Zertifikatanforderungen für HybridbereitstellungenCertificate requirements for hybrid deployments

In einer Hybridbereitstellung sind digitale Zertifikate ein wichtiger Bestandteil zur Gewährleistung einer sicheren Kommunikation zwischen der lokalen Exchange-Organisation und Office 365. Zertifikate machen es möglich, dass eine Exchange-Organisation der Identität einer anderen Organisation vertrauen kann. Zertifikate können auch sicherstellen, dass jede Exchange-Organisation mit der richtigen Quelle kommuniziert.In a hybrid deployment, digital certificates are an important part of securing the communication between the on-premises Exchange organization and Office 365. Certificates enable each Exchange organization to trust the identity of another. Certificates also help to ensure that each Exchange organization is communicating to the right source.

In einer Hybridbereitstellung werden Zertifikate von vielen Diensten verwendet:In a hybrid deployment, many services make use of certificates:

  • Azure Active Directory Connect (Azure AD Connect) mit Active Directory Verbunddiensten (AD FS): Wenn Sie sich für die Bereitstellung von Azure AD Connect with AD FS im Rahmen ihrer hybridbereitstellung entscheiden, wird ein Zertifikat von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle ausgestellt. (Ca) dient zum Einrichten einer Vertrauensstellung zwischen Webclients und Verbundserverproxys, zum Signieren von Sicherheitstoken und zum Entschlüsseln von Sicherheitstoken.Azure Active Directory Connect (Azure AD Connect) with Active Directory Federation Services (AD FS): If you choose to deploy Azure AD Connect with AD FS as part of your hybrid deployment, a certificate issued by a trusted third-party certificate authority (CA) is used to establish a trust between web clients and federation server proxies, to sign security tokens, and to decrypt security tokens.

    Weitere Informationen finden Sie unter Zertifikate.Learn more at Certificates.

  • Exchange-Partnerverbund: ein selbstsigniertes Zertifikat wird verwendet, um eine sichere Verbindung zwischen den lokalen Exchange-Servern und dem Azure Active Directory-Authentifizierungssystem herzustellen.Exchange federation: A self-signed certificate is used to create a secure connection between the on-premises Exchange servers and the Azure Active Directory authentication system.

    Weitere Informationen finden Sie unter Understanding Federated Delegation.Learn more at Understanding Federated Delegation.

  • Exchange-Dienste: von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle ausgestellte Zertifikate werden verwendet, um die sichere SSL-Kommunikation (Secure Sockets Layer) zwischen Exchange-Servern und-Clients zu unterstützen.Exchange services: Certificates issued by a trusted third-party CA are used to help secure Secure Sockets Layer (SSL) communication between Exchange servers and clients. Zu den Diensten, die Zertifikate verwenden, gehören Outlook im Web, Exchange ActiveSync, Outlook Anywhere und die sichere Nachrichtenübermittlung.Services that use certificates include Outlook on the web, Exchange ActiveSync, Outlook Anywhere, and secure message transport.

  • Vorhandene Exchange-Server: Ihre vorhandenen Exchange-Server verwenden möglicherweise Zertifikate, um die Kommunikation mit Outlook im Internet, den Nachrichtentransport usw. sicherzustellen.Existing Exchange servers: Your existing Exchange servers may make use of certificates to help secure Outlook on the web communication, message transport, and so on. Je nachdem, wie Sie Zertifikate auf Ihren Exchange-Servern verwenden, können Sie selbstsignierte Zertifikate oder Zertifikate verwenden, die von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle ausgestellt wurden.Depending on how you use certificates on your Exchange servers, you might use self-signed certificates or certificates issued by a trusted third-party CA.

