¿Cómo renovar el certificado de cambio? – 2xsoftware

Los servidores de Exchange utilizan certificados SSL para cifrar las conexiones entre el cliente y los servidores. Ya sea que use Outlook Desktop o en la web, el certificado SSL proporciona una forma de proteger la comunicación cliente-servidor de miradas indiscretas.

Pero los certificados SSL tienen fecha de caducidad. Si el certificado caduca sin que usted se dé cuenta, los usuarios verán un mensaje emergente al iniciar Outlook, similar al que se muestra a continuación.

Debe renovar el certificado de Exchange para corregir el error cuando esto suceda. El procedimiento variará y depende de si el certificado SSL es autofirmado o emitido por una autoridad de certificación. En este tutorial, aprenderemos cómo hacer ambas cosas.

Nota. A partir de Exchange Server 2019 CU12 y Exchange Server 2016 CU23, la renovación de un certificado de Exchange Server desde la GUI (Centro de administración de Exchange) ya no está disponible. Solo puede renovar certificados mediante PowerShell.

Renovar un certificado de intercambio autofirmado

Si su Exchange Server usa un certificado autofirmado, puede renovarlo rápidamente. El proceso de renovación básicamente significa que está creando un nuevo certificado basado en el anterior.

Uso del Centro de administración de Exchange

Recordatorio. Este procedimiento solo funciona con versiones anteriores a Exchange Server 2019 CU12 y Exchange Server 2016 CU23. Si su versión de Exchange Server es más reciente, solo puede renovar el certificado en PowerShell.

Siga estas instrucciones para renovar un certificado de Exchange Server autofirmado mediante el EAC.

  1. Inicie sesión en su Centro de administración de Exchange en https://your_exch_srv_fqdn/ecp/.
  2. Navegar a servidor > certificados.
  3. Seleccione el servidor de la lista desplegable, seleccione el certificado que desea renovar y haga clic en el Renovar enlace a la derecha:
    intercambio 2019 renovar certificado
  4. Sobre el Renovar certificado de intercambio ventana emergente, haga clic en DE ACUERDO.
    cambio renovar certificado
    El certificado se renovará y el antiguo se eliminará. Como puede ver a continuación, el certificado ahora es válido.
    intercambio 2019 renovar certificado

Uso de PowerShell

Para renovar el certificado de Exchange autofirmado a través de PowerShell, proceda de la siguiente manera.

  1. Abra Exchange Management Shell y ejecute este comando para enumerar los certificados de Exchange actuales:
    Get-ExchangeCertificate | Select-Object Thumbprint,Subject,Services,NotBefore,NotAfter
  2. Busque el certificado para renovar y copie su valor de huella digital.
    cambio renovar certificado
  3. Ahora, vamos a renovar el certificado. Este comando obtiene el objeto de certificado con la huella digital E6EC2420EE5CCD7B8F988573A39D9AAC1774D122 y crea un nuevo certificado basado en sus detalles.
    Get-ExchangeCertificate -Thumbprint E6EC2420EE5CCD7B8F988573A39D9AAC1774D122 | ` 
    
    New-ExchangeCertificate -Force -PrivateKeyExportable $true

    El nuevo certificado ha sido creado.
    intercambio 2019 renovación de certificado

  4. Copie la huella digital del nuevo certificado y ejecute el siguiente comando para asignar todos los servicios para usarlo:
    # Assign Services. 
    
    Enable-ExchangeCertificate ` 
    
    -Thumbprint C37E73C7E1C6878A6D21F59A1707847D7F2D97AF ` 
    
    -Services IIS, IMAP, POP, SMTP 
    
    # Confirm the new certificate details. 
    
    Get-ExchangeCertificate ` 
    
    -Thumbprint C37E73C7E1C6878A6D21F59A1707847D7F2D97AF | ` 
    
    Select-Object Thumbprint, Subject, Services, NotBefore, NotAfter

    El siguiente resultado muestra que se instaló el certificado renovado y se asignaron los servicios.
    renovar certificado de intercambio powershell

