Renovación de un certificado de Exchange Server
Cada certificado tiene una fecha de caducidad integrada. En Exchange Server, el certificado autofirmado predeterminado que se instala en el servidor de Exchange expira 5 años después de instalar Exchange en el servidor. Puede usar la Centro de administración de Exchange (EAC) o Shell de administración de Exchange para renovar certificados de Exchange. Esto incluye certificados autofirmados de Exchange y certificados emitidos por una entidad de certificación (CA).
Nota:
Las tareas de administración de certificados se quitan de EAC para Exchange Server 2016 CU23 y Exchange Server 2019 CU12. Use el procedimiento del Shell de administración de Exchange para exportar o importar el certificado de estas versiones.
¿Qué necesita saber antes de empezar?
Tiempo estimado para finalizar: 5 minutos
Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización de Exchange local, consulte Open the Exchange Management Shell.
En el caso de los certificados emitidos por una entidad de certificación, compruebe los requisitos de solicitud de certificados de la entidad. Exchange genera un archivo de solicitud (.req) PKCS #10 que usa codificación Base64 (valor predeterminado) o reglas de codificación distinguida (DER) con una clave pública RSA con 1024, 2048 (valor predeterminado) o 4096 bits. Tenga en cuenta que las opciones de codificación y de clave pública solo están disponibles en Shell de administración de Exchange.
Para renovar un certificado emitido por una entidad de certificación, debe renovar el certificado con la misma entidad que lo emitió. Si cambia de entidad o si hay un problema con el certificado original al intentar renovarlo, tendrá que crear una nueva solicitud de certificado (lo que también se conoce como solicitud de firma de certificado o CSR) para obtener uno nuevo. Para obtener más información, consulte Creación de una solicitud de certificado de Exchange Server para una entidad de certificación.
Si renueva o reemplaza un certificado emitido por una entidad de certificación en un servidor de transporte perimetral suscrito, debe quitar el certificado anterior y, a continuación, eliminar y volver a crear la suscripción perimetral. Para obtener más información, vea Proceso de suscripción de Edge.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte el Entrada "Seguridad de los servicios de acceso de clientes" en el tema Permisos de dispositivos móviles y clientes.
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server, Exchange Online, o Exchange Online Protection.
Renovar un certificado emitido por una entidad de certificación
Los procedimientos son los mismos que para los certificados emitidos por una entidad interna (por ejemplo, Servicios de certificados de Active Directory) o una entidad comercial.
Para renovar un certificado emitido por una entidad de certificación, se crea una solicitud de renovación de certificado que luego se envía a la entidad de certificación. Entonces esta envía el archivo de certificado real que se debe instalar en el servidor de Exchange. El procedimiento es prácticamente idéntico al de completar una nueva solicitud de certificado mediante la instalación del certificado en el servidor. Para obtener instrucciones, consulte Completar una solicitud de certificado Exchange Server pendiente.
Usar la EAC para crear una solicitud de renovación de certificado para una entidad de certificación
Abra el EAC y vaya aCertificados de servidores>.
En la lista Seleccionar servidor, seleccione el servidor de Exchange que contiene el certificado que quiere renovar.
Todos los certificados válidos tienen un vínculo Renovar en el panel de detalles que aparece cuando se selecciona el certificado de la lista. Seleccione el certificado que quiere renovar y haga clic en Renovar en el panel de detalles.
En la página Renovar certificado de Exchange que se abre, en el campo Guardar la solicitud de certificado en el siguiente archivo, escriba la ruta de acceso UNC y el nombre del nuevo archivo de solicitud de renovación de certificado. Por ejemplo,
\\FileServer01\Data\ContosoCertRenewal.req. Cuando haya terminado, haga clic en Aceptar.
La solicitud de certificado aparece en la lista de certificados de Exchange con un valor de estado de Pendiente.
Usar Shell de administración de Exchange para crear una solicitud de renovación de certificado para una entidad de certificación
Para crear una nueva solicitud de renovación de certificados para una entidad de certificación, use la sintaxis siguiente:
Si necesita enviar el contenido del archivo de solicitud de renovación de certificados a la entidad de certificación, use la sintaxis siguiente para crear un archivo de solicitud codificado en Base64:
$txtrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))Si necesita enviar el archivo de solicitud de renovación de certificados a la entidad de certificación, use la sintaxis siguiente para crear un archivo de solicitud codificado en DER:
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded [-KeySize <1024 | 2048 | 4096>] [-Server <ServerIdentity>] [System.IO.File]::WriteAllBytes('<FilePathOrUNCPath>\<FileName>.pfx', $binrequest.FileData)
Para buscar el valor de la huella digital del certificado que quiere renovar, ejecute el siguiente comando:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-ExchangeCertificate y New-ExchangeCertificate.
