PartnerverbundFederation

Gilt für: Exchange Server 2013Applies to: Exchange Server 2013

Information-Worker müssen häufig mit externen Empfängern, Lieferanten, Partnern und Kunden zusammenarbeiten und ihre Frei/Gebucht-Informationen (die sogenannte "Kalenderverfügbarkeit") freigeben.Information workers frequently need to collaborate with external recipients, vendors, partners, and customers and share their free/busy (also known as calendar availability) information. Die Verbundfunktion von Microsoft Exchange Server 2013 unterstützt die Zusammenarbeit in diesem Bereich.Federation in Microsoft Exchange Server 2013 helps with these collaboration efforts. Verbundfunktion bezieht sich auf die zugrunde liegende Vertrauensstellungsinfrastruktur, die die Verbundfreigabe unterstützt, eine einfache Methode für Benutzer, die Kalenderinformationen für Empfänger in anderen externen Verbundorganisationen freigeben möchten.Federation refers to the underlying trust infrastructure that supports federated sharing, an easy method for users to share calendar information with recipients in other external federated organizations. Weitere Informationen zu Verbundfreigaben finden Sie unter Freigabe.To learn more about federated sharing, see Sharing.

Wichtig

Diese Funktion von Exchange Server 2013 ist nicht vollständig kompatibel mit dem von 21Vianet in China betriebenen Office 365. Möglicherweise sind einige Funktionseinschränkungen vorhanden. Weitere Informationen finden Sie unter Verwenden von Office 365 mit 21Vianet.This feature of Exchange Server 2013 isn't fully compatible with Office 365 operated by 21Vianet in China and some feature limitations may apply. For more information, see Learn about Office 365 operated by 21Vianet.

Wichtige TerminologieKey terminology

In der folgenden Liste sind die Hauptkomponenten für den Verbund in Exchange 2013 definiert.The following list defines the core components associated with federation in Exchange 2013.

  • Anwendungs-ID (Application Identifier, Anwendungsbezeichner): eine eindeutige Nummer, die vom Azure Active Directory-Authentifizierungssystem zum Identifizieren von Exchange-Organisationen generiert wurde.application identifier (AppID): A unique number generated by the Azure Active Directory authentication system to identify Exchange organizations. Die AppID wird automatisch generiert, wenn Sie eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem erstellen.The AppID is automatically generated when you create a federation trust with the Azure Active Directory authentication system.

  • delegierungstoken: ein SAML-Token (Security Assertion Markup Language), das vom Azure Active Directory-Authentifizierungssystem ausgegeben wird und es Benutzern aus einer Verbundorganisation ermöglicht, von einer anderen Verbundorganisation als vertrauenswürdig eingestuft zu werden.delegation token: A Security Assertion Markup Language (SAML) token issued by the Azure Active Directory authentication system that allows users from one federated organization to be trusted by another federated organization. Ein Delegierungstoken enthält die E-Mail-Adresse des Benutzers, eine nicht änderbare ID sowie Informationen, die zu dem Angebot gehören, für das das Token zur Aktion ausgegeben wurde.A delegation token contains the user's email address, an immutable identifier, and information associated with the offer for which the token is issued for action.

  • externe Verbundorganisation: eine externe Exchange-Organisation, die eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet hat.external federated organization: An external Exchange organization that's established a federation trust with the Azure Active Directory authentication system.

  • Verbundfreigabe: eine Gruppe von Exchange-Features, die eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem für die Zusammenarbeit in Exchange-Organisationen, einschließlich standortübergreifender Exchange-Bereitstellungen, nutzt.federated sharing: A group of Exchange features that leverage a federation trust with the Azure Active Directory authentication system to work across Exchange organizations, including cross-premises Exchange deployments. Diese Funktionen werden zusammen verwendet, um im Namen von Benutzern über mehrere Exchange-Organisationen hinweg authentifizierte Anforderungen zwischen Servern zu stellen.Together, these features are used to make authenticated requests between servers on behalf of users across multiple Exchange organizations.

