Compreendendo o certificado auto-assinado no Exchange 2007
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2009-12-23
Um certificado digital é um arquivo eletrônico que funciona como uma senha online para verificar a identidade de um usuário ou computador. Ele também é usado para criar o canal criptografado com SSL usado para comunicação entre um servidor que executa o Microsoft Exchange e um computador ou dispositivo cliente. Um certificado digital é uma declaração emitida por uma autoridade de certificação (CA) que valida a identidade do portador do certificado e permite comunicações criptografadas.
Os certificados digitais fazem o seguinte:
Eles autenticam que seus portadores - pessoas, sites e até mesmo recursos de rede, como roteadores - realmente são quem ou o quê dizem ser.
Eles ajudam a proteger os dados trocados online contra roubos ou violações.
Os certificados digitais podem ser emitidos por uma CA de terceiros confiável ou uma infra-estrutura de chave pública (PKI) doMicrosoft Windows(PKI), usando Serviços de Certificado, ou podem ser auto-assinados. Quando você instala a função de servidor Acesso para Cliente ou Unificação de mensagens com o Microsoft Exchange Server 2007, um certificado auto-assinado é instalado se não há nenhum certificado digital anterior. Esse documento dá uma visão geral do certificado auto-assinado no Exchange 2007 a quando ele deve ou não ser usado.
Para obter mais informações sobre a segurança do servidor de Acesso para Cliente do Exchange 2007, consulte Compreendendo SSL para Servidores de Acesso para Cliente.
Visão geral do certificado auto-assinado
Quando você instala o Exchange 2007 com a função de servidor Acesso para Cliente, é instalado um certificado digital auto-assinado. O certificado auto-instalado foi projetado para ajudar a proteger as comunicações entre servidores Exchange 2007 de uma organização e também fornecer um método temporário de criptografia para comunicações de clientes até a compra e instalação de um outro certificado. Um certificado auto-assinado tem duas entradas de Nome de Assunto Alternativo: um para o nome NetBIOS do servidor de Acesso para Cliente e outro para o nome de domínio totalmente qualificado (FQDN) do servidor de Acesso para Cliente. Embora o certificado auto-assinado possa ser usado para criptografar as comunicações entre um servidor de Acesso para Cliente e outras funções de servidor Exchange Server 2007, não recomendamos que ele seja usado com aplicativos e dispositivos clientes. Devido às limitações de um certificado autoassinado, recomendamos que você substitua o certificado autoassinado por um certificado confiável de terceiros ou por um certificado assinado por uma PKI do Windows.
Dica
Um certificado auto assinado é instalado em todas as funções de servidor do Exchange 2007, exceto a função de servidor Caixa de Correio.
Limitações do certificado auto-assinado
A lista a seguir descreve algumas limitações do certificado auto- assinado.
Data de Expiração: O certificado autoassinado é válido por um ano a partir da data de criação nas versões do Exchange 2007 anteriores ao Exchange 2007 Service Pack 2 (SP2). Os certificados autoassinados são válidos por cinco anos a partir da data de criação no Exchange 2007 SP2 ou em versões posteriores. Quando o certificado expira, é necessário gerar um novo certificado auto-assinado com o cmdlet New-ExchangeCertificate.
Outlook em Qualquer Lugar: O certificado autoassinado não pode ser usado com o Outlook em Qualquer Lugar. Recomendamos que você obtenha um certificado de uma PKI do Windows ou de um terceiro comercial confiável se for usar o Outlook em Qualquer Lugar.
Exchange ActiveSync: O certificado auto-assinado não pode ser usado para criptografar comunicações entre o Microsoft Exchange ActiveSync e o servidor Exchange. Recomendamos que você obtenha um certificado de uma PKI do Windows ou de um terceiro comercial confiável para usar com o Exchange ActiveSync.
