manuais-e-documentacao-itguys/documentacao exchange/[Nível 3] Renovacao de Certificado SSL e Integracao com IIS.md

[Nível 3] Renovação de Certificado SSL e Integração com IIS

Público Alvo: Infraestrutura Criticidade: Alta (Se expirar, ninguém acessa o Webmail/Outlook).

Cenário

Usamos o Certify The Web (cliente a) para renovar o certificado mail.itguys.com.br automaticamente a cada 60-90 dias.

1. Verificando o Erro

Se o navegador diz "Sua conexão não é particular":

1. Abra o aplicativo Certify The Web no servidor.
2. Veja o status do domínio. Se estiver vermelho, clique em Request Certificate para tentar forçar.
3. Se der erro de "Challenge", verifique se a porta 80 está liberada no Firewall para o mundo (o Let's Encrypt precisa validar).

2. Aplicando o Certificado no IIS (Manual)

Se o Certify renovou, mas o Exchange continua servindo o certificado velho:

1. Abra o IIS Manager.
2. Clique em Default Web Site.
3. No painel direito, clique em Bindings... (Associações).
4. Selecione a linha https (porta 443) e clique em Edit.
5. No campo SSL Certificate, selecione o certificado mais novo (verifique a data clicando em View).
6. Repita para o site Exchange Back End (porta 444).
7. Abra o CMD e reinicie o IIS:

   iisreset
   

3. Aplicando nos Serviços de SMTP/IMAP (PowerShell)

Além do IIS, o backend do Exchange precisa saber do certificado novo.

1. Pegue o Thumbprint do novo certificado:

   Get-ExchangeCertificate | Select Thumbprint, Subject, NotAfter
   

2. Ative os serviços:

   Enable-ExchangeCertificate -Thumbprint "COLE_O_THUMBPRINT_AQUI" -Services "IIS,SMTP,IMAP,POP"
   

   Responda "Não" se ele perguntar sobre substituir o certificado padrão, a menos que saiba o que está fazendo.