Tareas posteriores a la renovación

Dado que renovar un certificado de Exchange autofirmado es esencialmente crear uno nuevo, el servidor y otros clientes no confían en este nuevo certificado.

renovar certificado de intercambio 2019

Para deshacerse de este error de certificado y asegurarse de que los dispositivos confíen en este certificado, debe copiar el certificado del Personal tienda a la Autoridad de certificación raíz de confianza almacenar.

renovar certificado canje 2019

Por supuesto, no debe hacer esto manualmente en todos los dispositivos de Windows. Tal vez pueda implementar estos certificados a través de una política de grupo o scripts de inicio de sesión. Lo mismo ocurre con los dispositivos que no son de Windows, pero eso no se trata en este tutorial.

Renovar un certificado de intercambio emitido por CA

En organizaciones más grandes, o cuando Exchange Server se publica externamente, es común ver certificados emitidos por una autoridad de certificación en lugar de autofirmados. La renovación de este tipo de certificado tiene más matices ya que otra parte está involucrada en la emisión del certificado.

A continuación se muestran los pasos de alto nivel en este escenario de renovación de certificados de Exchange:

  1. El administrador genera la solicitud de firma de certificado (CSR).
  2. El envía la solicitud al emisor,
  3. El emisor acepta la solicitud y genera el nuevo certificado SSL de Exchange.
  4. El problema envía el certificado renovado al administrador.
  5. El administrador instala el nuevo certificado de Exchange.

Realizaremos esta tarea en las siguientes secciones a través del Centro de administración de Exchange y PowerShell.

Uso del Centro de administración de Exchange

Recordatorio. Este procedimiento solo funciona con versiones anteriores a Exchange Server 2019 CU12 y Exchange Server 2016 CU23. Si su versión de Exchange Server es más reciente, solo puede renovar el certificado en PowerShell.

  1. Inicie sesión en su Centro de administración de Exchange en https://your_exch_srv_fqdn/ecp/.
  2. Navegar a servidor > certificados.
  3. Seleccione el servidor de la lista desplegable, seleccione el certificado que desea renovar y haga clic en el Renovar enlace a la derecha.
    En la siguiente captura de pantalla, puede ver que el certificado caducará en dos días.
    actualizar certificado de intercambio
  4. Ingrese la ruta UNC para guardar el archivo de solicitud de certificado en la ventana emergente. Asegúrese de que esta ruta UNC exista y sea accesible. Hacer clic DE ACUERDO.
    intercambio 2019 renovar certificado powershell
  5. Ahora, ubique el archivo de solicitud de certificado que generó y envíelo al emisor de su certificado. El emisor podría ser una CA interna o una CA de terceros como DigiCert, GoDaddy, etc.
    intercambiar renovación de certificado ssl
  6. Suponiendo que la CA haya emitido el nuevo certificado, muy probablemente en *.cer formato, cópielo en la ruta UNC.
    renovar el certificado de intercambio 2019 powershell
  7. De vuelta en el EAC, haga clic en Completar.
    renovar el certificado del servidor de intercambio
  8. En la siguiente ventana, ingrese la ruta UNC del nuevo certificado y haga clic en Aceptar.
    intercambiar renovar certificado ssl
  9. El estado del certificado ahora ha cambiado a Válido, lo que significa que la renovación fue exitosa. Pero como puede ver a continuación, los servicios SMTP e IIS no se asignaron automáticamente al nuevo certificado. Para asignar el servicio, haga clic en el botón Editar.
    renovación de certificado de cambio
  10. Navegar a servicios, Compruebe el SMTP y IIS casillas y haga clic en Ahorrar.
    certificado de servidor de intercambio caducado
  11. Cuando reciba una advertencia sobre la sobrescritura de la asignación de certificado existente, haga clic en .
    intercambio de certificado de actualizaciónLos servicios de Exchange ahora están asignados al nuevo certificado.
    renovación del certificado del servidor de intercambio

Uso de PowerShell

Siga estos pasos para renovar un certificado emitido por una autoridad de certificación mediante PowerShell.

