Certificati digitali e SSLDigital certificates and SSL

Si applica a: Exchange Server 2013Applies to: Exchange Server 2013

Secure Sockets Layer (SSL) è un metodo per proteggere le comunicazioni tra un client e un server.Secure Sockets Layer (SSL) is a method for securing communications between a client and a server. Per Exchange Server 2013, SSL viene utilizzato per proteggere le comunicazioni tra il server e i client.For Exchange Server 2013, SSL is used to help secure communications between the server and clients. I client consistono nei telefoni cellulari e nei computer interni o esterni alla rete di un'organizzazione.Clients include mobile phones, computers inside an organization's network, and computers outside an organization's network.

Per impostazione predefinita, quando si installa Exchange 2013, le comunicazioni client vengono crittografate tramite SSL quando si utilizza Outlook Web App, Exchange ActiveSync e Outlook via Internet.By default, when you install Exchange 2013, client communications are encrypted using SSL when you use Outlook Web App, Exchange ActiveSync, and Outlook Anywhere.

SSL richiede l'utilizzo dei certificati digitali.SSL requires you to use digital certificates. In questo argomento vengono riepilogati i diversi tipi di certificati digitali e informazioni su come configurare Exchange 2013 per l'utilizzo di questi tipi di certificati digitali.This topic summarizes the different types of digital certificates and information about how to configure Exchange 2013 to use these types of digital certificates.

Panoramica dei certificati digitaliOverview of digital certificates

I certificati digitali sono file elettronici che funzionano come password in linea in grado di verificare l'identità di un utente o di un computer.Digital certificates are electronic files that work like an online password to verify the identity of a user or a computer. Vengono utilizzati per creare il canale crittografato SSL utilizzato per le comunicazioni client.They're used to create the SSL encrypted channel that's used for client communications. Un certificato è un'istruzione digitale emessa da un'autorità di certificazione (CA) che garantisce l'identità del titolare del certificato e consente alle parti di comunicare in modo sicuro tramite la crittografia.A certificate is a digital statement that's issued by a certification authority (CA) that vouches for the identity of the certificate holder and enables the parties to communicate in a secure manner using encryption.

I certificati digitali eseguono le operazioni seguenti:Digital certificates do the following:

  • Essi eseguono l'autenticazione che i titolari (persone, siti Web e anche risorse di rete, ad esempio i router) sono veramente coloro che o cosa dicono di essere.They authenticate that their holders (people, websites, and even network resources such as routers) are truly who or what they claim to be.

  • Proteggono i dati scambiati online da furti o manomissioni.They protect data that's exchanged online from theft or tampering.

I certificati digitali possono essere emessi da un'autorità di certificazione di terze parti attendibile o da un'infrastruttura a chiave pubblica (PKI) di Windows utilizzando Servizi certificati oppure possono essere autofirmati.Digital certificates can be issued by a trusted third-party CA or a Windows public key infrastructure (PKI) using Certificate Services, or they can be self-signed. Ogni tipo di certificato presenta vantaggi e svantaggi.Each type of certificate has advantages and disadvantages. Ogni tipo di certificato digitale è antimanomissione e non può essere contraffatto.Each type of digital certificate is tamper-proof and can't be forged.

I certificati possono essere rilasciati per diversi usi.Certificates can be issued for several uses. Tali utilizzi includono l'autenticazione degli utenti Web, l'autenticazione del server Web, la sicurezza/Multipurpose Internet Mail Extensions (S/MIME), la protezione IPsec (Internet Protocol Security), la sicurezza TLS (Transport Layer Security) e la firma del codice.These uses include web user authentication, web server authentication, Secure/Multipurpose Internet Mail Extensions (S/MIME), Internet Protocol security (IPsec), Transport Layer Security (TLS), and code signing.

Un certificato contiene una chiave pubblica e la associa all'identità della persona, del computer o del servizio che possiede la chiave privata corrispondente.A certificate contains a public key and attaches that public key to the identity of a person, computer, or service that holds the corresponding private key. Le chiavi pubbliche e private vengono utilizzate dal client e dal server per crittografare i dati prima che vengano trasmessi.The public and private keys are used by the client and the server to encrypt the data before it's transmitted. Per gli utenti, i computer e i servizi basati su Windows, la relazione di trust in una CA viene stabilita quando è presente una copia del certificato radice nell'archivio certificati radice attendibile e il certificato contiene un percorso di certificazione valido.For Windows-based users, computers, and services, trust in a CA is established when there's a copy of the root certificate in the trusted root certificate store and the certificate contains a valid certification path. Affinché il certificato sia valido, il certificato non deve essere stato revocato e il periodo di validità non deve essere scaduto.For the certificate to be valid, the certificate must not have been revoked and the validity period must not have expired.

