New-ExchangeCertificate

Artículo
06/26/2014

Se aplica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Última modificación del tema: 2009-05-11

Use el cmdlet New-ExchangeCertificate para crear un nuevo certificado autofirmado o una nueva solicitud de certificado para los servicios Seguridad de nivel de transporte (TLS) y Nivel de sockets seguros (SSL).

Importante

Hay muchas variables que debe tener el cuenta al configurar certificados para los servicios SSL y TLS. Debe comprender cómo pueden afectar estas variables a la configuración global. Antes de continuar, lea Uso de certificados en Exchange 2007 Server.

Sintaxis

New-ExchangeCertificate [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-Confirm [<SwitchParameter>]] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>] [-WhatIf [<SwitchParameter>]]

Descripción detallada

El cmdlet New-ExchangeCertificate usa muchos parámetros de tipo SwitchParameter. Para obtener más información acerca de cómo utilizar este tipo, consulte "Parámetros modificadores" en Parámetros.

Para ejecutar el cmdlet New-ExchangeCertificate, la cuenta utilizada debe tener delegado lo siguiente:

Función de administrador de servidores de Exchange y grupo local Administradores para el servidor de destino

Para ejecutar el cmdlet New-ExchangeCertificate en un equipo que tenga instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo Administradores local en dicho equipo.

Para obtener más información sobre permisos, delegación de funciones y derechos necesarios para administrar MicrosoftExchange Server 2007, consulte Consideraciones sobre permisos.

Parámetros

Parámetro	Necesario	Tipo	Descripción
BinaryEncoded	Opcional	System.Management.Automation.SwitchParameter	Use este conmutador de parámetro para especificar cómo se codificará el archivo exportado. De forma predeterminada, este cmdlet creará un archivo codificado en base 64. Para crear un archivo codificado DER, establezca este parámetro en `$True`.
Confirm	Opcional	System.Management.Automation.SwitchParameter	El parámetro Confirm hace que el comando ponga en pausa el procesamiento y requiere que el usuario confirme qué hará el comando antes de seguir con el procesamiento. No es necesario especificar un valor con el parámetro Confirm.
DomainController	Opcional	System.String	Para especificar el nombre de dominio completo (FQDN) del controlador de dominio que recupera los datos del servicio de directorio de Active Directory, incluya el parámetro DomainController en el comando. El parámetro DomainController no se admite en equipos que ejecutan la función del servidor Transporte perimetral. La función del servidor Transporte perimetral sólo escribe en la instancia de ADAM local de Active Directory.
DomainName	Opcional	Microsoft.Exchange.Data.MultiValuedProperty	Use este parámetro para rellenar uno o más nombres de dominio (FQDN) o nombres de servidor en la solicitud de certificado resultante. Los nombres de dominio están restringidos a los caracteres "a-z", "0-9" y el guión ("-"). Cada nombre de dominio no puede superar los 255 caracteres. Para escribir varios nombres de dominio o de servidor, debe escribir los nombres separados por comas.
Force	Opcional	System.Management.Automation.SwitchParameter	Use este conmutador de parámetro para sobrescribir un archivo de solicitud de certificado existente que coincida con la misma ruta de acceso de archivo especificada en este cmdlet. De forma predeterminada, este cmdlet no sobrescribirá archivos existentes.
FriendlyName	Opcional	System.String	Use este parámetro para especificar un nombre descriptivo para el certificado resultante. Este nombre descriptivo debe ser inferior a 64 caracteres. El nombre descriptivo predeterminado es "Microsoft Exchange".
GenerateRequest	Opcional	System.Management.Automation.SwitchParameter	Use este parámetro para especificar el tipo de objeto de certificado a crear. De forma predeterminada, este parámetro creará un certificado autofirmado en el almacén de certificados del equipo local. Para crear una solicitud de certificado para un certificado PKI (PKCS #10) en el almacén de solicitudes local, establezca este parámetro en `$True`.
IncludeAcceptedDomains	Opcional	System.Management.Automation.SwitchParameter	Use este parámetro para incluir todos los dominios aceptados definidos en el campo de nombres de dominio. También puede especificar un parámetro DomainName en la solicitud. El certificado o solicitud resultante contendrá la unión de los dos valores.
IncludeAutoDiscover	Opcional	System.Management.Automation.SwitchParameter	Use este parámetro para agregar el prefijo "autodiscover" a cada nombre de dominio generado para el certificado resultante. Solamente puede especificar este parámetro cuando ejecute este cmdlet en un servidor de Exchange que tenga instalada la función del servidor Acceso de cliente. Nota: Este parámetro no agregará el prefijo "autodiscover" si el nombre de dominio ya contiene el prefijo.
Instance	Opcional	System.Security.Cryptography.X509Certificates.X509Certificate2	Utilice este parámetro para pasar todo el objeto al comando para que sea procesado. El parámetro Instance se utiliza, principalmente, en scripts en los que todo el objeto debe pasar al comando.
KeySize	Opcional	System.Int32	Use este parámetro para especificar el tamaño (en bits) de la clave pública RSA asociada con el certificado que está creando. Los valores aceptables son `4096`, `2048` y `1024`. El valor predeterminado es `2048`.
Path	Opcional	System.String	Use este parámetro para especificar una ruta de acceso al archivo de solicitud PKCS #10 resultante. Este parámetro solamente es válido si GenerateRequest está establecido como `$true`. El cmdlet New-ExchangeCertificate generará una solicitud de certificado en el almacén de certificados local aunque se especifique el parámetro Path. La solicitud de certificado que se genera en el almacén local de certificados contiene las claves para el certificado resultante. Cuando use este parámetro debe especificar el nombre del archivo de solicitud. El nombre debe terminar con la extensión .req, por ejemplo: `-Path c:\certificates\request.req` La entidad de certificación (CA) utiliza el archivo .req para generar un certificado.
PrivateKeyExportable	Opcional	System.Boolean	Use este parámetro para especificar si el certificado resultante tendrá una clave privada exportable. De forma predeterminada, todas las solicitudes de certificado y los certificados creados por este cmdlet no permitirán que se exporte la clave privada. Debe entender que, si no puede exportar la clave privada, el propio certificado no podrá exportarse ni importarse. Establezca este parámetro en `$true` para permitir la exportación de la clave privada desde el certificado resultante.
Services	Opcional	Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices	Use este parámetro para especificar los servicios que usará el certificado resultante. No puede especificar servicios si ha establecido el valor GenerateRequest como `$true`. Las entradas válidas incluyen una combinación de lo siguiente: `IMAP` `POP` `UM` `IIS` `SMTP` `None` Para crear un certificado autofirmado para varios servicios, encierre los valores entre comillas y sepárelos con comas, por ejemplo: `-Services "IMAP, POP, IIS"` Para crear un certificado que esté deshabilitado, de modo que pueda exportarlo a otro equipo, establezca este parámetro en `None`. El valor predeterminado es `SMTP`.
SubjectName	Opcional	System.Security.Cryptography.X509Certificates.X500DistinguishedName	Use este parámetro para especificar el nombre de sujeto para el certificado resultante. El Nombre de sujeto de un certificado es el campo que utilizan los servicios para DNS. El campo Nombre de sujeto vincula un certificado con un determinado servidor o nombre de dominio. Un nombre de sujeto es un nombre distintivo X.500 que consta de uno o más nombres distintivos (también conocido como RDN). De manera predeterminada, el nombre de host del servidor en el que se ejecuta el cmdlet se utiliza como el CN en el certificado resultante. Por ejemplo, si el cmdlet se ejecuta en el servidor EXMBX01, se utilizará el nombre de sujeto CN=EXMBX01.
WhatIf	Opcional	System.Management.Automation.SwitchParameter	El parámetro WhatIf indica al comando que simule las acciones que llevaría a cabo en el objeto. Mediante el uso del parámetro WhatIf, puede ver los cambios que se producirían sin tener que aplicarlos. No es necesario especificar un valor con el parámetro WhatIf.

