New-ExchangeCertificate (RTM)
Se aplica a: Exchange Server 2007
Última modificación del tema: 2007-09-13
Use el cmdlet New-ExchangeCertificate para crear un nuevo certificado autofirmado o una nueva solicitud de certificado para los servicios Seguridad de nivel de transporte (TLS) y Nivel de sockets seguros (SSL).
Importante
Hay muchas variables que debe tener el cuenta al configurar certificados para los servicios SSL y TLS. Debe comprender cómo pueden afectar estas variables a la configuración global. Antes de continuar, consulte Uso de certificados en Exchange 2007 Server.
Sintaxis
New-ExchangeCertificate [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-FriendlyName <String>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-PrivateKeyExportable <$true | $false>] [-Services <None | IMAP | POP | UM | IIS | SMTP>] [-SubjectName <X500DistinguishedName>]
New-ExchangeCertificate [-BinaryEncoded <SwitchParameter>] [-DomainController <String>] [-DomainName <MultiValuedProperty>] [-Force <SwitchParameter>] [-FriendlyName <String>] [-GenerateRequest <SwitchParameter>] [-IncludeAcceptedDomains <SwitchParameter>] [-IncludeAutoDiscover <SwitchParameter>] [-Instance <X509Certificate2>] [-KeySize <Int32>] [-Path <String>] [-PrivateKeyExportable <$true | $false>] [-SubjectName <X500DistinguishedName>]
Descripción detallada
El cmdlet New-ExchangeCertificate usa muchos parámetros de tipo SwitchParameter. Para obtener más información acerca de cómo usar este tipo, consulte "Parámetros modificadores" en Parámetros.
Para ejecutar el cmdlet New-ExchangeCertificate, la cuenta que use debe tener delegado lo siguiente:
- Función Administrador de Exchange Server y grupo Administradores local para el servidor de destino
Para ejecutar el cmdlet New-ExchangeCertificate en un equipo que tenga instalada la función del servidor Transporte perimetral, debe iniciar sesión mediante una cuenta que sea miembro del grupo Administradores local en dicho equipo.
Para obtener más información acerca de los permisos, la delegación de funciones y los derechos necesarios para administrar Microsoft Exchange Server 2007, consulte Consideraciones sobre permisos.
Parámetros
| Parámetro | Necesario | Tipo | Descripción |
|---|---|---|---|
BinaryEncoded |
Opcional |
System.Management.Automation.SwitchParameter |
Use este conmutador de parámetro para especificar cómo se codificará el archivo exportado. De forma predeterminada, este cmdlet creará un archivo codificado en base 64. Para crear un archivo codificado DER, establezca este parámetro en |
DomainController |
Opcional |
System.String |
Para especificar el nombre de dominio completo (FQDN) del controlador de dominio que recupera los datos del servicio de directorio de Active Directory, incluya el parámetro DomainController en el comando. El parámetro DomainController no se admite en equipos que ejecutan la función del servidor Transporte perimetral. La función del servidor Transporte perimetral sólo escribe en la instancia local de Active Directory Application Mode (ADAM). |
DomainName |
Opcional |
Microsoft.Exchange.Data.MultiValuedProperty |
Use este parámetro para rellenar uno o más nombres de dominio (FQDN) o nombres de servidor en la solicitud de certificado resultante. Los nombres de dominio están restringidos a los caracteres "a-z", "0-9" y el guión ("-"). Cada nombre de dominio no puede superar los 255 caracteres. Para escribir varios nombres de dominio o de servidor, debe escribir los nombres separados por comas. |
Force |
Opcional |
System.Management.Automation.SwitchParameter |
Use este conmutador de parámetro para sobrescribir un archivo de solicitud de certificado existente que coincida con la misma ruta de acceso de archivo especificada en este cmdlet. De forma predeterminada, este cmdlet no sobrescribirá archivos existentes. |
FriendlyName |
Opcional |
System.String |
Use este parámetro para especificar un nombre descriptivo para el certificado resultante. El nombre descriptivo debe tener menos de 64 caracteres. El nombre descriptivo predeterminado es "Microsoft Exchange". |
GenerateRequest |
Opcional |
System.Management.Automation.SwitchParameter |
Use este parámetro para especificar el tipo de objeto de certificado a crear. De forma predeterminada, este parámetro creará un certificado autofirmado en el almacén de certificados del equipo local. Para crear una solicitud de certificado para un certificado PKI (PKCS #10) en el almacén de solicitudes local, establezca este parámetro en |
IncludeAcceptedDomains |
Opcional |
System.Management.Automation.SwitchParameter |
Use este parámetro para incluir todos los dominios aceptados definidos en el campo de nombres de dominio. También puede especificar un parámetro DomainName en la solicitud. El certificado o solicitud resultante contendrá la unión de los dos valores. |
IncludeAutoDiscover |
Opcional |
System.Management.Automation.SwitchParameter |
