Pianificare i certificati SSL di terze parti per Microsoft 365Plan for third-party SSL certificates for Microsoft 365

Questo articolo può essere applicato sia a Microsoft 365 Enterprise che a Office 365 Enterprise.This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

Per crittografare le comunicazioni tra i client e l'ambiente Microsoft 365, è necessario che i certificati SSL (Secure Socket Layer) di terze parti siano installati nei server dell'infrastruttura.To encrypt communications between your clients and the Microsoft 365 environment, third-party Secure Socket Layer (SSL) certificates must be installed on your infrastructure servers.

Questo articolo fa parte della pianificazione della rete e dell'ottimizzazione delle prestazioni per Microsoft 365.This article is part of Network planning and performance tuning for Microsoft 365.

I certificati sono necessari per i componenti di Microsoft 365 seguenti:Certificates are required for the following Microsoft 365 components:

  • Exchange in localeExchange on-premises

  • Single Sign-on (SSO) (per i server federativi Active Directory Federation Services (AD FS) e per i proxy server federativi ADFS)Single sign-on (SSO) (for both the Active Directory Federation Services (AD FS) federation servers and AD FS federation server proxies)

  • Servizi di Exchange Online, ad esempio individuazione automatica, Outlook via Internet e servizi Web ExchangeExchange Online services, such as Autodiscover, Outlook Anywhere, and Exchange Web Services

  • Server ibrido ExchangeExchange hybrid server

Certificati per Exchange in localeCertificates for Exchange On-Premises

Per una panoramica sull'utilizzo dei certificati digitali per rendere la comunicazione tra l'organizzazione di Exchange locale ed Exchange Online Secure, vedere l'articolo di TechNet informazioni sui requisiti dei certificati.For an overview about how to use digital certificates to make the communication between the on-premises Exchange organization and Exchange Online secure, see the TechNet article Understanding Certificate Requirements.

Certificati per Single Sign-onCertificates for Single Sign-On

Per fornire agli utenti un'esperienza di Single Sign-on semplificata che includa una sicurezza robusta, i certificati riportati nella tabella seguente sono necessari nei server federativi o nei proxy server federativi.To provide your users with a simplified single sign-on experience that includes robust security, the certificates shown in the following table are required on either the federation servers or the federation server proxies. La tabella seguente si concentra su Active Directory Federation Services (AD FS), inoltre sono presenti ulteriori informazioni sull' utilizzo di provider di identità di terze parti.The table below focuses on Active Directory Federation Services (AD FS), we also have more information on using third-party identity providers.

Tipo di certificatoCertificate Type DescrizioneDescription Cosa è necessario sapere prima di distribuireWhat you need to know before you deploy
Certificato SSL (denominato anche certificato di autenticazione server)SSL certificate (also called a server authentication certificate)
Si tratta di un certificato SSL standard utilizzato per rendere sicure le comunicazioni tra i server federativi, i client e i computer proxy server federativi.This is a standard SSL certificate that is used to make communications between federation servers, clients, and federation server proxy computers secure.
AD FS è necessario un certificato SSL.AD FS requires an SSL certificate. Per impostazione predefinita, AD FS utilizza il certificato SSL configurato per il sito Web predefinito in Internet Information Services (IIS).By default, AD FS uses the SSL certificate that is configured for the default website in Internet Information Services (IIS).
Il nome del soggetto del certificato SSL viene utilizzato per determinare il nome del servizio federativo (FS) per ogni istanza di AD FS che viene distribuita.The subject name of this SSL certificate is used to determine the Federation Service (FS) name for each instance of AD FS that you deploy. Valutare la possibilità di scegliere un nome del soggetto per qualsiasi nuova autorità di certificazione (CA): i certificati emessi che rappresentano al meglio il nome della società o dell'organizzazione a Microsoft 365.Consider choosing a subject name for any new certification authority (CA)-issued certificates that best represents the name of your company or organization to Microsoft 365. Questo nome deve essere instradabile su Internet.This name must be Internet-routable.
Attenzione: AD FS è necessario che il certificato SSL non disponga del nome del soggetto punto (short-name).Caution: AD FS requires that this SSL certificate have no dotless (short-name) subject name.
Raccomandazione: Poiché questo certificato deve essere considerato attendibile dai client di AD FS, è consigliabile utilizzare un certificato SSL emesso da un'autorità di certificazione pubblica (di terze parti) o da un'autorità di certificazione subordinata a una radice pubblicamente attendibile. ad esempio, VeriSign o Thawte.Recommendation: Because this certificate must be trusted by clients of AD FS, we recommend that you use an SSL certificate issued by a public (third-party) CA or by a CA that is subordinate to a publicly trusted root; for example, VeriSign or Thawte.
Certificato per la firma di tokenToken-signing certificate
Si tratta di un certificato X. 509 standard utilizzato per la firma sicura di tutti i token che il server federativo rilascia e che Microsoft 365 accetta e convalida.This is a standard X.509 certificate that's used for securely signing all tokens that the federation server issues and that Microsoft 365 accepts and validates.
Il certificato per la firma di token deve contenere una chiave privata che viene concatenata a una radice attendibile nel FS.The token-signing certificate must contain a private key that chains to a trusted root in the FS. Per impostazione predefinita, AD FS crea un certificato autofirmato.By default, AD FS creates a self-signed certificate. Tuttavia, a seconda delle esigenze dell'organizzazione, è possibile modificare questo certificato in un certificato emesso da una CA utilizzando lo snap-in di gestione AD FS.However, depending on the needs of your organization, you can change this certificate to a CA-issued certificate by using the AD FS management snap-in.
Attenzione: Il certificato per la firma di token è fondamentale per la stabilità del FS.Caution: The token-signing certificate is critical to the stability of the FS. Se il certificato è stato modificato, è necessario che Microsoft 365 venga informato della modifica.If the certificate is changed, Microsoft 365 must be notified of the change. Se la notifica non viene fornita, gli utenti non potranno accedere alle offerte di servizi di Microsoft 365.If notification is not provided, users can't sign in to their Microsoft 365 service offerings.
Raccomandazione: È consigliabile utilizzare il certificato per la firma di token autofirmato generato da AD FS.Recommendation: We recommend that you use the self-signed token-signing certificate that is generated by AD FS. In questo modo, il certificato viene gestito automaticamente per l'utente.By doing so, it manages this certificate for you by default. Ad esempio, quando il certificato sta per scadere, AD FS genererà un nuovo certificato autofirmato.For example, when this certificate is about to expire, AD FS will generate a new self-signed certificate.

I proxy server federativi richiedono il certificato descritto nella tabella seguente.Federation server proxies require the certificate that is described in the following table.

Tipo di certificatoCertificate Type DescrizioneDescription Cosa è necessario sapere prima di distribuireWhat you need to know before you deploy
Certificato SSLSSL certificate
Si tratta di un certificato SSL standard che viene utilizzato per proteggere le comunicazioni tra un server federativo, un proxy server federativo e i computer client Internet.This is a standard SSL certificate that is used for securing communications between a federation server, a federation server proxy, and Internet client computers.
Questo certificato SSL deve essere associato al sito Web predefinito in IIS prima di poter eseguire correttamente la configurazione guidata del proxy server federativo di ADFS.This SSL certificate must be bound to the default website in IIS before you can successfully run the AD FS Federation Server Proxy Configuration wizard.
Questo certificato deve avere lo stesso nome del soggetto del certificato SSL configurato sul server federativo nella rete aziendale.This certificate must have the same subject name as the SSL certificate that was configured on the federation server in the corporate network.
Raccomandazione: È consigliabile utilizzare lo stesso certificato di autenticazione del server configurato nel server federativo a cui si connette il proxy server federativo.Recommendation: We recommend that you use the same server authentication certificate that is configured on the federation server that this federation server proxy connects to.

Certificati per l'individuazione automatica, Outlook via Internet e sincronizzazione di Active DirectoryCertificates for Autodiscover, Outlook Anywhere, and Active Directory Synchronization

I server Accesso client di Exchange 2013, Exchange 2010, Exchange 2007 ed Exchange 2003 (CASs) devono avere un certificato SSL di terze parti per le connessioni sicure per l'individuazione automatica, Outlook via Internet e servizi di sincronizzazione di Active Directory.Your external-facing Exchange 2013, Exchange 2010, Exchange 2007, and Exchange 2003 Client Access servers (CASs) require a third-party SSL certificate for secure connections for Autodiscover, Outlook Anywhere, and Active Directory synchronization services. È possibile che tale certificato sia già installato nell'ambiente locale.You may already have this certificate installed in your on-premises environment.

Certificato per un server ibrido di ExchangeCertificate for an Exchange Hybrid Server

Il server o i server ibridi di Exchange con accesso esterno richiedono un certificato SSL di terze parti per garantire la connettività sicura con il servizio Exchange Online.Your external-facing Exchange hybrid server or servers require a third-party SSL certificate for secure connectivity with the Exchange Online service. È necessario ottenere questo certificato dal provider di terze parti SSL.You need to get this certificate from your third-party SSL provider.

Catene di certificati Microsoft 365Microsoft 365 Certificate Chains

In questo articolo vengono illustrati i certificati che potrebbe essere necessario installare nell'infrastruttura.This article describes the certificates you may need to install on your infrastructure. Per ulteriori informazioni sui certificati installati nei server Microsoft 365, vedere catene di certificati di microsoft 365.For more information on the certificates installed on our Microsoft 365 servers, see Microsoft 365 Certificate Chains.

Vedere ancheSee also

Panoramica di Microsoft 365 EnterpriseMicrosoft 365 Enterprise overview