Assegnare certificati ai servizi di Exchange Server
Dopo aver installato un certificato in un server Exchange, è necessario assegnare il certificato a uno o più servizi di Exchange prima che il server Exchange possa usare il certificato per la crittografia. È possibile assegnare i certificati ai servizi nell'Interfaccia di amministrazione di Exchange (EAC) o in Exchange Management Shell. Dopo aver assegnato un certificato a un servizio, non è possibile rimuovere l'assegnazione. Se non si desidera più utilizzare un certificato per un servizio specifico, è necessario assegnare un altro certificato al servizio e quindi rimuovere quello che non si desidera utilizzare.
I servizi Exchange disponibili sono descritti nella seguente tabella.
| Servizio | Usa |
|---|---|
| IIS | Crittografia TLS per le connessioni client interne ed esterne che utilizzano HTTP. Ciò include: Individuazione automatica Exchange ActiveSync Interfaccia di amministrazione di Exchange Servizi Web Exchange Distribuzione Rubrica fuori rete (OAB, offline address book) Outlook via Internet (RPC su HTTP) Outlook MAPI su HTTP Outlook sul Web |
| IMAP | Crittografia TLS per connessioni client IMAP4. Non assegnare un certificato con caratteri jolly al servizio IMAP4. Utilizzare invece il cmdlet Set-ImapSettings per configurare il nome di dominio completo (FQDN) che i client utilizzano per connettersi al servizio IMAP4. |
| POP | Crittografia TLS per connessioni client POP3. Non assegnare un certificato con caratteri jolly al servizio POP3. Utilizzare, invece, il cmdlet Set-PopSettings per configurare il nome di dominio completo che i client utilizzano per connettersi al servizio POP3. |
| SMTP | Crittografia TLS per connessioni server e client SMTP esterne. Autenticazione Mutual TLS tra Exchange e altri server di messaggistica. Quando si assegna un certificato a SMTP, viene richiesto di sostituire il certificato autofirma di Exchange predefinito usato per crittografare la comunicazione SMTP tra server Exchange interni. In genere, non è necessario sostituire il certificato SMTP predefinito. |
| Messaggistica unificata (UM) | Crittografia TLS per le connessioni client al servizio di messaggistica unificata back-end nei server cassette postali di Exchange 2016. È possibile assegnare un certificato al servizio di messaggistica unificata solo quando la proprietà della modalità di avvio della messaggistica unificata del servizio è impostata su TLS o Doppio. Se la modalità di avvio della messaggistica unificata è impostata sul valore predefinito TCP, non è possibile assegnare il certificato al servizio di messaggistica unificata. Nota: la messaggistica unificata non è disponibile in Exchange 2019. Per ulteriori informazioni, vedere Configure the Startup Mode on a Mailbox Server. |
| Router delle chiamate di messaggistica unificata (UMCallRouter) | Crittografia TLS per le connessioni client al servizio Router di chiamata di messaggistica unificata nei servizi Accesso client nei server Cassette postali di Exchange 2016. È possibile assegnare un certificato al servizio di router delle chiamate di messaggistica unificata solo quando la proprietà della modalità di avvio della messaggistica unificata del servizio è impostata su TLS o Doppio. Se la modalità di avvio della messaggistica unificata è impostata sul valore predefinito TCP, non è possibile assegnare il certificato al servizio di router delle chiamate di messaggistica unificata. Nota: la messaggistica unificata non è disponibile in Exchange 2019. Per ulteriori informazioni, vedere Configure the Startup Mode on a Client Access Server. |
Che cosa è necessario sapere prima di iniziare
Tempo stimato per il completamento: 5 minuti.
Dopo aver eseguito le procedure descritte in questo argomento, potrebbe essere necessario riavviare Internet Information Services (IIS). In alcuni scenari Exchange potrebbe continuare a usare il certificato precedente per crittografare e decrittografare il cookie usato per l'autenticazione Outlook sul web (precedentemente nota come Outlook Web App). È consigliabile riavviare IIS in ambienti che usano il bilanciamento del carico di livello 4.
Se si rinnova o si sostituisce un certificato rilasciato da un'autorità di certificazione in un server Trasporto Edge sottoscritto, è necessario rimuovere il vecchio certificato, quindi eliminare e ricreare la sottoscrizione Edge. Per ulteriori informazioni, vedere Processo di sottoscrizione Edge.
Per sapere come aprire Exchange Management Shell nell'organizzazione di Exchange locale, vedere Open the Exchange Management Shell.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per visualizzare le autorizzazioni necessarie, vedere la voce "Sicurezza dei servizi accesso client" nell'argomento Autorizzazioni per client e dispositivi mobili .
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server, Exchange Online o Exchange Online Protection.
Usare l'interfaccia di amministrazione di Exchange per assegnare un certificato ai servizi di Exchange
Aprire l'interfaccia di amministrazione di Exchange e passare a Certificati server>.
Nell'elenco Seleziona server, selezionare il server di Exchange che conserva il certificato.
Selezionare il certificato da configurare e quindi fare clic
Il certificato deve contenere il valore di Stato su Valido.Nella scheda Servizi, nella sezione Specifica i servizi a cui vuoi assegnare questo certificato selezionare i servizi. Tenere presente che è possibile aggiungere servizi, ma non è possibile rimuoverli. Al termine, fare clic su Salva.
Usare Exchange Management Shell per assegnare un certificato ai servizi di Exchange
Per assegnare un certificato ai servizi di Exchange, usare la sintassi seguente:
Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]
Questo esempio assegna il certificato con il valore 434AC224C8459924B26521298CE8834C514856AB di identificazione personale ai servizi POP, IMAP, IIS e SMTP.
Enable-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB -Services POP,IMAP,IIS,SMTP
È possibile trovare il valore di identificazione personale del certificato utilizzando il cmdlet Get-ExchangeCertificate.
Come verificare se l'operazione ha avuto esito positivo
Per verificare di aver assegnato correttamente un certificato a uno o più servizi di Exchange, utilizzare una delle seguenti procedure:
Nell'interfaccia di amministrazione di Exchange in Certificati server> verificare che sia selezionato il server in cui è stato installato il certificato. Selezionare il certificato e nel riquadro dei dettagli verificare che Assegnato alla proprietà dei servizi contenga i servizi selezionati.
In Exchange Management Shell nel server in cui è installato il certificato, eseguire il comando seguente per verificare i servizi Exchange per il certificato:
Get-ExchangeCertificate | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,Services