  • Verbunddomäne: eine akzeptierte autorisierende Domäne, die der Organisations-ID (OrgId) für eine Exchange-Organisation hinzugefügt wird.federated domain: An accepted authoritative domain that's added to the organization identifier (OrgID) for an Exchange organization.

  • Domänen sichere Verschlüsselungszeichenfolge: eine kryptografisch sichere Zeichenfolge, die von einer Exchange-Organisation zum Nachweis bereitgestellt wird, dass die Organisation die Domäne besitzt, die mit dem Azure Active Directory-Authentifizierungssystem verwendet wird.domain proof encryption string: A cryptographically secure string used by an Exchange organization to provide proof that the organization owns the domain used with the Azure Active Directory authentication system. The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.The string is generated automatically when using the Enable federation trust wizard or can be generated by using the Get-FederatedDomainProof cmdlet.

  • Verbundfreigabe Richtlinie: eine Richtlinie auf Organisationsebene, mit der die vom Benutzer festgelegte Person-zu-Person-Freigabe von Kalenderinformationen ermöglicht und gesteuert wird.federated sharing policy: An organization-level policy that enables and controls user-established, person-to-person sharing of calendar information.

  • Partner Verbund: eine vertrauensbasierte Vereinbarung zwischen zwei Exchange-Organisationen, um einen gemeinsamen Zweck zu erreichen.federation: A trust-based agreement between two Exchange organizations to achieve a common purpose. Mit dem Partnerverbund möchten beide Organisationen, dass die Authentifizierungserklärungen einer Organisation von der jeweils anderen anerkannt werden.With federation, both organizations want authentication assertions from one organization to be recognized by the other.

  • Verbundvertrauensstellung: eine Beziehung mit dem Azure Active Directory-Authentifizierungssystem, das die folgenden Komponenten für Ihre Exchange-Organisation definiert:federation trust: A relationship with the Azure Active Directory authentication system that defines the following components for your Exchange organization:

    • KontonamespaceAccount namespace

    • Anwendungs-ID (AppID)Application identifier (AppID)

    • Organisations-ID (OrgID)Organization identifier (OrgID)

    • VerbunddomänenFederated domains

    Zum Konfigurieren einer Verbundfreigabe mit anderen Exchange-Verbundorganisationen muss eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet sein.To configure federated sharing with other federated Exchange organizations, a federation trust must be established with the Azure Active Directory authentication system.

  • nicht-Verbundorganisation: Organisationen, die keine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem eingerichtet haben.non-federated organization: Organizations that don't have a federation trust established with the Azure Active Directory authentication system.

  • Organisations-ID (OrgId): definiert, welche der autorisierenden akzeptierten Domänen, die in einer Organisation konfiguriert sind, für den Verbund aktiviert sind.organization identifier (OrgID): Defines which of the authoritative accepted domains configured in an organization are enabled for federation. Nur Empfänger, die über E-Mail-Adressen mit Verbunddomänen verfügen, die in der OrgID konfiguriert sind, werden vom Azure Active Directory-Authentifizierungssystem erkannt und können die Verbundfreigabefunktionen nutzen.Only recipients that have e-mail addresses with federated domains configured in the OrgID are recognized by the Azure Active Directory authentication system and are able to use federated sharing features. Diese Organisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der ersten akzeptierten Domäne, die im Assistenten zum Aktivieren von Verbundvertrauensstellungen für den Verbund ausgewählt wurde.The OrgID is a combination of a pre-defined string and the first accepted domain selected for federation in the Enable federation trust wizard. Wenn Sie beispielsweise die Verbunddomäne contoso.com als primäre SMTP-Domäne Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung erstellt.For example, if you specify the federated domain contoso.com as your organization's primary SMTP domain, the account namespace FYDIBOHF25SPDLT.contoso.com will be automatically created as the OrgID for the federation trust.