Tipi di certificatiTypes of certificates

Sono disponibili tre tipi principali di certificati digitali: i certificati autofirmati, i certificati generati da PKI di Windows e i certificati di terze parti.There are three primary types of digital certificates: self-signed certificates, Windows PKI-generated certificates, and third-party certificates.

Certificati autofirmatiSelf-signed certificates

Quando si installa Exchange 2013, un certificato autofirmato viene configurato automaticamente nei server cassette postali.When you install Exchange 2013, a self-signed certificate is automatically configured on the Mailbox servers. Un certificato autofirmato è firmato dall'applicazione che lo ha creato.A self-signed certificate is signed by the application that created it. L'oggetto e il nome del certificato corrispondono.The subject and the name of the certificate match. L'autorità emittente e l'oggetto sono definiti nel certificato.The issuer and the subject are defined on the certificate. Questo certificato autofirmato viene utilizzato per crittografare le comunicazioni tra il server Accesso client e il server cassette postali.This self-signed certificate is used to encrypt communications between the Client Access server and the Mailbox server. Il server Accesso client considera automaticamente attendibile il certificato autofirmato nel server cassette postali, in modo che non sia necessario alcun certificato di terze parti sul server cassette postali.The Client Access server trusts the self-signed certificate on the Mailbox server automatically, so no third-party certificate is needed on the Mailbox server. Quando si installa Exchange 2013, viene creato anche un certificato autofirmato sul server Accesso client.When you install Exchange 2013, a self-signed certificate is also created on the Client Access server. Questo certificato autofirmato consentirà a alcuni protocolli client di utilizzare SSL per le comunicazioni.This self-signed certificate will allow some client protocols to use SSL for their communications. Exchange ActiveSync e Outlook Web App sono in grado di stabilire una connessione SSL tramite un certificato autofirmato.Exchange ActiveSync and Outlook Web App can establish an SSL connection by using a self-signed certificate. Outlook via Internet non funzionerà con un certificato autofirmato sul server Accesso client.Outlook Anywhere won't work with a self-signed certificate on the Client Access server. I certificati autofirmati devono essere copiati manualmente nell'archivio certificati radice attendibile sul computer client o sul dispositivo mobile.Self-signed certificates must be manually copied to the trusted root certificate store on the client computer or mobile device. Quando un client si connette a un server su SSL e il server presenta un certificato autofirmato, al client verrà richiesto di verificare che il certificato sia stato emesso da un'autorità attendibile.When a client connects to a server over SSL and the server presents a self-signed certificate, the client will be prompted to verify that the certificate was issued by a trusted authority. È necessario che il client consideri esplicitamente attendibile l'autorità emittente.The client must explicitly trust the issuing authority. Se il client conferma la relazione di trust, le comunicazioni SSL possono continuare.If the client confirms the trust, then SSL communications can continue.

Nota

Per impostazione predefinita, il certificato digitale installato nel server cassette postali o nei server è un certificato autofirmato.By default, the digital certificate installed on the Mailbox server or servers is a self-signed certificate. Non è necessario sostituire il certificato autofirmato nei server cassette postali dell'organizzazione con un certificato di terze parti attendibile.You don't need to replace the self-signed certificate on the Mailbox servers in your organization with a trusted third-party certificate. Il server Accesso client considera automaticamente attendibile il certificato autofirmato nel server cassette postali e non è necessaria alcuna configurazione per i certificati nel server cassette postali.The Client Access server automatically trusts the self-signed certificate on the Mailbox server and no other configuration is needed for certificates on the Mailbox server.

Spesso le organizzazioni di piccole dimensioni decidono di non utilizzare un certificato di terze parti o di non installare la propria infrastruttura PKI per emettere i propri certificati.Frequently, small organizations decide not to use a third-party certificate or not to install their own PKI to issue their own certificates. Potrebbero prendere questa decisione perché tali soluzioni sono troppo costose, perché gli amministratori non dispongono dell'esperienza e delle conoscenze necessarie per creare la propria gerarchia di certificati o per entrambi i motivi.They might make this decision because those solutions are too expensive, because their administrators lack the experience and knowledge to create their own certificate hierarchy, or for both reasons. Il costo è minimo e il programma di installazione è semplice quando si utilizzano certificati autofirmati.The cost is minimal and the setup is simple when you use self-signed certificates. Tuttavia, è molto più difficile stabilire un'infrastruttura per la gestione del ciclo di vita dei certificati, il rinnovo, la gestione della fiducia e la revoca quando si utilizzano certificati autofirmati.However, it's much more difficult to establish an infrastructure for certificate life-cycle management, renewal, trust management, and revocation when you use self-signed certificates.