Zertifikatanforderungen für eine HybridbereitstellungCertificate requirements for a hybrid deployment

Bei der Konfiguration einer Hybridbereitstellung müssen Sie Zertifikate verwenden und konfigurieren, die Sie von einer vertrauenswürdigen externen Zertifizierungsstelle erworben haben. Das für die sichere Hybrid-Nachrichtenübermittlung verwendete Zertifikat muss auf allen lokalen Postfach- (Exchange 2016 und neuer) und Postfach- und Clientzugriffsservern (Exchange 2013 und früher) installiert werden.When configuring a hybrid deployment, you must use and configure certificates that you have purchased from a trusted third-party CA. The certificate used for hybrid secure mail transport must be installed on all on-premises Mailbox (Exchange 2016 and newer), and Mailbox and Client Access (Exchange 2013 and older) servers.

Wichtig

Wenn Sie eine Hybridbereitstellung in einer Organisation konfigurieren, die Exchange-Server in mehreren Active Directory-Gesamtstrukturen bereitgestellt hat, müssen Sie ein separates Zertifizierungsstellenzertifikat eines Drittanbieters für jede Active Directory-Gesamtstruktur verwenden.If you're configuring a hybrid deployment in an organization that has Exchange servers deployed in multiple Active Directory forests, you must use a separate third-party CA certificate for each Active Directory forest.

Wenn Exchange-Edge-Transport-Server in einer lokalen Organisationen bereitgestellt sind, muss dieses Zertifikat auch auf allen Edge-Transport-Servern installiert werden. Jeder Transportserver muss für eine ordnungsgemäße Funktion ein Zertifikat verwenden, das dieselbe ausgebende Zertifizierungsstelle und denselben Antragsteller für sichere Hybrid-E-Mails nutzt.When Exchange Edge Transport servers are deployed in an on-premises organization, this certificate must also be installed on all Edge Transport servers. Each transport server must use a certificate that shares the same issuing CA and the same subject for hybrid secure mail to function correctly.

Mehrere Dienste wie AD FS, Exchange-Partnerverbund, -Dienste und Exchange selbst erfordern Zertifikate. In Abhängigkeit von Ihrer Organisation sollten Sie sich für eine der folgenden Lösungen entscheiden:Multiple services, such as AD FS, Exchange federation, services, and Exchange, each require certificates. Depending on your organization, you may decide to do one of the following:

  • Verwenden eines Drittanbieterzertifikats, das serverübergreifend von allen Diensten genutzt wird.Use a third-party certificate that's used by all services across multiple servers.

  • Verwenden eines Drittanbieterzertifikats für jeden Server, der Dienste bereitstellt.Use a third-party certificate for each server that provides services.

Die Entscheidung, ob das gleiche Zertifikat für alle Dienste verwendet oder jedem Dienst ein eigenes Zertifikat zugewiesen werden soll, hängt von Ihrer Organisation und dem zu implementierenden Dienst ab. Nachstehend einige Punkte, die bei den einzelnen Möglichkeiten zu berücksichtigen sind:Whether you choose to use the same certificate for all services or dedicate a certificate for each service depends on your organization and the service you're implementing. Here are some things to consider about each option:

  • Drittanbieterzertifikat auf mehreren Servern: Zertifikate von Drittanbietern, die von Diensten auf mehreren Servern verwendet werden, sind möglicherweise etwas günstiger zu erhalten, aber Sie können die Erneuerung und den Austausch erschweren.Third-party certificate across multiple servers: Third-party certificates that are used by services across multiple servers may be slightly cheaper to obtain, but they may complicate renewal and replacement. Das liegt daran, weil Sie das Zertifikat zum Zeitpunkt der Erneuerung auf jedem Server, auf dem es installiert ist, ersetzen müssen.The complication occurs because, when a certificate needs replacement, you need to replace the certificate on every server where it's installed.

  • Zertifikat eines Drittanbieters für jeden Server: mithilfe eines dedizierten Zertifikats für jeden Server, auf dem Dienste gehostet werden, können Sie das Zertifikat speziell für die Dienste auf diesem Server konfigurieren.Third-party certificate for each server: Using a dedicated certificate for each server that hosts services allows you to configure the certificate specifically for the services on that server. Wenn das Zertifikat erneuert oder ersetzt werden muss, braucht es nur auf dem Server, auf dem die Dienste installiert sind, ersetzt zu werden.If you need to replace the certificate or renew it, you only need to replace it on the server where the services are installed. Andere Server sind nicht betroffen.Other servers aren't impacted.