  • Organisationsbeziehung: eine 1:1-Beziehung zwischen zwei Exchange-Verbundorganisationen, die Empfängern das Freigeben von Frei/Gebucht-Informationen (Kalender Verfügbarkeit) ermöglicht.organization relationship: A one-to-one relationship between two federated Exchange organizations that allows recipients to share free/busy (calendar availability) information. Eine Organisationsbeziehung erfordert eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem und macht die Nutzung von Active Directory-Gesamtstruktur- oder Domänenvertrauensstellungen zwischen Exchange-Organisationen überflüssig.An organization relationship requires a federation trust with the Azure Active Directory authentication system and replaces the need to use Active Directory forest or domain trusts between Exchange organizations.

  • Azure Active Directory-Authentifizierungssystem: ein kostenloser Cloud-basierter Identitätsdienst, der als Vertrauens Broker zwischen Verbund Microsoft Exchange Organisationen fungiert.Azure Active Directory authentication system: A free, cloud-based identity service that acts as the trust broker between federated Microsoft Exchange organizations. Der Dienst ist für die Ausgabe von Delegierungstoken an Exchange-Empfänger verantwortlich, wenn diese Informationen von Empfängern anfordern, die zu anderen Exchange-Verbundorganisationen gehören.It's responsible for issuing delegation tokens to Exchange recipients when they request information from recipients in other federated Exchange organizations. Weitere Informationen finden Sie unter Azure Active Directory.To learn more, see Azure Active Directory.

Azure AD-AuthentifizierungssystemAzure AD authentication system

Das Azure Active Directory-Authentifizierungssystem, ein kostenloser cloudbasierter Dienst von Microsoft, fungiert als Vertrauensbroker zwischen der lokalen Exchange 2013-Organisation und anderen Exchange 2010- und Exchange 2013-Verbundorganisationen.The Azure Active Directory authentication system, a free cloud-based service offered by Microsoft, acts as the trust broker between your on-premises Exchange 2013 organization and other federated Exchange 2010 and Exchange 2013 organizations. Wenn Sie in Ihrer Exchange-Organisation die Verbundfunktion konfigurieren möchten, müssen Sie einmalig eine Verbundvertrauensstellung mit dem Azure Active Directory-Authentifizierungssystem einrichten, damit dieses System als Verbundpartner Ihrer Organisation definiert wird.If you want to configure federation in your Exchange organization, you must establish a one-time federation trust with the Azure Active Directory authentication system, so that it can become a federation partner with your organization. Bei dieser Vertrauensstellung werden von Active Directory authentifizierte Benutzer (als Identitätsanbieterbezeichnet) SAML-delegierungstoken (Security Assertion Markup Language) vom Azure AD-Authentifizierungssystem ausgegeben.With this trust in place, users authenticated by Active Directory (known as identity providers) are issued Security Assertion Markup Language (SAML) delegation tokens by the Azure AD authentication system. Anhand dieser Delegierungstoken werden Benutzer einer Exchange-Verbundorganisation von einer anderen Exchange-Verbundorganisation als vertrauenswürdig eingestuft.These delegation tokens allow users from one federated Exchange organization to be trusted by another federated Exchange organization. Durch die Funktion des Azure AD-Authentifizierungssystem als Vertrauensbroker brauchen Organisationen nicht mehr mehrere einzelne Vertrauensstellungen zu anderen Organisationen zu erstellen, und die Benutzer können über eine einmalige Anmeldung auf externe Ressourcen zugreifen.With the Azure AD authentication system acting as the trust broker, organizations aren't required to establish multiple individual trust relationships with other organizations, and users can access external resources using a single sign-on (SSO) experience. Weitere Informationen finden Sie unter Azure Active Directory.For more information, see Azure Active Directory.