Use este parámetro para agregar el prefijo "autodiscover" a cada nombre de dominio generado para el certificado resultante. Solamente puede especificar este parámetro cuando ejecute este cmdlet en un servidor de Exchange que tenga instalada la función del servidor Acceso de cliente. Nota: Este parámetro no agregará el prefijo "autodiscover" si el nombre de dominio ya contiene el prefijo. |
Instance |
Opcional |
System.Security.Cryptography.X509Certificates.X509Certificate2 |
Use este parámetro para pasar un objeto completo al comando para que sea procesado. El parámetro Instance se usa, principalmente, en scripts en los que todo el objeto debe pasar al comando. |
KeySize |
Opcional |
System.Int32 |
Use este parámetro para especificar el tamaño (en bits) de la clave pública RSA asociada con el certificado que está creando. Los valores aceptables son |
Path |
Opcional |
System.String |
Use este parámetro para especificar una ruta de acceso al archivo de solicitud PKCS #10 resultante. Este parámetro solamente es válido si GenerateRequest está establecido como El cmdlet New-ExchangeCertificate generará una solicitud de certificado en el almacén de certificados local aunque se especifique el parámetro Path. La solicitud de certificado que se genera en el almacén local de certificados contiene las claves para el certificado resultante. Cuando use este parámetro debe especificar el nombre del archivo de solicitud. El nombre debe terminar con la extensión .req, por ejemplo: La entidad de certificación (CA) usa el archivo .req para generar un certificado. |
PrivateKeyExportable |
Opcional |
System.Boolean |
Use este parámetro para especificar si el certificado resultante tendrá una clave privada exportable. De forma predeterminada, todas las solicitudes de certificado y los certificados creados por este cmdlet no permitirán que se exporte la clave privada. Debe entender que, si no puede exportar la clave privada, el propio certificado no podrá exportarse ni importarse. Establezca este parámetro en |
Services |
Opcional |
Microsoft.Exchange.Management.SystemConfigurationTasks.AllowedServices |
Use este parámetro para especificar los servicios que usará el certificado resultante. No puede especificar servicios si ha establecido el valor GenerateRequest como Las entradas válidas incluyen una combinación de lo siguiente:
Para crear un certificado autofirmado para varios servicios, encierre los valores entre comillas y sepárelos con comas, por ejemplo: Para crear un certificado que esté deshabilitado, de modo que pueda exportarlo a otro equipo, establezca este parámetro en El valor predeterminado es |
SubjectName |
Opcional |
System.Security.Cryptography.X509Certificates.X500DistinguishedName |
Use este parámetro para especificar el nombre de sujeto para el certificado resultante. El Nombre de sujeto de un certificado es el campo que usan los servicios para DNS. El campo Nombre del sujeto vincula un certificado con un determinado servidor o nombre de dominio. Un nombre de sujeto es un nombre distintivo X.500 que consta de uno o más nombres distintivos (también conocido como RDN). De manera predeterminada, el FQDN del servidor donde se ejecuta el cmdlet se usará como CN en el certificado resultante. |
Tipos de entrada
Tipos de valores devueltos
Errores
| Error | Descripción |
|---|---|
|
Excepciones
| Excepciones | Descripción |
|---|---|
|
Ejemplo
El primer ejemplo muestra la ejecución del cmdlet sin argumentos. Cuando se ejecuta el cmdlet New-ExchangeCertificate sin argumentos, se genera un certificado autofirmado para SMTP SSL/TLS. El certificado tiene el FQDN del equipo local como nombre de sujeto. Este certificado de transporte interno se puede emplear tal cual para autenticación de confianza directa y cifrado entre los servidores de transporte perimetral y de transporte de concentradores. El grupo de seguridad local Servicios de red obtiene también acceso de lectura a la clave privada asociada con el certificado. Además, el certificado se publica en Active Directory de modo que pueda usarse la confianza directa de Exchange Server para validar la autenticidad del servidor para TLS mutua.
El segundo ejemplo muestra la ejecución del cmdlet de modo que se genere una solicitud de certificado y se copie en una ruta de acceso del equipo local. El certificado resultante tendrá los siguientes atributos asociados:
Nombre de sujeto: c=<ES>,o=<Diversión de Bicicleta>,cn=mail1. DiversiondeBicicleta.com
Nombres alternativos del sujeto: woodgrove.com y example.com
Una clave privada exportable
Para obtener más ejemplos, consulte Creación de un certificado o de una solicitud de certificado para TLS y las siguientes entradas del blog del equipo de Exchange Server:
Lecciones aprendidas: Generación de un certificado con un CA de terceros
Más información acerca de Exchange 2007 y los certificados con un caso real
Nota
UNRESOLVED_TOKEN_VAL(exBlog)
Para obtener más información, consulte Notas del producto sobre seguridad de dominio (en inglés).
New-ExchangeCertificate
New-ExchangeCertificate -GenerateRequest -Path c:\certificates\request.req -SubjectName "c=ES, o=Diversión de Bicicleta, cn=mail1. DiversiondeBicicleta.com" -DomainName woodgrove.com, example.com -PrivateKeyExportable $true