Certificati di infrastruttura a chiave pubblica di WindowsWindows public key infrastructure certificates

Il secondo tipo di certificato è un certificato generato da PKI di Windows.The second type of certificate is a Windows PKI-generated certificate. Un'infrastruttura PKI è un sistema di certificati digitali, autorità di certificazione e autorità di registrazione che verificano e autenticano la validità di ogni parte coinvolta in una transazione elettronica utilizzando la crittografia a chiave pubblica.A PKI is a system of digital certificates, certification authorities, and registration authorities (RAs) that verify and authenticate the validity of each party that's involved in an electronic transaction by using public key cryptography. Quando si implementa una PKI in un'organizzazione che utilizza Active Directory, è possibile fornire un'infrastruttura per la gestione del ciclo di vita dei certificati, il rinnovo, la gestione dell'attendibilità e la revoca.When you implement a PKI in an organization that uses Active Directory, you provide an infrastructure for certificate life-cycle management, renewal, trust management, and revocation. Tuttavia, è necessario un costo aggiuntivo per la distribuzione di server e infrastruttura per la creazione e la gestione dei certificati generati da PKI di Windows.However, there is some additional cost involved in deploying servers and infrastructure to create and manage Windows PKI-generated certificates.

I servizi certificati sono necessari per la distribuzione di un'infrastruttura a chiave pubblica di Windows e possono essere installati tramite Installazione applicazioni nel pannello di controllo.Certificate Services are required to deploy a Windows PKI and can be installed through Add Or Remove Programs in Control Panel. È possibile installare Servizi certificati su qualsiasi server nel dominio.You can install Certificate Services on any server in the domain.

Se si ottengono certificati da un'autorità di certificazione di Windows associata a un dominio, è possibile utilizzare l'autorità di certificazione per richiedere o firmare i certificati da emettere ai server o ai computer della rete.If you obtain certificates from a domain-joined Windows CA, you can use the CA to request or sign certificates to issue to your own servers or computers on your network. Ciò consente di utilizzare una PKI, simile all'utilizzo di un fornitore di certificati di terze parti ma meno costosa.This enables you to use a PKI that resembles a third-party certificate vendor, but is less expensive. Questi certificati PKI non possono essere distribuiti pubblicamente, in quanto possono essere altri tipi di certificati.These PKI certificates can't be deployed publicly, as other types of certificates can be. Tuttavia, quando un'autorità di certificazione PKI firma il certificato del richiedente utilizzando la chiave privata, il richiedente viene verificato.However, when a PKI CA signs the requestor's certificate by using the private key, the requestor is verified. La chiave pubblica di questa CA è parte del certificato.The public key of this CA is part of the certificate. Un server che ha questo certificato nell'archivio certificati radice attendibili può utilizzare la chiave pubblica per decrittografare il certificato del richiedente e autenticarlo.A server that has this certificate in the trusted root certificate store can use that public key to decrypt the requestor's certificate and authenticate the requestor.

I passaggi per la distribuzione di un certificato generato da PKI sono simili a quelli necessari per la distribuzione di un certificato autofirmato.The steps for deploying a PKI-generated certificate resemble those required for deploying a self-signed certificate. È comunque necessario installare una copia del certificato radice attendibile dall'infrastruttura PKI nell'archivio certificati radice attendibili dei computer o dispositivi mobili che si desidera sia in grado di stabilire una connessione SSL a Microsoft Exchange.You must still install a copy of the trusted root certificate from the PKI to the trusted root certificate store of the computers or mobile devices that you want to be able to establish an SSL connection to Microsoft Exchange.

Una PKI di Windows consente alle organizzazioni di pubblicare i propri certificati.A Windows PKI enables organizations to publish their own certificates. I client possono richiedere e ricevere certificati da una PKI di Windows nella rete interna.Clients can request and receive certificates from a Windows PKI on the internal network. L'infrastruttura PKI di Windows può rinnovare o revocare i certificati.The Windows PKI can renew or revoke certificates.

Certificati di terze parti attendibiliTrusted third-party certificates

I certificati di terze parti o commerciali sono certificati generati da un'autorità di certificazione di terze parti o commerciale e quindi acquistati per l'utilizzo nei server di rete.Third-party or commercial certificates are certificates that are generated by a third-party or commercial CA and then purchased for you to use on your network servers. Un problema relativo ai certificati autofirmati e basati sull'infrastruttura PKI è che, poiché il certificato non è considerato automaticamente attendibile dal computer client o dal dispositivo mobile, è necessario assicurarsi di importare il certificato nell'archivio certificati radice attendibile sul client computer e dispositivi.One problem with self-signed and PKI-based certificates is that, because the certificate is not automatically trusted by the client computer or mobile device, you must make sure that you import the certificate into the trusted root certificate store on client computers and devices. I certificati di terze parti o commerciali non presentano questo problema.Third-party or commercial certificates do not have this problem. La maggior parte dei certificati CA commerciali sono già attendibili perché il certificato si trova già nell'archivio certificati radice attendibili.Most commercial CA certificates are already trusted because the certificate already resides in the trusted root certificate store. Poiché l'autorità emittente è attendibile, anche il certificato è attendibile.Because the issuer is trusted, the certificate is also trusted. L'utilizzo di certificati di terze parti semplifica notevolmente la distribuzione.Using third-party certificates greatly simplifies deployment.

Per le organizzazioni o le organizzazioni di grandi dimensioni che devono distribuire pubblicamente i certificati, la soluzione migliore consiste nell'utilizzare un certificato commerciale o di terze parti, anche se il certificato è associato a un costo.For larger organizations or organizations that must publicly deploy certificates, the best solution is to use a third-party or commercial certificate, even though there is a cost associated with the certificate. I certificati commerciali potrebbero non essere la soluzione migliore per le organizzazioni di piccole e medie dimensioni e potrebbe essere necessario utilizzare una delle altre opzioni di certificato disponibili.Commercial certificates may not be the best solution for small and medium-size organizations, and you might decide to use one of the other certificate options that are available.

Scelta di un tipo di certificatoChoosing a certificate type

Quando si sceglie il tipo di certificato da installare, è necessario prendere in considerazione diverse considerazioni.When you choose the type of certificate to install, there are several things to consider. Un certificato deve essere firmato per essere valido.A certificate must be signed to be valid. Può essere autofirmato o firmato da un'autorità di certificazione.It can be self-signed or signed by a CA. Un certificato autofirmato ha limitazioni.A self-signed certificate has limitations. Ad esempio, non tutti i dispositivi mobili consentono a un utente di installare un certificato digitale nell'archivio certificati radice attendibile.For example, not all mobile devices let a user install a digital certificate in the trusted root certificate store. La possibilità di installare i certificati in un dispositivo mobile dipende dal produttore del dispositivo mobile e dal provider di servizi per dispositivi mobili.The ability to install certificates on a mobile device depends on the mobile device manufacturer and the mobile service provider. Alcuni produttori e provider di servizi per dispositivi mobili disabilitano l'accesso all'archivio certificati radice attendibile.Some manufacturers and mobile service providers disable access to the trusted root certificate store. In questo caso, non è possibile installare un certificato autofirmato o un certificato proveniente da un'autorità di certificazione PKI di Windows nel dispositivo mobile.In this case, neither a self-signed certificate nor a certificate from a Windows PKI CA can be installed on the mobile device.

Certificati di Exchange predefinitiDefault Exchange certificates

Per impostazione predefinita, Exchange installa un certificato autofirmato sul server Accesso client e sul server cassette postali in modo che tutte le comunicazioni di rete siano crittografate.By default, Exchange installs a self-signed certificate on both the Client Access server and the Mailbox server so that all network communication is encrypted. La crittografia di tutte le comunicazioni di rete richiede che ogni server di Exchange disponga di un certificato X. 509 che può essere utilizzato.Encrypting all network communication requires that every Exchange server have an X.509 certificate that it can use. È necessario sostituire il certificato autofirmato sul server Accesso client con quello che viene automaticamente considerato attendibile dai client.You should replace this self-signed certificate on the Client Access server with one that is automatically trusted by your clients.

"Autofirmato" indica che il certificato è stato creato e firmato solo dal server Exchange stesso."Self-signed" means that a certificate was created and signed only by the Exchange server itself. Poiché non è stato creato e firmato da un'autorità di certificazione generalmente attendibile, il certificato autofirmato predefinito non verrà considerato attendibile da alcun software, ad eccezione di altri server Exchange nella stessa organizzazione.Because it wasn't created and signed by a generally trusted CA, the default self-signed certificate won't be trusted by any software except other Exchange servers in the same organization. Il certificato predefinito è abilitato per tutti i servizi di Exchange.The default certificate is enabled for all Exchange services. Ha un nome alternativo soggetto (SAN) che corrisponde al nome server del server Exchange in cui è installato.It has a subject alternative name (SAN) that corresponds to the server name of the Exchange server that it's installed on. È inoltre presente un elenco di SANs che includono sia il nome del server che il nome di dominio completo (FQDN) del server.It also has a list of SANs that include both the server name and the fully qualified domain name (FQDN) of the server.

Anche se altri server Exchange nell'organizzazione di Exchange si fidano automaticamente di questo certificato, i client come i browser Web, i client Outlook, i telefoni cellulari e altri client di posta elettronica oltre ai server di posta elettronica esterni non si confidano automaticamente.Although other Exchange servers in your Exchange organization trust this certificate automatically, clients like web browsers, Outlook clients, mobile phones, and other email clients in addition to external email servers won't automatically trust it. Pertanto, prendere in considerazione la possibilità di sostituire il certificato con un certificato di terze parti attendibile sui server Accesso client di Exchange.Therefore, consider replacing this certificate with a trusted third-party certificate on your Exchange Client Access servers. Se si dispone di un'infrastruttura PKI interna e tutti i client considerano attendibile quell'entità, è anche possibile utilizzare i certificati che si rilasciano.If you have your own internal PKI, and all your clients trust that entity, you can also use certificates that you issue yourself.

Requisiti dei certificati per servizioCertificate requirements by service

I certificati vengono utilizzati per diverse operazioni in Exchange.Certificates are used for several things in Exchange. La maggior parte dei clienti utilizza i certificati anche su più server Exchange.Most customers also use certificates on more than one Exchange server. In generale, il numero di certificati di cui si dispone, la gestione dei certificati diventa più facile.In general, the fewer certificates you have, the easier certificate management becomes.

IISIIS

Tutti i servizi di Exchange seguenti utilizzano lo stesso certificato su un determinato server Accesso client di Exchange:All the following Exchange services use the same certificate on a given Exchange Client Access server:

  • Outlook Web AppOutlook Web App

  • Interfaccia di amministrazione di Exchange (EAC)Exchange admin center (EAC)

  • Servizi Web ExchangeExchange Web Services

  • Exchange ActiveSyncExchange ActiveSync

  • Outlook via InternetOutlook Anywhere

  • Individuazione automaticaAutodiscover

  • Distribuzione della Rubrica di OutlookOutlook Address Book distribution

Poiché solo un singolo certificato può essere associato a un sito Web e poiché tutti questi servizi sono offerti in un unico sito Web per impostazione predefinita, tutti i nomi utilizzati dai client di questi servizi devono essere inclusi nel certificato (o rientrano in un nome con caratteri jolly nel certificato ).Because only a single certificate can be associated with a website, and because all these services are offered under a single website by default, all the names that clients of these services use must be in the certificate (or fall under a wildcard name in the certificate).

POP/IMAPPOP/IMAP

I certificati utilizzati per POP o IMAP possono essere specificati separatamente dal certificato utilizzato per IIS.Certificates that are used for POP or IMAP can be specified separately from the certificate that's used for IIS. Tuttavia, per semplificare l'amministrazione, è consigliabile includere il nome del servizio POP o IMAP nel certificato IIS e utilizzare un solo certificato per tutti questi servizi.However, to simplify administration, we recommend that you include the POP or IMAP service name in your IIS certificate and use a single certificate for all these services.

SMTPSMTP

È possibile utilizzare un certificato separato per ogni connettore di ricezione configurato.A separate certificate can be used for each receive connector that you configure. Il certificato deve includere il nome utilizzato dai client SMTP (o altri server SMTP) per raggiungere il connettore.The certificate must include the name that SMTP clients (or other SMTP servers) use to reach that connector. Per semplificare la gestione dei certificati, è consigliabile includere tutti i nomi per i quali è necessario supportare il traffico TLS in un singolo certificato.To simplify certificate management, consider including all names for which you have to support TLS traffic in a single certificate.

Certificati digitali e proxyDigital certificates and proxying

L'inoltro è il metodo in base al quale un server invia le connessioni client a un altro server.Proxying is the method by which one server sends client connections to another server. Nel caso di Exchange 2013, questo accade quando il server Accesso client inoltra una richiesta client in ingresso al server cassette postali che contiene la copia attiva della cassetta postale del client.In the case of Exchange 2013, this happens when the Client Access server proxies an incoming client request to the Mailbox server that contains the active copy of the client's mailbox.

Quando le richieste proxy dei server Accesso client, SSL viene utilizzato per la crittografia, ma non per l'autenticazione.When Client Access servers proxy requests, SSL is used for encryption but not for authentication. Il certificato autofirmato nel server cassette postali crittografa il traffico tra il server Accesso client e il server cassette postali.The self-signed certificate on the Mailbox server encrypts the traffic between the Client Access server and the Mailbox server.

Proxy inversi e certificatiReverse proxies and certificates

Molte distribuzioni di Exchange utilizzano proxy inversi per pubblicare i servizi di Exchange su Internet.Many Exchange deployments use reverse proxies to publish Exchange services on the Internet. I proxy inversi possono essere configurati per terminare la crittografia SSL, esaminare il traffico in chiaro sul server e quindi aprire un nuovo canale di crittografia SSL dai server proxy inversi ai server di Exchange dietro di essi.Reverse proxies can be configured to terminate SSL encryption, examine the traffic in the clear on the server, and then open a new SSL encryption channel from the reverse proxy servers to the Exchange servers behind them. Questo è noto come bridging SSL.This is known as SSL bridging. Un altro modo per configurare i server proxy inversi è consentire alle connessioni SSL di passare direttamente ai server di Exchange dietro i server proxy inversi.Another way to configure the reverse proxy servers is to let the SSL connections pass straight through to the Exchange servers behind the reverse proxy servers. Con il modello di distribuzione, i client su Internet si connettono al server proxy inverso utilizzando un nome host per l'accesso di Exchange, ad esempio mail.contoso.com.With either deployment model, the clients on the Internet connect to the reverse proxy server using a host name for Exchange access, such as mail.contoso.com. Il server proxy inverso si connette a Exchange utilizzando un nome host diverso, ad esempio il nome del computer del server Accesso client di Exchange.Then the reverse proxy server connects to Exchange using a different host name, such as the machine name of the Exchange Client Access server. Non è necessario includere il nome del computer del server Accesso client di Exchange nel certificato perché i server proxy inversi più comuni sono in grado di corrispondere al nome host originale utilizzato dal client per il nome host interno del server Accesso client di Exchange. .You don't have to include the machine name of the Exchange Client Access server on your certificate because most common reverse proxy servers are able to match the original host name that's used by the client to the internal host name of the Exchange Client Access server.

SSL e Split DNSSSL and split DNS

Split DNS è una tecnologia che consente di configurare diversi indirizzi IP per lo stesso nome host, a seconda di dove proviene la richiesta DNS di origine.Split DNS is a technology that allows you to configure different IP addresses for the same host name, depending on where the originating DNS request came from. È anche noto come "split-horizon DNS", "split-view DNS" o "split-brain DNS".This is also known as split-horizon DNS, split-view DNS, or split-brain DNS. DNS diviso consente di ridurre il numero di nomi host che è necessario gestire per Exchange consentendo ai client di connettersi a Exchange tramite lo stesso nome host sia da Internet che dalla rete intranet.Split DNS can help you reduce the number of host names that you must manage for Exchange by allowing your clients to connect to Exchange through the same host name whether they're connecting from the Internet or from the intranet. Il DNS suddiviso consente alle richieste che provengono dalla rete Intranet di ricevere un indirizzo IP diverso rispetto alle richieste provenienti da Internet.Split DNS allows requests that originate from the intranet to receive a different IP address than requests that originate from the Internet.

Il DNS suddiviso in genere non è necessario in una distribuzione di Exchange di piccole dimensioni perché gli utenti possono accedere allo stesso endpoint DNS se provengono dalla rete Intranet o da Internet.Split DNS is usually unnecessary in a small Exchange deployment because users can access the same DNS endpoint whether they're coming from the intranet or the Internet. Tuttavia, con distribuzioni di dimensioni maggiori, questa configurazione si traducono in un carico troppo elevato per il server proxy Internet in uscita e il server proxy inverso.However, with larger deployments, this configuration will result in too high of a load on your outgoing Internet proxy server and your reverse proxy server. Per le distribuzioni di grandi dimensioni, configurare il DNS suddiviso in modo che, ad esempio, gli utenti esterni accedano mail.contoso.com e gli utenti interni accedano a internal.contoso.com.For larger deployments, configure split DNS so that, for example, external users access mail.contoso.com and internal users access internal.contoso.com. L'utilizzo di Split DNS per questa configurazione garantisce che gli utenti non debbano ricordarsi di utilizzare nomi host diversi a seconda della posizione in cui si trovano.Using split DNS for this configuration ensures that your users won't have to remember to use different host names depending on where they're located.

Windows PowerShell remotoRemote Windows PowerShell

L'autenticazione Kerberos e la crittografia Kerberos vengono utilizzate per l'accesso a Windows PowerShell remoto, sia dall'interfaccia di amministrazione di Exchange (EAC) sia da Exchange Management Shell.Kerberos authentication and Kerberos encryption are used for remote Windows PowerShell access, from both the Exchange admin center (EAC) and the Exchange Management Shell. Pertanto, non è necessario configurare i certificati SSL per l'utilizzo con Windows PowerShell remoto.Therefore, you won't have to configure your SSL certificates for use with remote Windows PowerShell.

Procedure consigliate per i certificati digitaliDigital certificates best practices

Sebbene la configurazione dei certificati digitali dell'organizzazione varia in base alle esigenze specifiche, sono state illustrate procedure consigliate per consentire di scegliere la configurazione dei certificati digitali migliore.Although the configuration of your organization's digital certificates will vary based on its specific needs, information about best practices has been included to help you choose the digital certificate configuration that's right for you.

Procedura consigliata: utilizzare un certificato di terze parti attendibileBest practice: Use a trusted third-party certificate

Per evitare che i client ricevano errori relativi ai certificati non attendibili, il certificato utilizzato dal server Exchange deve essere emesso da un utente attendibile per il client.To prevent clients from receiving errors regarding untrusted certificates, the certificate that's used by your Exchange server must be issued by someone that the client trusts. Anche se la maggior parte dei client può essere configurata in modo da considerare attendibile qualsiasi certificato o emittente di certificati, è più semplice utilizzare un certificato di terze parti attendibile sul server Exchange.Although most clients can be configured to trust any certificate or certificate issuer, it's simpler to use a trusted third-party certificate on your Exchange server. Questo perché la maggior parte dei client già considera attendibili i certificati radice.This is because most clients already trust their root certificates. Sono disponibili diverse autorità di certificazione di terze parti che offrono certificati configurati appositamente per Exchange.There are several third-party certificate issuers that offer certificates configured specifically for Exchange. È possibile utilizzare l'interfaccia di amministrazione di Exchange per generare richieste di certificati che funzionano con la maggior parte degli emittenti di certificati.You can use the EAC to generate certificate requests that work with most certificate issuers.

Come selezionare un'autorità di certificazioneHow to select a certification authority

Un'autorità di certificazione (CA) è una società che rilascia e garantisce la validità dei certificati.A certification authority (CA) is a company that issues and ensures the validity of certificates. Il software client (ad esempio, browser come Microsoft Internet Explorer o sistemi operativi come Windows o Mac OS) ha un elenco integrato di CA di cui si fidano.Client software (for example, browsers such as Microsoft Internet Explorer, or operating systems such as Windows or Mac OS) have a built-in list of CAs they trust. In genere, questo elenco può essere configurato per aggiungere e rimuovere le CA, ma tale configurazione è spesso ingombrante.This list can usually be configured to add and remove CAs, but that configuration is often cumbersome. Utilizzare i seguenti criteri quando si seleziona una CA per acquistare i certificati da:Use the following criteria when you select a CA to buy your certificates from:

  • Verificare che l'autorità di certificazione sia considerata attendibile dal software client (sistemi operativi, browser e telefoni cellulari) che si connetterà ai server Exchange.Ensure the CA is trusted by the client software (operating systems, browsers, and mobile phones) that will connect to your Exchange servers.

  • Scegliere una CA che indica che supporta "certificati per comunicazioni unificate" per l'utilizzo con Exchange Server.Choose a CA that says it supports "Unified Communications certificates" for use with Exchange server.

  • Verificare che l'autorità di certificazione supporti i tipi di certificati che verranno utilizzati.Make sure that the CA supports the kinds of certificates that you'll use. Considerare l'utilizzo dei certificati del nome alternativo soggetto (SAN).Consider using subject alternative name (SAN) certificates. Non tutte le CA supportano i certificati SAN e altre autorità di certificazione non supportano il numero di nomi host necessari.Not all CAs support SAN certificates, and other CAs don't support as many host names as you might need.

  • Assicurarsi che la licenza acquistata per i certificati consenta di inserire il certificato per il numero di server che si intende utilizzare.Make sure that the license you buy for the certificates allows you to put the certificate on the number of servers that you intend to use. Alcune autorità di certificazione consentono di inserire un certificato in un solo server.Some CAs only allow you to put a certificate on one server.

  • Confrontare i prezzi dei certificati tra le autorità di certificazione.Compare certificate prices between CAs.

Procedura consigliata: utilizzare i certificati SANBest practice: Use SAN certificates

A seconda del modo in cui vengono configurati i nomi dei servizi nella distribuzione di Exchange, è possibile che il server di Exchange richieda un certificato che rappresenti più nomi di dominio.Depending on how you configure the service names in your Exchange deployment, your Exchange server may require a certificate that can represent multiple domain names. Anche se un certificato con caratteri jolly, ad *esempio uno per. contoso.com, è in grado di risolvere il problema, molti clienti sono a disagio con le implicazioni relative alla sicurezza per la gestione di un certificato che può essere utilizzato per qualsiasi sottodominio.Although a wildcard certificate, such as one for *.contoso.com, can resolve this problem, many customers are uncomfortable with the security implications of maintaining a certificate that can be used for any subdomain. Un'alternativa più sicura consiste nell'elencare tutti i domini richiesti come SANs nel certificato.A more secure alternative is to list each of the required domains as SANs in the certificate. Per impostazione predefinita, questo approccio viene utilizzato quando le richieste di certificati vengono generate da Exchange.By default, this approach is used when certificate requests are generated by Exchange.

Procedura consigliata: utilizzare la configurazione guidata certificati di Exchange per richiedere i certificatiBest practice: Use the Exchange certificate wizard to request certificates

In Exchange sono disponibili numerosi servizi che utilizzano i certificati.There are many services in Exchange that use certificates. Un errore comune durante la richiesta di certificati consiste nell'eseguire la richiesta senza includere il set di nomi di servizio corretto.A common error when requesting certificates is to make the request without including the correct set of service names. La procedura guidata certificate nell'interfaccia di amministrazione di Exchange consentirà di includere l'elenco corretto dei nomi nella richiesta di certificato.The certificate wizard in the Exchange admin center will help you include the correct list of names in the certificate request. La procedura guidata consente di specificare quali servizi il certificato deve utilizzare e, in base ai servizi selezionati, include i nomi che è necessario includere nel certificato in modo che possa essere utilizzato con tali servizi.The wizard lets you specify which services the certificate has to work with and, based on the services selected, includes the names that you must have in the certificate so that it can be used with those services. Eseguire la configurazione guidata certificati dopo aver distribuito il set iniziale di server Exchange 2013 e aver determinato i nomi host da utilizzare per i diversi servizi per la distribuzione.Run the certificate wizard when you've deployed your initial set of Exchange 2013 servers and determined which host names to use for the different services for your deployment. Idealmente, è necessario eseguire la procedura guidata di certificazione una volta per ogni sito di Active Directory in cui si distribuisce Exchange.Ideally you'll only have to run the certificate wizard one time for each Active Directory site where you deploy Exchange.

Invece di preoccuparsi di dimenticare un nome host nell'elenco SAN del certificato acquistato, è possibile utilizzare un'autorità di certificazione che offre, gratuitamente, un periodo di tolleranza durante il quale è possibile restituire un certificato e richiedere lo stesso nuovo certificato con alcuni nomi host aggiuntivi.Instead of worrying about forgetting a host name in the SAN list of the certificate that you purchase, you can use a certification authority that offers, at no charge, a grace period during which you can return a certificate and request the same new certificate with a few additional host names.

Procedura consigliata: utilizzare il minor numero possibile di nomi hostBest practice: Use as few host names as possible

Oltre a utilizzare il minor numero possibile di certificati, è consigliabile utilizzare il minor numero possibile di nomi host.In addition to using as few certificates as possible, you should also use as few host names as possible. Questa procedura consente di risparmiare denaro.This practice can save money. Molti provider di certificati applicano una tariffa in base al numero di nomi host che si aggiungono al certificato.Many certificate providers charge a fee based on the number of host names you add to your certificate.

Il passaggio più importante che è possibile eseguire per ridurre il numero di nomi host che è necessario avere e, di conseguenza, la complessità della gestione dei certificati, consiste nel non includere i singoli nomi host dei server nei nomi alternativi del soggetto del certificato.The most important step you can take to reduce the number of host names that you must have and, therefore, the complexity of your certificate management, is not to include individual server host names in your certificate's subject alternative names.

I nomi host che è necessario includere nei certificati di Exchange sono i nomi host utilizzati dalle applicazioni client per la connessione a Exchange.The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange. Di seguito è riportato un elenco di nomi host tipici che sarebbero necessari per una società denominata Contoso:The following is a list of typical host names that would be required for a company named Contoso:

  • Mail.contoso.com: questo nome host copre la maggior parte delle connessioni a Exchange, tra cui Microsoft Outlook, Outlook Web App, Outlook via Internet, la Rubrica offline, i servizi Web di Exchange, POP3, IMAP4, SMTP, il pannello di controllo di Exchange e ActiveSync.Mail.contoso.com: This host name covers most connections to Exchange, including Microsoft Outlook, Outlook Web App, Outlook Anywhere, the Offline Address Book, Exchange Web Services, POP3, IMAP4, SMTP, Exchange Control Panel, and ActiveSync.

  • Autodiscover.contoso.com: questo nome host viene utilizzato dai client che supportano l'individuazione automatica, tra cui Microsoft Office Outlook 2007 e versioni successive, Exchange ActiveSync e i client di servizi Web Exchange.Autodiscover.contoso.com: This host name is used by clients that support Autodiscover, including Microsoft Office Outlook 2007 and later versions, Exchange ActiveSync, and Exchange Web Services clients.

  • Legacy.contoso.com: questo nome host è obbligatorio in uno scenario di coesistenza con Exchange 2007 ed Exchange 2013.Legacy.contoso.com: This host name is required in a coexistence scenario with Exchange 2007 and Exchange 2013. Se si dispone di client con cassette postali su Exchange 2007 e Exchange 2013, la configurazione di un nome host legacy impedisce agli utenti di dover imparare un secondo URL durante il processo di aggiornamento.If you'll have clients with mailboxes on Exchange 2007 and Exchange 2013, configuring a legacy host name prevents your users from having to learn a second URL during the upgrade process.

Informazioni sui certificati con caratteri jollyUnderstanding wildcard certificates

Un certificato con caratteri jolly è stato creato per supportare un dominio e più sottodomini.A wildcard certificate is designed to support a domain and multiple subdomains. Ad esempio, la configurazione di un certificato *con caratteri jolly per. contoso.com restituisce un certificato che funzionerà per mail.contoso.com, web.contoso.com e autodiscover.contoso.com.For example, configuring a wildcard certificate for *.contoso.com results in a certificate that will work for mail.contoso.com, web.contoso.com, and autodiscover.contoso.com.