VerbundvertrauensstellungFederation trust

To use Exchange 2013 federated sharing features, you must establish a federation trust between your Exchange 2013 organization and the Azure AD authentication system.To use Exchange 2013 federated sharing features, you must establish a federation trust between your Exchange 2013 organization and the Azure AD authentication system. Establishing a federation trust with the Azure AD authentication system exchanges your organization's digital security certificate with the Azure AD authentication system and retrieves the Azure AD authentication system certificate and federation metadata.Establishing a federation trust with the Azure AD authentication system exchanges your organization's digital security certificate with the Azure AD authentication system and retrieves the Azure AD authentication system certificate and federation metadata. Sie können eine Verbundvertrauensstellung mit dem Assistenten zum Aktivieren von Verbundvertrauensstellungen in der Exchange-Verwaltungskonsole oder mit dem Cmdlet New-FederationTrust im Exchange-Verwaltungsshell einrichten.You can establish a federation trust by using the Enable federation trust wizard in the Exchange admin center (EAC) or the New-FederationTrust cmdlet in the Exchange Management Shell. A self-signed certificate is automatically created by the Enable federation trust wizard and is used for signing and encrypting delegation tokens from the Azure AD authentication system that allow users to be trusted by external federated organizations.A self-signed certificate is automatically created by the Enable federation trust wizard and is used for signing and encrypting delegation tokens from the Azure AD authentication system that allow users to be trusted by external federated organizations. Ausführliche Informationen zu Zertifikatanforderungen finden Sie unter Certificate Requirements for Federation weiter unten in diesem Thema.For details about certificate requirements, see Certificate Requirements for Federation later in this topic.

Wenn Sie eine Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem erstellen, wird automatisch eine Anwendungs-ID für Ihre Exchange-Organisation generiert und in der Ausgabe des Cmdlets Get-FederationTrust bereitgestellt.When you create a federation trust with the Azure AD authentication system, an application identifier (AppID) is automatically generated for your Exchange organization and provided in the output of the Get-FederationTrust cmdlet. Anhand der Anwendungs-ID kann das Azure AD-Authentifizierungssystem Ihre Exchange-Organisation eindeutig identifizieren.The AppID is used by the Azure AD authentication system to uniquely identify your Exchange organization. Sie wird auch von der Exchange-Organisation als Nachweis verwendet, dass Ihre Organisation Eigentümer der Domäne ist, die mit dem Azure AD-Authentifizierungssystem verwendet wird.It's also used by the Exchange organization to provide proof that your organization owns the domain for use with the Azure AD authentication system. Dazu wird in der öffentlichen DNS-Zone (Domain Name System) für jede Verbunddomäne ein TXT-Eintrag erstellt.This is done by creating a text (TXT) record in the public Domain Name System (DNS) zone for each federated domain.

Verbundorganisations-IDFederated organization identifier

Anhand der Verbundorganisations-ID (OrgID) wird definiert, welche der autoritativen akzeptierten Domänen, die in Ihrer Organisation konfiguriert sind, für die Verbundfunktion aktiviert sind.The federated organization identifier (OrgID) defines which of the authoritative accepted domains configured in your organization are enabled for federation. Nur Empfänger, die über E-Mail-Adressen mit akzeptierten Domänen verfügen, die in der OrgID konfiguriert sind, werden vom Azure AD-Authentifizierungssystem erkannt und können die Verbundfreigabefunktionen nutzen.Only recipients that have e-mail addresses with accepted domains configured in the OrgID are recognized by the Azure AD authentication system and are able to use federated sharing features. Beim Erstellen einer neuen Verbundvertrauensstellung wird mit dem Azure AD-Authentifizierungssystem automatisch eine Verbundorganisations-ID (OrgID) erstellt.When you create a new federation trust, an OrgID is automatically created with the Azure AD authentication system. Diese Verbundorganisations-ID ist eine Kombination aus einer vordefinierten Zeichenfolge und der akzeptierten Domäne, die im Assistenten als primäre freigegebene Domäne ausgewählt wurde.This OrgID is a combination of a pre-defined string and the accepted domain selected as the primary shared domain in the wizard. Wenn Sie im Assistenten zum Bearbeiten von freigabeaktivierten Domänen beispielsweise die Verbunddomäne contoso.com als primäre freigegebene Domäne in Ihrer Organisation angeben, wird der Kontonamespace FYDIBOHF25SPDLT.contoso.com automatisch als Organisations-ID für die Verbundvertrauensstellung für Ihre Exchange-Organisation erstellt.For example, in the Edit Sharing-Enabled Domains wizard, if you specify the federated domain contoso.com as the primary shared domain in your organization, the FYDIBOHF25SPDLT.contoso.com account namespace will be automatically created as the OrgID for the federation trust for your Exchange organization.