Tipos de entrada

Tipos de valores devueltos

Errores

Error	Descripción

Excepciones

Excepciones	Descripción

Ejemplo

El primer ejemplo muestra la ejecución del cmdlet sin argumentos. Cuando se ejecuta el cmdlet New-ExchangeCertificate sin argumentos, se genera un certificado autofirmado para SMTP SSL/TLS. El certificado tiene el FQDN del equipo local como nombre de sujeto. Este certificado de transporte interno se puede emplear tal cual para autenticación de confianza directa y cifrado entre los servidores de transporte perimetral y de transporte de concentradores. El grupo de seguridad local Servicios de red obtiene también acceso de lectura a la clave privada asociada con el certificado. Además, el certificado se publica en Active Directory de modo que pueda usarse la confianza directa de Exchange Server para validar la autenticidad del servidor para TLS mutua.

El segundo ejemplo muestra la ejecución del cmdlet de modo que se genere una solicitud de certificado y se copie en una ruta de acceso del equipo local. El certificado resultante tendrá los siguientes atributos asociados:

Nombre de sujeto: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com
Nombres alternativos del sujeto: woodgrove.com y example.com
Una clave privada exportable

Para obtener más ejemplos, consulte Creación de un certificado o de una solicitud de certificado para TLS y las siguientes entradas del blog del equipo de Exchange Server:

Lecciones aprendidas: Generación de un certificado con un CA de terceros
Detección automática y certificados de Exchange 2007
Más información acerca de Exchange 2007 y los certificados con un caso real

Nota

UNRESOLVED_TOKEN_VAL(exBlog)

Para obtener más información, consulte Notas del producto sobre seguridad de dominio (en inglés).

New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true