Notas:
- Si no usa el parámetro KeySize , la solicitud de certificado tiene una clave pública RSA de 2048 bits.
- Si no usa el parámetro Server , el comando se ejecuta en el servidor exchange local.
En este ejemplo se crea una solicitud de renovación de certificados codificada en Base64 para el certificado existente con el valor 5DB9879E38E36BCB60B761E29794392B23D1C054huella digital :
$txtrequest = Get-ExchangeCertificate -Thumbprint 5DB9879E38E36BCB60B761E29794392B23D1C054 | New-ExchangeCertificate -GenerateRequest
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.req', [System.Text.Encoding]::Unicode.GetBytes($txtrequest))
En este ejemplo se crea una solicitud de renovación de certificados codificada de DER (binaria) para el mismo certificado:
$binrequest = Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate -GenerateRequest -BinaryEncoded
[System.IO.File]::WriteAllBytes('\\FileServer01\Data\ContosoCertRenewal.pfx', $binrequest.FileData)
¿Cómo sabe que ha creado correctamente una solicitud de renovación de certificados?
Para comprobar que se ha creado correctamente una solicitud de renovación de certificado para una entidad de certificación, realice cualquiera de los siguientes pasos:
En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde almacenó la solicitud de certificado. La solicitud debe estar en la lista de certificados con el valor de EstadoSolicitud pendiente.
En Shell de administración de Exchange, en el servidor donde se almacenó la solicitud de certificado, ejecute el siguiente comando:
Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint
Renovar un certificado autofirmado de Exchange
Cuando se renueva un certificado autofirmado de Exchange, básicamente se está creando un nuevo certificado.
Usar la EAC para renovar un certificado autofirmado de Exchange
Abra el EAC y vaya aCertificados de servidores>.
En la lista Seleccionar servidor, seleccione el servidor de Exchange que contiene el certificado que quiere renovar.
Todos los certificados válidos tienen un vínculo Renovar en el panel de detalles que aparece cuando se selecciona el certificado de la lista. Seleccione el certificado que quiere renovar y haga clic en Renovar en el panel de detalles.
En la página Renovar certificado de Exchange que se abre, compruebe la lista de solo lectura de servicios de Exchange a la que está asignado el certificado existente y haga clic en Aceptar.
Usar Shell de administración de Exchange para renovar un certificado autofirmado de Exchange
Para renovar un certificado autofirmado, use la sintaxis siguiente:
Get-ExchangeCertificate -Thumbprint <Thumbprint> | New-ExchangeCertificate [-Force] [-PrivateKeyExportable <$true | $false>]
Para buscar el valor de la huella digital del certificado que quiere renovar, ejecute el siguiente comando:
Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
En este ejemplo se renueva un certificado autofirmado en el servidor local de Exchange y se usa la siguiente configuración:
- El valor de huella digital del certificado autofirmado existente que se va a renovar es
BC37CBE2E59566BFF7D01FEAC9B6517841475F2D - El modificador Force reemplaza el certificado autofirmado original sin una solicitud de confirmación.
- La clave privada es exportable. Esto permite exportar el certificado e importarlo en otros servidores.
Get-ExchangeCertificate -Thumbprint BC37CBE2E59566BFF7D01FEAC9B6517841475F2D | New-ExchangeCertificate -Force -PrivateKeyExportable $true
¿Cómo sabe que ha renovado correctamente un certificado autofirmado de Exchange?
Para comprobar que se ha renovado correctamente un certificado autofirmado de Exchange, use alguno de los procedimientos siguientes:
En el EAC enCertificados de servidores>, compruebe que está seleccionado el servidor donde instaló el certificado. En la lista de certificados, compruebe que el valor de la propiedad Estado del certificado es Válido.
En Shell de administración de Exchange, en el servidor donde se renovó el certificado autofirmado, ejecute el siguiente comando para comprobar los valores de propiedad:
Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $true} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter
Importante
La eliminación, renovación o asignación de servicios al certificado puede quitar el certificado del back-end de Exchange y del sitio web predeterminado. Es esencial comprobar los enlaces de certificado y aplicar los certificados correctos.