Wenngleich dies typischerweise die primäre SMTP-Domäne für die Exchange-Organisation ist, muss es sich nicht um eine akzeptierte Domäne in Ihrer Exchange-Organisation handeln. Außerdem ist kein Texteintrag (TXT-Eintrag) in DNS (Domain Name System) erforderlich, um den Besitz nachzuweisen. Die einzige Voraussetzung ist, dass die für den Verbund ausgewählten akzeptierten Domänen höchstens 32 Zeichen enthalten. Diese Unterdomäne dient ausschließlich dem Zweck, als Verbundnamespace für das Azure AD-Authentifizierungssystem zu fungieren und für Empfänger, die SAML-Delegierungstoken (Security Assertion Markup Language) anfordern, eindeutige IDs bereitzustellen. Weitere Informationen zu SAML-Token finden Sie unter SAML-Token und SAML-AnsprücheAlthough typically the primary SMTP domain for the Exchange organization, this domain doesn't have to be an accepted domain in your Exchange organization and doesn't require a domain name system (DNS) proof of ownership TXT record. The only requirement is that accepted domains selected to be federated are limited to a maximum of 32 characters. The only purpose of this subdomain is to serve as the federated namespace for the Azure AD authentication system to maintain unique identifiers for recipients that request SAML delegation tokens. For more information about SAML tokens, see SAML Tokens and Claims

Sie können akzeptierte Domänen jederzeit zur Vertrauensstellung hinzufügen oder aus dieser entfernen. Wenn alle Verbundfreigabefunktionen in Ihrer Organisation aktiviert bzw. deaktiviert werden sollen, müssen Sie lediglich die Organisations-ID für die Verbundvertrauensstellung aktivieren bzw. deaktivieren.You can add or remove accepted domains from the federation trust at any time. If you want to enable or disable all federation sharing features in your organization, all you have to do is enable or disable the OrgID for the federation trust.

Wichtig

Eine Änderung der Verbundorganisations-ID (OrgID), der akzeptierten Domänen oder der Anwendungs-ID (AppID) für die Verbundvertrauensstellung wirkt sich auf alle Verbundfreigabefunktionen in Ihrer Organisation aus. Und damit auch auf alle externen Exchange-Verbundorganisationen, einschließlich Exchange Online- und Hybridbereitstellungskonfigurationen. Es ist empfehlenswert, alle externen Verbundpartner über Änderungen an diesen Konfigurationseinstellungen für die Verbundvertrauensstellung zu informieren.If you change the OrgID, accepted domains, or the AppID used for the federation trust, all federation sharing features are affected in your organization. This also affects any external federated Exchange organizations, including Exchange Online and hybrid deployment configurations. We recommend that you notify all external federated partners of any changes to these federation trust configuration settings.

Beispiel für einen VerbundFederation example

Zwei Exchange-Organisationen, Contoso, Ltd. und Fabrikam, Inc., möchten es ihren Benutzern ermöglichen, Frei/Gebucht-Kalenderinformationen miteinander auszutauschen. Jede Organisation erstellt eine Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem und konfiguriert ihren Kontonamespace so, dass er die Domäne enthält, die für die E-Mail-Adressen der Benutzer verwendet wird.Two Exchange organizations, Contoso, Ltd. and Fabrikam, Inc., want their users to be able to share calendar free/busy information with each other. Each organization creates a federation trust with the Azure AD authentication system and configures its account namespace to include the domain used for its user's e-mail address domain.