Es wird empfohlen, für jeden optionalen AD FS-Server ein dediziertes Drittanbieterzertifikat, ein weiteres Zertifikat für die Exchange-Dienste für Ihre Hybridbereitstellung und bei Bedarf ein weiteres Zertifikat für Ihre Exchange-Server für andere benötigte Dienste und Features zu verwenden. Für die lokale Verbundvertrauensstellung, die im Rahmen der Verbundfreigabe in einer Hybridbereitstellung konfiguriert ist, wird standardmäßig ein selbstsigniertes Zertifikat verwendet. Sofern keine besonderen Anforderungen gelten, ist für die im Rahmen der Hybridbereitstellung konfigurierte Verbundvertrauensstellung kein Zertifikat eines Drittanbieters erforderlich.We recommend that you use a dedicated third-party certificate for any optional AD FS server, another certificate for the Exchange services for your hybrid deployment, and if needed, another certificate on your Exchange servers for other needed services or features. The on-premises federation trust configured as part of federated sharing in a hybrid deployment uses a self-signed certificate by default. Unless you have specific requirements, there's no need to use a third-party certificate with the federation trust configured as part of a hybrid deployment.

Voraussetzung für die auf einem einzelnen Server installierten Dienste ist die Konfiguration mehrerer vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) für den Server. Erwerben Sie ein Zertifikat, das die maximal erforderliche Anzahl von FQDNs zulässt. Zertifikate bestehen aus dem Antragstellernamen (auch Prinzipalname genannt) und einem oder mehreren alternativen Antragstellernamen (Subject Alternative Names, SANs). Der Antragstellername ist der FQDN, auf den das Zertifikat ausgestellt wurde, und er verwendet die primäre SMTP-Domäne, die von der lokalen und der Exchange Online-Organisationen gemeinsam genutzt wird. Alternative Antragstellernamen sind die FQDNs, die dem Zertifikat neben dem Antragstellernamen hinzugefügt werden können. Wenn Sie ein Zertifikat für die Unterstützung von fünf FQDNs benötigen, sollten Sie ein Zertifikat erwerben, dem fünf Domänen hinzugefügt werden können: ein Antragstellername und vier alternative Antragstellernamen.The services that are installed on a single server may require that you configure multiple fully qualified domain names (FQDNs) for the server. You should purchase a certificate that allows for the maximum required number of FQDNs. Certificates consist of the subject (also called a principal name) and one or more subject alternative names (SAN). The subject name is the FQDN that the certificate is issued to and should use the primary SMTP domain that is shared between the on-premises and Exchange Online organizations. SANs are additional FQDNs that can be added to a certificate in addition to the subject name. If you need a certificate to support five FQDNs, purchase a certificate that allows for five domains to be added to the certificate: one subject name and four SANs.

In der folgenden Tabelle wird die minimale vorgeschlagene Anzahl an FQDNs beschrieben, die in Zertifikaten enthalten sein soll, die für die Verwendung in einer Hybridbereitstellung konfiguriert werden.The following table outlines the minimum suggested FQDNs that should be included on certificates configured for use in a hybrid deployment.

DienstService Vorgeschlagener FQDNSuggested FQDN FeldField
Primäre gemeinsam genutzte SMTP-DomänePrimary shared SMTP domain contoso.comcontoso.com AntragstellernameSubject name
AutoErmittlungAutodiscover Bezeichnung, die dem externen FQDN für die AutoErmittlung Ihres vorhandenen Exchange 2013-Clientzugriffsservers entspricht, z. B. "autodiscover.contoso.com"Label that matches the external Autodiscover FQDN of your Exchange 2013 Client Access server, such as autodiscover.contoso.com Alternativer AntragstellernameSubject alternative name
TransportTransport Bezeichnung, die dem externen FQDN Ihrer Edge-Transport-Server entspricht, z. B. "edge.contoso.com"Label that matches the external FQDN of your Edge Transport servers, such as edge.contoso.com Alternativer AntragstellernameSubject alternative name