Outlook Web Access: usuários do Microsoft Outlook Web Access receberão um prompt informando-os de que o certificado que está sendo usado para ajudar a proteger o Outlook Web Access não é confiável. Esse erro ocorro porque o certificado não é assinado por uma autoridade na qual o cliente confie. Os usuários poderão ignorar o prompt e usar o certificado auto-assinado para o Outlook Web Access. Contudo, recomendamos que você obtenha um certificado de uma PKI do Windows ou de um terceiro comercial confiável.
Expiração do certificado
O certificado autoassinado é válido por um ano após a instalação da função de servidor Acesso para Cliente ou por um ano após sua criação nas versões do Exchange 2007 anteriores ao Exchange 2007 SP2. Os certificados autoassinados são válidos por cinco anos a partir da data de criação no Exchange 2007 SP2 ou versões posteriores. Os componentes internos que dependem os certificados autoassinados padrão continuarão a operar se o certificado autoassinado estiver expirado. Contudo, quando o certificado auto-assinado expira, os eventos a seguir são registrados no Visualizador de Eventos:
Tipo de Evento: Erro |
Fonte de Evento: MSExchangeTransport |
Categoria do Evento: TransportService |
ID do Evento: 12014 |
Data: Data |
Hora: Hora |
Usuário: N/D |
Computador: Nome_do_Servidor |
Descrição: O Microsoft Exchange não pôde localizar um certificado que contenha o nome de domínio Domain_Name no armazenamento pessoal do computador local. Portanto, ele não tem suporte para o verbo SMTP STARTTLS no conector Servidor Padrão com parâmetro FQDN. Se o FQDN do conector não for especificado, será usado o FQDN do computador. Verifique a configuração do conector e os certificados instalados para assegurar-se de que haja um certificado com um nome de domínio para esse FQDN. Se esse certificado existir, execute Enable-ExchangeCertificate -Services SMTP para verificar se o serviço de Transporte do Microsoft Exchange tem acesso à chave do certificado. Para obter mais informações, consulte o Centro de Ajuda e Suporte em https://go.microsoft.com/fwlink/?LinkID=34258 (página em inglês). |
Tipo de Evento: Aviso |
Fonte de Evento: MSExchangeTransport |
Categoria do Evento: TransportService |
ID do Evento: 12015 |
Data: Data |
Hora: Hora |
Usuário: N/D |
Computador: Nome_do_Servidor |
Descrição: Um certificado de transporte interno expirou. Impressão digital:Thumb_Print_Value Para obter mais informações, consulte o Centro de Ajuda e Suporte em https://go.microsoft.com/fwlink/?LinkID=34258 (página em inglês). |
É uma prática recomendável renovar os certificados auto-assinados antes que expirem. Você pode usar o Shell de Gerenciamento do Exchange para renovar o certificado auto-assinado, clonando-o. É possível clonar o certificado usando primeiramente o cmdlet Get-ExchangeCertificate para obter a impressão digital do certificado padrão atual de seu domínio.
Dica
Os cmdlets a seguir devem ser executados a partir do servidor de Acesso para Cliente do Exchange 2007 e não podem ser executados remotamente.
Get-ExchangeCertificate -DomainName CAS01.contoso.com
Em Serviços, selecione o certificado que contém um "W**"** na lista de certificados. Por exemplo, selecione IP.WS. O "W" indica que o certificado é atribuído ao IIS.
Para clonar o certificado, execute o cmdlet a seguir.
Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate
O novo certificado clonado será então carimbado com uma nova data de expiração, um ano após a data em que o cmdlet for executado.
Quando você pode usar o certificado auto-assinado
Há vários protocolos e situações em que o certificado auto-assinado pode ser usado para criptografar comunicações. Clientes Outlook associados ao domínio podem usar o certificado auto-assinado para criptografar emails e o canal de comunicação entre o cliente e o servidor Exchange. Como mencionado anteriormente, usuários do Outlook Web Access também podem usar o certificado auto-assinado para criptografar canais de comunicação. Você também pode usar o certificado auto-assinado para criptografar as comunicações entre servidores de Acesso para Cliente em diferentes sites do serviço de diretório do Active Directory. Esse cenário, conhecido como intermediação por proxy CAS-CAS, exige uma modificação no Registro para funcionar corretamente.