Die Mitarbeiter von Contoso verwenden eine der folgenden E-Mail-Adressendomänen: contoso.com, contoso.co.uk oder contoso.ca. Die Mitarbeiter von Fabrikam verwenden eine der folgenden E-Mail-Adressendomänen: fabrikam.com, fabrikam.org oder fabrikam.net. Beide Organisationen stellen sicher, dass alle akzeptierten E-Mail-Domänen im Kontonamespace für die Verbundvertrauensstellung mit dem Azure AD-Authentifizierungssystem enthalten sind. Statt einer komplexen Active Directory-Grundstruktur oder Domänenvertrauensstellung zwischen den Organisationen konfigurieren beide Organisationen eine Organisationsbeziehung zueinander, um die Freigabe von Frei/Gebucht-Kalenderinformationen zu ermöglichen.Contoso employees use one of the following e-mail address domains: contoso.com, contoso.co.uk, or contoso.ca. Fabrikam employees use one of the following e-mail address domains: fabrikam.com, fabrikam.org, or fabrikam.net. Both organizations make sure that all accepted e-mail domains are included in the account namespace for their federation trust with the Azure AD authentication system. Rather than requiring a complex Active Directory forest or domain trust configuration between the two organizations, both organizations configure an organization relationship with each other to enable calendar free/busy sharing.

Die folgende Abbildung zeigt die Verbundkonfiguration zwischen Contoso, Ltd. und Fabrikam, Inc.The following figure illustrates the federation configuration between Contoso, Ltd. and Fabrikam, Inc.

Beispiel für eine VerbundfreigabeFederated sharing example

![Verbundvertrauensstellungen und Verbundfreigabe] (images/Dd335047.310f0698-b67d-4b0e-91e4-231c6e9db952(EXCHG.150).gif "Verbundvertrauensstellungen und Verbundfreigabe")Federation Trusts and Federated Sharing

Zertifikatanforderungen für den VerbundCertificate requirements for Federation

To establish a federation trust with the Azure AD authentication system, either a self-signed certificate or an X.509 certificate signed by a certification authority (CA) must be created and installed on the Exchange 2013 server used to create the trust. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.To establish a federation trust with the Azure AD authentication system, either a self-signed certificate or an X.509 certificate signed by a certification authority (CA) must be created and installed on the Exchange 2013 server used to create the trust. We strongly recommend using a self-signed certificate, which is automatically created and installed using the Enable federation trust wizard in the EAC. This certificate is used only to sign and encrypt delegation tokens used for federated sharing and only one certificate is required for the federation trust. Exchange 2013 automatically distributes the certificate to all other Exchange 2013 servers in the organization.

Soll ein von einer externen Zertifizierungsstelle signiertes X.509-Zertifikat verwendet werden, muss dieses die folgenden Anforderungen erfüllen:If you want to use an X.509 certificate signed by an external CA, the certificate must meet the following requirements:

  • Vertrauenswürdige Zertifizierungsstelle: Wenn möglich, sollte das X. 509-Secure Sockets Layer (SSL) Zertifikat von einer von Windows Live vertrauenswürdigen Zertifizierungsstelle ausgestellt werden.Trusted CA: If possible, the X.509 Secure Sockets Layer (SSL) certificate should be issued from a CA trusted by Windows Live. Sie können jedoch auch Zertifikate von Zertifizierungsstellen verwenden, die derzeit noch nicht von Microsoft zertifiziert sind.However, you can use certificates issued by CAs that aren't currently certified by Microsoft. Eine aktuelle Liste der vertrauenswürdigen Zertifizierungsstellen finden Sie unter Vertrauenswürdige Stammzertifizierungsstellen für Verbundvertrauensstellungen.For a current list of trusted CAs, see Trusted root certification authorities for federation trusts.

  • Bezeichner des Betreff-Schlüssels: das Zertifikat muss ein Feld für den Schlüssel "Subject" aufweisen.Subject key identifier: The certificate must have a subject key identifier field. Die meisten, von kommerziellen Zertifizierungsstellen ausgestellten X.509-Zertifikate enthalten diese ID.Most X.509 certificates issued by commercial CAs have this identifier.

