioni su Exchange 2007 e sui certificati con uno scenario reale

Nota

UNRESOLVED_TOKEN_VAL(exBlog)

Per ulteriori informazioni, vedere Domain Security White Paper (informazioni in lingua inglese).

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true