Поделиться через

Общие сведения о требованиях к сертификатам

  • Статья

 

Применимо к: Exchange Server 2010 SP2

Последнее изменение раздела: 2016-11-28

Цифровые сертификаты — это важная часть защиты связи между локальной организацией Exchange и облачной службой, другими локальными серверами Exchange и используемыми клиентами. Сертификаты позволяют одному объекту доверять удостоверению другого. Это гарантирует подключение клиента или сервера к правильному источнику.

В гибридном развертывании сертификаты используются несколькими службами.

  • Серверы федерации Active Directory (AD FS)   Сертификаты, выданные надежным сторонним центром сертификации (ЦС), используются для установления доверия между веб-клиентами и прокси-серверами федерации, для подписывания и расшифровки маркеров безопасности.

    Дополнительные сведения см. в разделе: Сертификаты

  • Федерация Exchange   Самозаверяющий сертификат используется для создания безопасного подключения между локальным гибридным сервером Exchange 2010 и Microsoft Federation Gateway.

    Дополнительные сведения см. в разделе: Общие сведения о федеративном делегировании

  • Службы Exchange   Самозаверяющие сертификаты или сертификаты, выданные доверенным сторонним центром сертификации, используются для защиты соединений по протоколу SSL между серверами Exchange и клиентами. К службам, использующим сертификаты, относятся Outlook Web App, Exchange ActiveSync, Outlook Anywhere и служба передачи сообщений.

  • Существующие серверы Exchange   Существующие серверы Exchange могут использовать сертификаты для обеспечения безопасности подключений Outlook Web App, транспортировки сообщений и т. д. В зависимости от способа применения сертификатов на серверах Exchange можно использовать самозаверяющие сертификаты или сертификаты, выданные доверенным сторонним центром сертификации.

    Дополнительные сведения см. в разделе Общие сведения о цифровых сертификатах и протоколе SSL

Требования к сертификатам для гибридного развертывания

При настройке гибридного развертывания необходимо настроить сертификаты. Вы должны приобрести сертификаты от надежного стороннего центра сертификации. Для многих служб, таких как AD FS, федерация Exchange 2010, службы Exchange 2010 и Exchange, требуются сертификаты. В зависимости от условий в данной организации может потребоваться один из следующих вариантов.

  • Использование стороннего сертификата, применяемого всеми службами на нескольких серверах

  • Использование стороннего сертификата для каждого сервера, который предоставляет службы

Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от вашей организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.

  • Сторонние сертификаты на нескольких серверах   Сторонние сертификаты, используемые службами на нескольких серверах, могут иметь несколько меньшую стоимость, но при этом усложнять продление и замену. Сложность заключается в том, что при необходимости замены сертификата такую операцию необходимо выполнить на каждом сервере, где он установлен.

  • Сторонний сертификат для каждого сервера   Использование выделенного сертификата для каждого сервера, на котором размещаются службы, позволяет настраивать сертификат отдельно для служб на этом сервере. Если необходимо заменить сертификат или продлить его, это потребуется сделать только на том сервере, на котором установлены службы. Другие серверы при этом не затрагиваются.

Рекомендуется использовать один выделенный сторонний сертификат для сервера служб федерации Active Directory, другой сертификат — для служб Exchange на гибридном сервере и, если потребуется, сертификат на сервере Exchange. Федеративное делегирование на гибридном сервере по умолчанию использует самозаверяющий сертификат. Если только нет особых требований, для федеративной делегации отсутствует необходимость в использовании стороннего сертификата.

Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать нужное количество имен FQDN. Сертификаты согласуются по имени субъекта (участника) и одному или нескольким дополнительным именам субъекта (SAN). Имя субъекта — это имя FQDN, на которое выдан сертификат. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат, помимо имени субъекта. В случае потребности в сертификате, поддерживающем пять имен FQDN, следует приобрести сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.

Служба Сервер Предлагаемое имя FQDN

Службы федерации Служба каталогов Active Directory (AD FS) (если выбрана настройка AD FS)

ADFS

Sts.contoso.com

Федеративная делегация (если выбрана настройка федеративной делегации)

Гибридный сервер

Exchangedelegation.contoso.com

Автообнаружение

Гибридный сервер

Autodiscover.contoso.com

Транспорт

Гибридный сервер

Метка, которая соответствует внешнему полному доменному имени сервера Exchange 2010, например mail2.contoso.com.

Outlook Anywhere

Гибридный сервер

Метка, которая соответствует внутреннему полному доменному имени гибридного сервера Exchange 2010, например Ex2010.corp.contoso.com.

Метка, которая соответствует внутреннему имени узла гибридного сервера Exchange 2010, например Ex2010.

Outlook Web App (Exchange 2010)

Гибридный сервер

Owa.contoso.com

Outlook Web App (существующий сервер Exchange)

Существующий сервер Exchange

Метка, которая соответствует внешнему имени FQDN существующего сервера Exchange, например mail1.contoso.com.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.