  • CryptoAPI Cryptographic Service Provider (CSP): das Zertifikat muss einen CryptoAPI-CSP verwenden.CryptoAPI cryptographic service provider (CSP): The certificate must use a CryptoAPI CSP. Zertifikate von CNG-Anbietern: (Cryptography API: Next Generation) werden für die Verbundfunktion nicht unterstützt.Certificates that use Cryptography API: Next Generation (CNG) providers aren't supported for federation. Beim Erstellen einer Zertifikatanforderung mit Exchange wird ein CryptoAPI-Anbieter verwendet.If you use Exchange to create a certificate request, a CryptoAPI provider is used. Weitere Informationen finden Sie unter Cryptography API: Next Generation.For more information, see Cryptography API: Next Generation.

  • RSA-Signaturalgorithmus: das Zertifikat muss RSA als Signaturalgorithmus verwenden.RSA signature algorithm: The certificate must use RSA as the signature algorithm.

  • Exportierbarer privater Schlüssel: der zum Generieren des Zertifikats verwendete private Schlüssel muss exportierbar sein.Exportable private key: The private key used to generate the certificate must be exportable. You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.You can specify that the private key be exportable when you create the certificate request using the New Exchange certificate wizard in the EAC or the New-ExchangeCertificate cmdlet in the Shell.

  • Aktuelles Zertifikat: das Zertifikat muss aktuell sein.Current certificate: The certificate must be current. Eine Verbundvertrauensstellung kann nicht mit einem abgelaufenen oder gesperrten Zertifikat erstellt werden.You can't use an expired or revoked certificate to create a federation trust.

  • Erweiterte Schlüsselverwendung: das Zertifikat muss die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) Type Client Authentication (1.3.6.1.5.5.7.3.2) enthalten.Enhanced key usage: The certificate must include the enhanced key usage (EKU) type Client Authentication (1.3.6.1.5.5.7.3.2). Dieser Verwendungstyp dient auf einem Remotecomputer zum Nachweis Ihrer Identität.This usage type is used to prove your identity to a remote computer. Wenn Sie die Zertifikatanforderung über die Exchange-Verwaltungskonsole oder die Verwaltungsshell generieren, ist dieser Verwendungstyp standardmäßig enthalten.If you use the EAC or the Shell to generate a certificate request, this usage type is included by default.

Hinweis

Da das Zertifikat nicht für die Authentifizierung verwendet wird, bestehen dafür auch keine Anforderungen in Bezug auf einen Antragstellernamen oder einen alternativen Antragstellernamen. Sie können für das Zertifikat den Hostnamen, den Domänennamen oder einen beliebigen anderen Namen als Antragstellernamen verwenden.Because the certificate isn't used for authentication, it doesn't have any subject name or subject alternative name requirements. You can use a certificate with a subject name that's the same as the host name, the domain name, or any other name.

Wechseln zu einem neuen ZertifikatTransitioning to a new certificate

Das zum Erstellen der Verbundvertrauensstellung verwendete Zertifikat wird als aktuelles Zertifikat festgelegt. Sie müssen für die Verbundvertrauensstellung jedoch u. U. von Zeit zu Zeit ein neues Zertifikat installieren und verwenden. Sie müssen beispielsweise ein neues Zertifikat verwenden, wenn die Gültigkeitsdauer des aktuellen Zertifikats abläuft oder neue Geschäfts- oder Sicherheitsanforderungen zu erfüllen sind. Um einen nahtlosen Übergang zu einem neuen Zertifikat zu gewährleisten, müssen Sie das neue Zertifikat auf Ihrem Exchange 2013-Server speichern und die Verbundvertrauensstellung konfigurieren, um es als neues Zertifikat auszuweisen. Exchange 2013 verteilt das neue Zertifikat automatisch an die anderen Exchange 2013-Server in der Organisation. Je nach Active Directory-Topologie nimmt die Verteilung des Zertifikats einige Zeit in Anspruch. Sie können den Zertifikatstatus mit dem Cmdlet Test-FederationTrustCertificate in der Shell überprüfen.The certificate used to create the federation trust is designated as the current certificate. However, you may need to install and use a new certificate for the federation trust periodically. For example, you may need to use a new certificate if the current certificate expires or to meet a new business or security requirement. To ensure a seamless transition to a new certificate, you must install the new certificate on your Exchange 2013 server and configure the federation trust to designate it as the new certificate. Exchange 2013 automatically distributes the new certificate to all other Exchange 2013 servers in the organization. Depending on your Active Directory topology, distribution of the certificate may take a while. You can verify the certificate status using the Test-FederationTrustCertificate cmdlet in the Shell.

