Grundlegendes zu Zertifikatanforderungen für Hybridbereitstellungen
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2016-11-28
Digitale Zertifikate sind ein wichtiger Bestandteil zur Gewährleistung einer sicheren Kommunikation zwischen der lokalen Exchange-Organisation und dem Microsoft Office 365-Dienst, anderen lokalen Exchange-Servern und Ihren Clients. Zertifikate machen es möglich, dass eine Einheit der Identität einer anderen Einheit vertrauen kann. Dadurch wird sichergestellt, dass ein Client oder Server mit der richtigen Quelle kommuniziert.
In einer Hybridbereitstellung werden Zertifikate von mehreren Diensten verwendet:
Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) Zum Einrichten einer Vertrauensstellung zwischen Webclients und Verbundserverproxys wird ein von einer vertrauenswürdigen externen Zertifizierungsstelle ausgegebenes Zertifikat verwendet, mit dem Sicherheitstoken signiert und entschlüsselt werden.
Weitere Informationen finden Sie unter: Zertifikate (möglicherweise in englischer Sprache).
Exchange-Partnerverbund Selbstsigniertes Zertifikat, das zum Erstellen einer sicheren Verbindung zwischen den lokalen, für die Hybridbereitstellung konfigurierten Exchange Server 2010 SP3-Servern ("Hybridserver") und Microsoft Federation Gateway verwendet wird.
Weitere Informationen finden Sie unter: Grundlegendes zur Verbunddelegierung
Exchange-Dienste Von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate werden verwendet, um die Sicherheit der SSL-Verbindung (Secure Sockets Layer) zwischen den Exchange-Servern und -Clients zu erhöhen. Zu den Diensten, die Zertifikate verwenden, gehören Outlook Web App, Exchange ActiveSync, Outlook Anywhere und die Nachrichtenübermittlung.
Vorhandene Exchange-Server Ihre vorhandenen Exchange-Server verwenden möglicherweise Zertifikate, um die Sicherheit der Outlook Web App-Kommunikation, der Nachrichtenübermittlung usw. zu verbessern. In Abhängigkeit von der Art und Weise, wie Sie Zertifikate auf Ihren Exchange-Servern nutzen, werden wahrscheinlich selbstsignierte oder von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgegebene Zertifikate verwendet.
Weitere Informationen finden Sie unter: Grundlegendes zu digitalen Zertifikaten und SSL
Zertifikatanforderungen für eine Hybridbereitstellung
Bei der Konfiguration einer Hybridbereitstellung müssen Sie Zertifikate konfigurieren. Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters erworben werden. Mehrere Dienste wie AD FS, Exchange 2010 Federation, Exchange 2010-Dienste und Exchange selbst erfordern Zertifikate. In Abhängigkeit von Ihrer Organisation sollten Sie sich für eine der folgenden Lösungen entscheiden:
Verwenden eines Drittanbieterzertifikats, das serverübergreifend von allen Diensten genutzt wird.
Verwenden eines Drittanbieterzertifikats für jeden Server, der Dienste bereitstellt.
Die Entscheidung, ob das gleiche Zertifikat für alle Dienste verwendet oder jedem Dienst ein eigenes Zertifikat zugewiesen werden soll, hängt von Ihrer Organisation und dem zu implementierenden Dienst ab. Nachstehend einige Punkte, die bei den einzelnen Möglichkeiten zu berücksichtigen sind:
Serverübergreifend verwendetes Drittanbieterzertifikat Drittanbieterzertifikate, die serverübergreifend von den Diensten verwendet werden, sind wahrscheinlich etwas preiswerter, jedoch schwieriger zu erneuern und zu ersetzen. Das liegt daran, weil Sie das Zertifikat zum Zeitpunkt der Erneuerung auf jedem Server, auf dem es installiert ist, ersetzen müssen.
Drittanbieterzertifikat für jeden Server Wenn Sie für jeden Server, auf dem Dienste verwaltet werden, ein dediziertes Zertifikat verwenden, können Sie das Zertifikat speziell für die Dienste auf diesem Server konfigurieren. Wenn das Zertifikat erneuert oder ersetzt werden muss, braucht es nur auf dem Server, auf dem die Dienste installiert sind, ersetzt zu werden. Andere Server sind nicht betroffen.
Es wird empfohlen, für den AD FS-Server ein dediziertes Drittanbieterzertifikat, ein weiteres Zertifikat für die Exchange-Dienste auf Ihren Hybridservern und bei Bedarf ein Zertifikat für Ihren Exchange-Server zu verwenden. Für die lokale Verbundvertrauensstellung, die im Rahmen der Verbunddelegierung konfiguriert ist, wird standardmäßig ein selbstsigniertes Zertifikat verwendet. Sofern keine besonderen Anforderungen gelten, ist für die im Rahmen der Verbunddelegierung konfigurierte Verbundvertrauensstellung kein Zertifikat eines Drittanbieters erforderlich.
Voraussetzung für die auf einem einzelnen Server installierten Dienste ist die Konfiguration mehrerer vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) für den Server. Erwerben Sie ein Zertifikat, das die erforderliche Anzahl von FQDNs zulässt. Zertifikate bestehen aus dem Antragstellernamen (Hauptnamen) und einem oder mehreren alternativen Antragstellernamen (Subject Alternative Names, SANs). Der Antragstellername ist der FQDN, für den das Zertifikat ausgestellt wird. Alternative Antragstellernamen sind die FQDNs, die dem Zertifikat neben dem Antragstellernamen hinzugefügt werden können. Wenn Sie ein Zertifikat für die Unterstützung von fünf FQDNs benötigen, sollten Sie ein Zertifikat erwerben, dem fünf Domänen hinzugefügt werden können: ein Antragstellername und vier alternative Antragstellernamen.
| Dienst | Server | Vorgeschlagener FQDN |
|---|---|---|
Active Directory-Verbunddienste (AD FS) (wenn Sie AD FS konfiguriert haben) |
ADFS |
sts.contoso.com |
AutoErmittlung |
Hybridserver |
autodiscover.contoso.com |
Transport |
Hybridserver |
Bezeichnung, die dem externen FQDN Ihrer Exchange 2010 SP3-Hybridserver entspricht, z. B. "hybrid.contoso.com". |
Outlook Anywhere |
Hybridserver |
Bezeichnung, die dem internen FQDN Ihrer Exchange 2010 SP3-Hybridserver entspricht, z. B. Ex2010.corp.contoso.com. Bezeichnung, die dem internen Hostnamen Ihrer Exchange 2010 SP3-Hybridserver entspricht, z. B. Ex2010. |
Outlook Web App (Exchange 2010) |
Hybridserver |
owa.contoso.com |
Outlook Web App (vorhandener Exchange-Server) |
Vorhandener Exchange-Server |
Bezeichnung, die dem externen FQDN Ihres vorhandenen Exchange-Servers entspricht, z. B. "mail.contoso.com". |
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.