# [Nível 3] Renovação de Certificado SSL e Integração com IIS

**Público Alvo:** Infraestrutura
**Criticidade:** Alta (Se expirar, ninguém acessa o Webmail/Outlook).

## Cenário

Usamos o **Certify The Web** (cliente a) para renovar o certificado `mail.itguys.com.br` automaticamente a cada 60-90 dias.

## 1. Verificando o Erro

Se o navegador diz "Sua conexão não é particular":

1. Abra o aplicativo **Certify The Web** no servidor.
2. Veja o status do domínio. Se estiver vermelho, clique em **Request Certificate** para tentar forçar.
3. Se der erro de "Challenge", verifique se a porta 80 está liberada no Firewall para o mundo (o Let's Encrypt precisa validar).

## 2. Aplicando o Certificado no IIS (Manual)

Se o Certify renovou, mas o Exchange continua servindo o certificado velho:

1. Abra o **IIS Manager**.
2. Clique em **Default Web Site**.
3. No painel direito, clique em **Bindings...** (Associações).
4. Selecione a linha `https` (porta 443) e clique em **Edit**.
5. No campo **SSL Certificate**, selecione o certificado mais novo (verifique a data clicando em View).
6. Repita para o site **Exchange Back End** (porta 444).
7. Abra o CMD e reinicie o IIS:
   ```cmd
   iisreset
   ```

## 3. Aplicando nos Serviços de SMTP/IMAP (PowerShell)

Além do IIS, o backend do Exchange precisa saber do certificado novo.

1. Pegue o Thumbprint do novo certificado:
   ```powershell
   Get-ExchangeCertificate | Select Thumbprint, Subject, NotAfter
   ```
2. Ative os serviços:
   ```powershell
   Enable-ExchangeCertificate -Thumbprint "COLE_O_THUMBPRINT_AQUI" -Services "IIS,SMTP,IMAP,POP"
   ```
   _Responda "Não" se ele perguntar sobre substituir o certificado padrão, a menos que saiba o que está fazendo._