Nachdem Sie den Verteilstatus des Zertifikats überprüft haben, können Sie die Vertrauensstellung für die Verwendung des neuen Zertifikats konfigurieren. Nach dem Austausch der Zertifikate wird das aktuelle Zertifikat als vorheriges Zertifikat und das neue Zertifikat als aktuelles Zertifikat ausgewiesen. Das neue Zertifikat wird auf dem Azure AD-Authentifizierungssystem veröffentlicht, und alle neuen, mit dem Azure AD-Authentifizierungssystem ausgetauschten Token werden unter Verwendung des neuen Zertifikats verschlüsselt.After you verify the certificate's distribution status, you can configure the trust to use the new certificate. After switching certificates, the current certificate is designated as the previous certificate, and the new certificate is designated as the current certificate. The new certificate is published to the Azure AD authentication system, and all new tokens exchanged with the Azure AD authentication system are encrypted using the new certificate.

Hinweis

Dieser Zertifikatswechsel wird nur vom Verbund verwendet. Wenn Sie für andere Exchange 2013-Funktionen, die Zertifikate erfordern, dasselbe Zertifikat verwenden, müssen Sie beim Beschaffen und Installieren eines neuen Zertifikats bzw. beim Zertifikatswechsel die Anforderungen dieser Funktionen berücksichtigen.This certificate transition process is used only by federation. If you use the same certificate for other Exchange 2013 features that require certificates, you must take the feature requirements into consideration when planning to procure, install, or transition to a new certificate.

Überlegungen zur Firewall bei VerbundFirewall Considerations for Federation

Für Verbundfunktionen müssen die Postfach- und Clientzugriffsserver in Ihrer Organisation ausgehenden HTTPS-Zugriff auf das Internet haben.Federation features require that the Mailbox and Client Access servers in your organization have outbound access to the Internet by using HTTPS. Sie müssen für alle Exchange 2013-Postfach- und Clientzugriffsserver in der Organisation ausgehenden HTTPS-Zugriff einrichten (Port 443 für TCP).You must allow outbound HTTPS access (port 443 for TCP) from all Exchange 2013 Mailbox and Client Access servers in the organization.

Damit eine externe Organisation auf die Frei/Gebucht-Informationen Ihrer Organisation zugreifen kann, müssen Sie einen Clientzugriffsserver im Internet veröffentlichen. Hierzu ist eingehender HTTPS-Zugriff aus dem Internet auf den Clientzugriffsserver erforderlich. Clientzugriffsserver an Active Directory-Standorten, die nicht über einen im Internet veröffentlichten Clientzugriffsserver verfügen, können Clientzugriffsserver an anderen Active Directory-Standorten verwenden, auf die über das Internet zugegriffen werden kann. Für nicht im Internet veröffentlichte Clientzugriffsserver muss die externe URL des virtuellen Verzeichnisses der Webdienste auf die URL festgelegt sein, die für externe Organisationen sichtbar ist.For an external organization to access your organization's free/busy information, you must publish one Client Access server to the Internet. This requires inbound HTTPS access from the Internet to the Client Access server. Client Access servers in Active Directory sites that don't have a Client Access server published to the Internet can use Client Access servers in other Active Directory sites that are accessible from the Internet. The Client Access servers that aren't published to the Internet must have the external URL of the Web services virtual directory set with the URL that's visible to external organizations.