Usando o certificado auto-assinado com clientes Outlook 2007 associados ao domínio
O certificado auto-assinado funciona sem nenhuma configuração adicional para clientes Microsoft Office Outlook 2007 associados ao domínio Esses clientes podem se conectar sem receber nenhum aviso de segurança, porque todas as URLs que eles usam para se conectar ao serviço de Descoberta Automática se referem ao FQDN interno do servidor de Acesso para Cliente. O certificado auto-assinado tem um nome comum que é mapeado para o nome NetBIOS do servidor. O certificado auto-assinado também inclui o FQDN do servidor como um nome DNS adicional armazenado no campo Nome de Assunto Alternativo do certificado. Isso permite que clientes associados ao domínio se conectem com sucesso ao serviço de Descoberta Automática sem receber nenhum aviso de certificado, porque o certificado não expirou e o FQDN do servidor ao qual você está se conectando está armazenado no Nome de Assunto Alternativo do certificado. Embora o cliente não possa validar o certificado auto-assinado até a raiz confiável, essa falha de validação é permitida quando clientes associados ao domínio se conectam ao serviço de Descoberta Automática usando o certificado auto-assinado. Contudo, não recomendamos uso a longo prazo desse certificado auto-assinado, porque seu objetivo principal é facilitar a necessidade de obter um certificado correto para que clientes Outlook 2007 possam começar imediatamente a usar os recursos do Exchange 2007.
Usando o certificado auto-assinado com proxy
É necessário executar várias etapas para poder usar o certificado auto-assinado com êxito para criptografar as comunicações entre clientes e servidores em um cenário de proxy. Para obter mais informações sobre proxy, consulte Noções básicas de proxy e redirecionamento.
É necessário modificar o Registro para oferecer suporte ao uso de certificados auto-assinados com proxy. Seus clientes receberão um prompt ao se conectarem ao servidor de Acesso para Cliente do Exchange 2007, porque o certificado auto-assinado é considerado inválido pela maioria dos aplicativos clientes, como o Exchange ActiveSync e o Microsoft Office Outlook 2007. O Exchange ActiveSync e o Outlook Web Access oferecem suporte para fazer proxy de um servidor de Acesso para Cliente para outro. Para que a operação de proxy seja realizada com êxito quando um certificado autoassinado for usado, você deverá configurar as seguintes chaves do Registro no servidor de Acesso para Cliente voltado para a Internet:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternallUntrustedCerts = 1
Essas chaves do Registro permitirão que o servidor de Acesso para Cliente voltado para a Internet se conecte a um servidor de Acesso para Cliente que não seja voltado para a Internet, usando um certificado auto-assinado instalado no servidor de Acesso para Cliente não voltado para a Internet. Se o servidor de Acesso para Cliente voltado para a Internet usar um certificado auto-assinado para comunicações entre clientes, todas as limitações mencionadas anteriormente são aplicáveis.
UNRESOLVED_TOKEN_VAL(exRegistry)
Quando você não pode usar o certificado auto-assinado
Embora o certificado auto-assinado seja aceito para uso com clientes Microsoft Office Outlook 2007 e Outlook Web Access associados ao domínio, não recomendamos o uso a longo prazo do certificado auto-assinado para qualquer fim que não seja a criptografia das comunicações entre servidores Exchange 2007 de sua organização. Recomendamos que para oferecer suporte a vários, ou todos, os recursos de servidor de Acesso para Cliente, como o Exchange ActiveSync, Outlook Web Access e Outlook em Qualquer Lugar, você obtenha um certificado de uma PKI do Windows ou uma CA de terceiros confiável e importe esse certificado para o armazenamento raiz confiável de cada computador ou dispositivo.
Importante
O certificado autoassinado não é aceito para uso com o Outlook em Qualquer Lugar nem com o Exchange ActiveSync.
Para obter mais informações
Para obter mais informações sobre SSL, certificados e o Exchange 2007, consulte os seguintes tópicos: