Conditions requises pour les certificats dans le cadre de déploiements hybridesCertificate requirements for hybrid deployments

Dans un déploiement hybride, les certificats numériques représentent une part importante de la sécurisation des communications entre l'organisation Exchange locale et Office 365. Les certificats permettent à chaque organisation Exchange d'approuver l'identité de l'autre. Les certificats permettent également d'assurer que chaque organisation Exchange communique vers la bonne source.In a hybrid deployment, digital certificates are an important part of securing the communication between the on-premises Exchange organization and Office 365. Certificates enable each Exchange organization to trust the identity of another. Certificates also help to ensure that each Exchange organization is communicating to the right source.

Dans un déploiement hybride, de nombreux services utilisent des certificats :In a hybrid deployment, many services make use of certificates:

  • Azure Active Directory Connect (Azure AD Connect) avec les services de fédération Active Directory (AD FS) Si vous décidez de déployer Azure AD Connect avec les services AD FS dans le cadre de votre déploiement hybride, un certificat émis par une autorité de certification tierce approuvée est utilisé pour établir une approbation entre les clients web et les serveurs proxy de fédération, pour signer et déchiffrer les jetons de sécurité.Azure Active Directory Connect (Azure AD Connect) with Active Directory Federation Services (AD FS) If you choose to deploy Azure AD Connect with AD FS as part of your hybrid deployment, a certificate issued by a trusted third-party certificate authority (CA) is used to establish a trust between web clients and federation server proxies, to sign security tokens, and to decrypt security tokens.

    Pour plus d'informations, consultez la rubrique Certificats.Learn more at Certificates.

  • Exchange Federation Un certificat auto-signé est utilisé pour créer une connexion sécurisée entre les serveurs Exchange locaux et le système d'authentification Azure Active Directory.Exchange federation A self-signed certificate is used to create a secure connection between the on-premises Exchange servers and the Azure Active Directory authentication system.

    Pour plus d'informations, consultez la rubrique Understanding Federated Delegation.Learn more at Understanding Federated Delegation.

  • Services Exchange Des certificats émis par une autorité de certification tierce approuvée permettent de sécuriser la communication SSL (Secure Sockets Layer) entre les clients et les serveurs Exchange. Les services qui utilisent des certificats comprennent Outlook sur le web, Exchange ActiveSync, Outlook Anywhere et le transport des messages sécurisé.Exchange services Certificates issued by a trusted third-party CA are used to help secure Secure Sockets Layer (SSL) communication between Exchange servers and clients. Services that use certificates include Outlook on the web, Exchange ActiveSync, Outlook Anywhere, and secure message transport.

  • Serveurs Exchange existants Vos serveurs Exchange existants peuvent utiliser des certificats pour sécuriser les communications Outlook sur le web, le transport des messages, etc. En fonction de votre utilisation des certificats sur vos serveurs Exchange, vous pouvez être amené à utiliser des certificats auto-signés ou des certificats émis par une autorité de certification tierce approuvée.Existing Exchange servers Your existing Exchange servers may make use of certificates to help secure Outlook on the web communication, message transport, and so on. Depending on how you use certificates on your Exchange servers, you might use self-signed certificates or certificates issued by a trusted third-party CA.

Conditions requises pour l'utilisation d'un certificat dans le cadre d'un déploiement hybrideCertificate requirements for a hybrid deployment

Dans le cadre de la configuration d'un déploiement hybride, vous devez utiliser et configurer des certificats que vous avez achetés auprès d'une autorité de certification tierce approuvée. Le certificat utilisé pour un transport de courrier sécurisé hybride doit être installé sur l'ensemble des boîtes aux lettres (Exchange 2016 et versions plus récentes) et des serveurs d'accès au client et de boîtes aux lettres (Exchange 2013 et versions antérieures) locaux.When configuring a hybrid deployment, you must use and configure certificates that you have purchased from a trusted third-party CA. The certificate used for hybrid secure mail transport must be installed on all on-premises Mailbox (Exchange 2016 and newer), and Mailbox and Client Access (Exchange 2013 and older) servers.

Important

Si vous configurez un déploiement hybride dans une organisation dont les serveurs Exchange sont déployés dans plusieurs forêts Active Directory, vous devez utiliser un certificat émis par une autorité de certification tierce distincte pour chaque forêt Active Directory.If you're configuring a hybrid deployment in an organization that has Exchange servers deployed in multiple Active Directory forests, you must use a separate third-party CA certificate for each Active Directory forest.

Note

Lorsque des serveurs de transport Edge Exchange sont déployés dans une organisation locale, ce certificat doit également être installé sur tous les serveurs de transport Edge. Chaque serveur de transport doit utiliser un certificat qui partage la même autorité de certification tierce émettrice et le même objet pour que le transport de courrier sécurisé hybride fonctionne correctement.When Exchange Edge Transport servers are deployed in an on-premises organization, this certificate must also be installed on all Edge Transport servers. Each transport server must use a certificate that shares the same issuing CA and the same subject for hybrid secure mail to function correctly.

De nombreux services, tels que AD FS, Exchange Federation, les services et Exchange, requièrent des certificats. En fonction de la nature de votre organisation, vous pouvez choisir l'une des options suivantes :Multiple services, such as AD FS, Exchange federation, services, and Exchange, each require certificates. Depending on your organization, you may decide to do one of the following:

  • Utiliser un certificat tiers employé par tous les services sur plusieurs serveurs.Use a third-party certificate that's used by all services across multiple servers.

  • Utiliser un certificat tiers pour chaque serveur fournissant des services.Use a third-party certificate for each server that provides services.

Selon votre organisation et le service que vous mettez en œuvre, vous pouvez choisir d'utiliser un même certificat pour tous les services ou un certificat dédié à chaque service. Voici quelques éléments à prendre en compte pour chacune des options :Whether you choose to use the same certificate for all services or dedicate a certificate for each service depends on your organization and the service you're implementing. Here are some things to consider about each option:

  • Certificat tiers sur plusieurs serveurs Les certificats tiers utilisés par des services sur plusieurs serveurs peuvent constituer une solution légèrement moins onéreuse, mais risquent d'impliquer des opérations complexes de renouvellement et de remplacement. En effet, lorsqu'un certificat doit être remplacé, vous devez réaliser cette opération sur chaque serveur où il est installé.Third-party certificate across multiple servers Third-party certificates that are used by services across multiple servers may be slightly cheaper to obtain, but they may complicate renewal and replacement. The complication occurs because, when a certificate needs replacement, you need to replace the certificate on every server where it's installed.

  • Certificat tiers pour chaque serveur L'utilisation d'un certificat dédié pour chaque serveur hébergeant des services vous permet de configurer le certificat spécifiquement pour les services qui s'y trouvent. Si vous devez remplacer le certificat ou le renouveler, vous devez seulement le remplacer sur le serveur où les services sont installés. Il n'y a aucune incidence sur les autres serveurs.Third-party certificate for each server Using a dedicated certificate for each server that hosts services allows you to configure the certificate specifically for the services on that server. If you need to replace the certificate or renew it, you only need to replace it on the server where the services are installed. Other servers aren't impacted.

Nous vous recommandons d'utiliser un certificat tiers dédié pour un serveur AD FS en option, un autre certificat pour les services Exchange pour votre déploiement hybride et, le cas échéant, un autre certificat sur vos serveurs Exchange pour d'autres services ou fonctionnalités nécessaires. L'approbation de fédération locale configurée dans le cadre d'un partage fédéré dans un déploiement hybride utilise un certificat auto-signé par défaut. Sauf exigences spécifiques, il est inutile d'utiliser un certificat tiers avec l'approbation fédérée configurée dans le cadre d'un déploiement hybride.We recommend that you use a dedicated third-party certificate for any optional AD FS server, another certificate for the Exchange services for your hybrid deployment, and if needed, another certificate on your Exchange servers for other needed services or features. The on-premises federation trust configured as part of federated sharing in a hybrid deployment uses a self-signed certificate by default. Unless you have specific requirements, there's no need to use a third-party certificate with the federation trust configured as part of a hybrid deployment.

Les services installés sur un seul serveur peuvent vous obliger à configurer plusieurs noms de domaines complets (FQDN) pour le serveur. Vous devez acheter un certificat permettant le nombre maximum requis de noms de domaines complets. Les certificats comprennent le nom de l’objet (également appelé nom principal), et un ou plusieurs autre(s) nom(s) d’objet. Le nom de l’objet correspond au nom de domaine complet pour lequel le certificat est émis, et doit utiliser le domaine SMTP principal partagé entre l’organisation locale et l’organisation Exchange Online. Les autres noms d’objet sont des noms de domaines complets supplémentaires pouvant être ajoutés à un certificat en plus du nom de l’objet. Si vous avez besoin d’un certificat pour prendre en charge cinq noms de domaines complets, achetez un certificat permettant d’ajouter cinq domaines : un nom d’objet et quatre autres noms d’objet.The services that are installed on a single server may require that you configure multiple fully qualified domain names (FQDNs) for the server. You should purchase a certificate that allows for the maximum required number of FQDNs. Certificates consist of the subject (also called a principal name) and one or more subject alternative names (SAN). The subject name is the FQDN that the certificate is issued to and should use the primary SMTP domain that is shared between the on-premises and Exchange Online organizations. SANs are additional FQDNs that can be added to a certificate in addition to the subject name. If you need a certificate to support five FQDNs, purchase a certificate that allows for five domains to be added to the certificate: one subject name and four SANs.

Le tableau suivant indique le nombre minimum de noms de domaines complets suggérés devant être inclus sur des certificats configurés pour être utilisés dans un déploiement hybride.The following table outlines the minimum suggested FQDNs that should be included on certificates configured for use in a hybrid deployment.

ServiceService Nom de domaine complet suggéréSuggested FQDN ChampField
Domaine SMTP principal partagéPrimary shared SMTP domain
contoso.comcontoso.com
Nom de sujetSubject name
Découverte automatiqueAutodiscover
Étiquette correspondant au nom de domaine complet de découverte automatique externe de votre serveur d'accès au client Exchange 2013, tel que autodiscover.contoso.comLabel that matches the external Autodiscover FQDN of your Exchange 2013 Client Access server, such as autodiscover.contoso.com
Autre nom du sujetSubject alternative name
TransportTransport
Étiquette correspondant au nom de domaine complet externe de vos serveurs de transport Edge, tel que edge.contoso.comLabel that matches the external FQDN of your Edge Transport servers, such as edge.contoso.com
Autre nom du sujetSubject alternative name