  1. Abra Exchange Management Shell y ejecute este comando para enumerar todos los certificados de Exchange:
    Get-ExchangeCertificate | Select-Object Thumbprint,Subject,Services,NotBefore,NotAfter
  2. Encuentre el certificado vencido o caducado que planea renovar. Copie su huella digital para el siguiente paso.
    intercambio 2019 renovar certificado ssl
  3. Ahora que ha determinado la huella digital del certificado para renovar, ejecute los siguientes comandos:
    ## Create a Base64 encoded certificate request 
    
    $certRequest = Get-ExchangeCertificate ` 
    
    -Thumbprint 76B73B456B9ECF746D282F271ED6AA8DABCFD37C | ` 
    
    New-ExchangeCertificate -GenerateRequest 
    
    ## Save the CSR to a file 
    
    [System.IO.File]::WriteAllBytes('\exc1.o365things.mlc$certreqcertificate_renewal.req', ` 
    
    [System.Text.Encoding]::Unicode.GetBytes($certRequest))

    El primer comando recupera el certificado existente con la huella digital 76B73B456B9ECF746D282F271ED6AA8DABCFD37C y usa sus detalles para crear una solicitud. El segundo comando exporta la solicitud a un archivo en la ruta UNC \exc1.o365things.mlc$certreqcertificate_renewal.req.
    intercambio certificado renovación powershell

  4. Envíe la solicitud de certificado resultante a su CA.
    powershell renovar certificado de intercambio
  5. Una vez que reciba el nuevo certificado del emisor, cópielo en la ruta UNC de su elección. En este ejemplo, pongámoslo en la misma ruta UNC que el archivo de solicitud de certificado.
    renovar certificado de cambio
  6. De vuelta en PowerShell, ejecute este comando para completar la renovación del certificado. Este ejemplo importa el \exc1.o365things.mlc$certreqcertnew.cer certificado que no requiere contraseña. Además, la clave privada del certificado será exportable según lo definido por el -PrivateKeyExportable $verdadero parámetro.
    Import-ExchangeCertificate -FileData ` 
    
    ([System.IO.File]::ReadAllBytes('\exc1.o365things.mlc$certreqcertnew.cer')) ` 
    
    -PrivateKeyExportable $true

    El certificado de Exchange se ha importado. Copie la huella digital del nuevo certificado.
    renovar certificado ssl de intercambio

  7. Ejecute el siguiente comando para asignar los servicios IIS, SMTP, POP e IMAP al certificado. Asegúrese de reemplazar el valor de la huella digital antes de ejecutar el comando.
    Enable-ExchangeCertificate ` 
    
    -Thumbprint 1870728CA24594EC2378675EF4819AAD0F7FC7D1 ` 
    
    -Services IIS, IMAP, POP, SMTP ` 
    
    -Force
  8. Finalmente, confirme que el nuevo certificado es válido y tiene asignados todos los servicios de Exchange.
    Get-ExchangeCertificate ` 
    
    -Thumbprint 1870728CA24594EC2378675EF4819AAD0F7FC7D1 | ` 
    
    Select-Object Thumbprint, Subject, Services, NotBefore, NotAfter

    ¡Eso es todo! Ha renovado el certificado del servidor de Exchange.
    intercambio renovar certificado powershell

  9. En OWA o ECP, Exchange utilizará el nuevo certificado para cifrar la conexión.
    intercambiar powershell renovar certificado

Conclusión

La renovación de un certificado de servidor de Exchange vencido o por vencer puede ser desalentador, especialmente para los novatos. Esta tarea de mantenimiento es crítica para mantener los dispositivos de los usuarios conectados sin errores y seguros.

Ya sea que su servidor de Exchange use un certificado autofirmado o sea emitido por una autoridad certificadora, el proceso de renovación es similar. La planificación adecuada y la ejecución cuidadosa contribuirán en gran medida a garantizar que la renovación del certificado se realice sin problemas.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *