Требования к сертификатам для гибридных развертыванийCertificate requirements for hybrid deployments

В гибридном развертывании цифровые сертификаты являются важной частью обеспечение безопасного обмена данными между локальной организации Exchange и Office 365. Сертификаты позволяют каждой организации Exchange доверие удостоверение другой. Сертификаты также обеспечивают соединен, что каждой организации Exchange для исходного кода.In a hybrid deployment, digital certificates are an important part of securing the communication between the on-premises Exchange organization and Office 365. Certificates enable each Exchange organization to trust the identity of another. Certificates also help to ensure that each Exchange organization is communicating to the right source.

В гибридном развертывании сертификаты используются многими службами.In a hybrid deployment, many services make use of certificates:

  • Подключения azure Active Directory (Azure AD подключение) с помощью служб федерации Active Directory (AD FS) Если требуется выполнить развертывание Azure AD подключение со службами AD FS в процессе гибридного развертывания, сертификат, выданный доверенный сертификат стороннего центра сертификации (ЦС) используется для установления отношения доверия между веб-клиентов и прокси-серверы федерации для подписи маркеров безопасности и для расшифровки маркеров безопасности.Azure Active Directory Connect (Azure AD Connect) with Active Directory Federation Services (AD FS) If you choose to deploy Azure AD Connect with AD FS as part of your hybrid deployment, a certificate issued by a trusted third-party certificate authority (CA) is used to establish a trust between web clients and federation server proxies, to sign security tokens, and to decrypt security tokens.

    Дополнительные сертификаты.Learn more at Certificates.

  • Федерация Exchange Самозаверяющий сертификат используется для создания безопасного подключения между локальными серверами Exchange и системой проверки подлинности Azure Active Directory.Exchange federation A self-signed certificate is used to create a secure connection between the on-premises Exchange servers and the Azure Active Directory authentication system.

    Дополнительные Общие сведения о федеративного делегирования.Learn more at Understanding Federated Delegation.

  • Службы Exchange Сертификатам, выданным доверенным центром сертификации сторонних производителей используются для безопасного обмена данными Secure Sockets Layer (SSL) между клиентами и серверами Exchange. Службы, что использование сертификатов включают Outlook в Интернете, Exchange ActiveSync, мобильный Outlook и обеспечить безопасность сообщения транспорта.Exchange services Certificates issued by a trusted third-party CA are used to help secure Secure Sockets Layer (SSL) communication between Exchange servers and clients. Services that use certificates include Outlook on the web, Exchange ActiveSync, Outlook Anywhere, and secure message transport.

  • Серверы Exchange существующих Существующие серверы Exchange может сделать следуйте сертификатов для безопасной Outlook на связь web, сообщения транспорта и т. д. В зависимости от того, как использовать сертификаты на серверах Exchange можно использовать самозаверяющих сертификатов или сертификатам, выданным доверенным центром сертификации сторонних производителей.Existing Exchange servers Your existing Exchange servers may make use of certificates to help secure Outlook on the web communication, message transport, and so on. Depending on how you use certificates on your Exchange servers, you might use self-signed certificates or certificates issued by a trusted third-party CA.

Требования к сертификатам для гибридного развертыванияCertificate requirements for a hybrid deployment

При настройке гибридного развертывания, необходимо использовать и настройка сертификатов, которые приобрели у доверенного центра сертификации сторонних производителей. Сертификат, используемый для гибридной безопасной транспортировки почты необходимо установить на всех локальных почтовых ящиков (Exchange 2016 и более поздней версии) и почтовых ящиков и клиентского доступа (Exchange 2013 и старые) серверов.When configuring a hybrid deployment, you must use and configure certificates that you have purchased from a trusted third-party CA. The certificate used for hybrid secure mail transport must be installed on all on-premises Mailbox (Exchange 2016 and newer), and Mailbox and Client Access (Exchange 2013 and older) servers.

Важно!

При настройке гибридного развертывания в организации, в которой серверы Exchange развернуты в нескольких лесах Active Directory, необходимо использовать отдельный сертификат, выданный сторонним центром сертификации, для каждого леса Active Directory.If you're configuring a hybrid deployment in an organization that has Exchange servers deployed in multiple Active Directory forests, you must use a separate third-party CA certificate for each Active Directory forest.

Примечание

Если в локальной организации развернуты пограничные транспортные серверы Exchange, этот сертификат также должен быть установлен на всех таких серверах. Каждый транспортный сервер должен использовать сертификат, выданный одним центром сертификации одному субъекту, для правильного функционирования безопасной гибридной почты.When Exchange Edge Transport servers are deployed in an on-premises organization, this certificate must also be installed on all Edge Transport servers. Each transport server must use a certificate that shares the same issuing CA and the same subject for hybrid secure mail to function correctly.

Несколько служб, таких как федерации AD FS, Exchange, служб и Exchange, каждый требуют сертификаты. В зависимости от вашей организации можно выполнить одно из следующих:Multiple services, such as AD FS, Exchange federation, services, and Exchange, each require certificates. Depending on your organization, you may decide to do one of the following:

  • Использование стороннего сертификата, применяемого всеми службами на нескольких серверах.Use a third-party certificate that's used by all services across multiple servers.

  • Использование стороннего сертификата для каждого сервера, который предоставляет службы.Use a third-party certificate for each server that provides services.

Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от вашей организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.Whether you choose to use the same certificate for all services or dedicate a certificate for each service depends on your organization and the service you're implementing. Here are some things to consider about each option:

  • Сторонний сертификат на нескольких серверах Может быть несколько более для получения сертификатов сторонних производителей, используемых службами на нескольких серверах, но они могут усложнить Продление сертификата и замены. Сложность в том, что при сертификат должен замены, необходимо заменить сертификат на каждом сервере, где установлены.Third-party certificate across multiple servers Third-party certificates that are used by services across multiple servers may be slightly cheaper to obtain, but they may complicate renewal and replacement. The complication occurs because, when a certificate needs replacement, you need to replace the certificate on every server where it's installed.

  • Сторонний сертификат для каждого сервера Использование выделенного сертификата для каждого сервера, что службы узлов позволяет настроить сертификат специально для служб на этом сервере. Если вам потребуется заменить сертификат или возобновить его, необходимо заменить его на сервере, где установлены службы. Не повлияет на других серверах.Third-party certificate for each server Using a dedicated certificate for each server that hosts services allows you to configure the certificate specifically for the services on that server. If you need to replace the certificate or renew it, you only need to replace it on the server where the services are installed. Other servers aren't impacted.

Рекомендуется использовать выделенный стороннего сертификата для любого необязательно сервера AD FS, другого сертификата для служб Exchange для гибридного развертывания, и при необходимости, другой сертификат на серверы Exchange для других необходимых служб или компонентов . По умолчанию в локальной доверия федерации, настроенного в рамках федеративного общего доступа в гибридном развертывании используется самозаверяющий сертификат. Если у вас есть определенные требования, нет необходимости использовать сторонний сертификат с доверия федерации, настроенного как часть гибридного развертывания.We recommend that you use a dedicated third-party certificate for any optional AD FS server, another certificate for the Exchange services for your hybrid deployment, and if needed, another certificate on your Exchange servers for other needed services or features. The on-premises federation trust configured as part of federated sharing in a hybrid deployment uses a self-signed certificate by default. Unless you have specific requirements, there's no need to use a third-party certificate with the federation trust configured as part of a hybrid deployment.

Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать максимальное требуемое количество имен FQDN. Сертификаты состоят из субъекта (или основного имени пользователя) и одного или нескольких дополнительных имен субъекта (SAN). Имя субъекта — это имя FQDN, которому выдан сертификат и которое должно использовать основной домен SMTP, к которому имеют доступ локальная организация и организация Exchange Online. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат дополнительно к имени субъекта. Если вам нужен сертификат, поддерживающий пять имен FQDN, приобретите сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.The services that are installed on a single server may require that you configure multiple fully qualified domain names (FQDNs) for the server. You should purchase a certificate that allows for the maximum required number of FQDNs. Certificates consist of the subject (also called a principal name) and one or more subject alternative names (SAN). The subject name is the FQDN that the certificate is issued to and should use the primary SMTP domain that is shared between the on-premises and Exchange Online organizations. SANs are additional FQDNs that can be added to a certificate in addition to the subject name. If you need a certificate to support five FQDNs, purchase a certificate that allows for five domains to be added to the certificate: one subject name and four SANs.

В следующей таблице приведено минимальное количество имен FQDN, которое должно быть включено в сертификаты, настроенные для использования в гибридном развертывании.The following table outlines the minimum suggested FQDNs that should be included on certificates configured for use in a hybrid deployment.

СлужбаService Предлагаемое имя FQDNSuggested FQDN ПолеField
Основной общий домен SMTPPrimary shared SMTP domain
contoso.comcontoso.com
Имя субъектаSubject name
АвтообнаружениеAutodiscover
Метка, которая соответствует внешнему Автообнаружению имени FQDN сервера клиентского доступа Exchange 2013, например, autodiscover.contoso.comLabel that matches the external Autodiscover FQDN of your Exchange 2013 Client Access server, such as autodiscover.contoso.com
Альтернативное имя субъектаSubject alternative name
ТранспортTransport
Метка, которая соответствует внешнему имени FQDN пограничных транспортных серверов, например, mail.contoso.comLabel that matches the external FQDN of your Edge Transport servers, such as edge.contoso.com
Альтернативное имя субъектаSubject alternative name