Общие сведения о требованиях к сертификатам для гибридных развертываний
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-11-28
Цифровые сертификаты — это важная часть механизма защиты связи между локальной организацией Exchange и службой Microsoft Office 365, другими локальными серверами Exchange и используемыми клиентами. Сертификаты позволяют одному объекту доверять удостоверению другого. Это гарантирует подключение клиента или сервера к правильному источнику.
В гибридном развертывании сертификаты используются несколькими службами.
Службы федерации Active Directory (AD FS) Сертификаты, выданные надежным сторонним центром сертификации (ЦС), используются для установления доверия между веб-клиентами и прокси-серверами федерации, для подписывания и расшифровки маркеров безопасности.
Дополнительные сведения см. в разделе Сертификаты
Федерация Exchange Самозаверяющий сертификат используется для создания безопасного подключения между локальными серверами с пакетом обновления 3 (SP3) для Exchange Server 2010, настроенными для гибридного развертывания («гибридными серверами»), и Microsoft Federation Gateway.
Дополнительные сведения см. в разделе Общие сведения о федеративном делегировании
Службы Exchange Сертификаты, выданные доверенным сторонним центром сертификации, используются для повышения защиты соединений по протоколу SSL между серверами Exchange и клиентами. К службам, использующим сертификаты, относятся Outlook Web App, Exchange ActiveSync, Outlook Anywhere и служба передачи сообщений.
Существующие серверы Exchange Существующие серверы Exchange могут использовать сертификаты для обеспечения безопасности подключений Outlook Web App, транспортировки сообщений и т. д. В зависимости от способа применения сертификатов на серверах Exchange можно использовать самозаверяющие сертификаты или сертификаты, выданные доверенным сторонним центром сертификации.
Дополнительные сведения см. в разделе Общие сведения о цифровых сертификатах и протоколе SSL
Требования к сертификатам для гибридного развертывания
При настройке гибридного развертывания необходимо настроить сертификаты. Вы должны приобрести сертификаты от надежного стороннего центра сертификации. Для многих служб, таких как AD FS, федерация Exchange 2010, службы Exchange 2010 и Exchange, требуются сертификаты. В зависимости от условий в данной организации может потребоваться один из следующих вариантов.
Использование стороннего сертификата, применяемого всеми службами на нескольких серверах.
Использование стороннего сертификата для каждого сервера, который предоставляет службы.
Тип используемого сертификата и выбор между применением одного сертификата для всех служб или выделением отдельного сертификата для каждой службы зависит от вашей организации и реализуемой службы. Ниже приводятся соображения для каждого варианта.
Сторонние сертификаты на нескольких серверах Сторонние сертификаты, используемые службами на нескольких серверах, могут иметь несколько меньшую стоимость, но при этом усложнять продление и замену. Сложность заключается в том, что при необходимости замены сертификата такую операцию необходимо выполнить на каждом сервере, где он установлен.
Сторонний сертификат для каждого сервера Использование выделенного сертификата для каждого сервера, на котором размещаются службы, позволяет настраивать сертификат отдельно для служб на этом сервере. Если необходимо заменить сертификат или продлить его, это потребуется сделать только на том сервере, на котором установлены службы. Другие серверы при этом не затрагиваются.
Рекомендуется использовать один выделенный сторонний сертификат для сервера служб федерации Active Directory, другой сертификат — для служб Exchange на гибридных серверах и, если потребуется, сертификат на сервере Exchange. Локальное федеративное доверие, настроенное в рамках федеративного делегирования, по умолчанию использует самозаверяющий сертификат. Если только нет особых требований, для федеративного доверия, настроенного в рамках федеративного делегирования, отсутствует необходимость в использовании стороннего сертификата.
Для служб, установленных на одном сервере, может требоваться настройка нескольких полных доменных имен (FQDN) для этого сервера. Необходимо приобрести сертификат, который позволяет использовать нужное количество имен FQDN. Сертификаты согласуются по имени субъекта (участника) и одному или нескольким дополнительным именам субъекта (SAN). Имя субъекта — это имя FQDN, на которое выдан сертификат. Имена SAN — это дополнительные имена FQDN, которые могут добавляться в сертификат, помимо имени субъекта. В случае потребности в сертификате, поддерживающем пять имен FQDN, следует приобрести сертификат, в который можно добавить пять доменов: одно имя субъекта и четыре имени SAN.
| Служба | Сервер | Предлагаемое имя FQDN |
|---|---|---|
Службы федерации Служба каталогов Active Directory (AD FS) (если выбрана настройка AD FS) |
ADFS |
sts.contoso.com |
Автообнаружение |
Гибридные серверы |
autodiscover.contoso.com |
Транспорт |
Гибридные серверы |
Метка, которая соответствует внешнему полному доменному имени гибридного сервера Exchange 2010 с пакетом обновления 3 (SP3), например hybrid.contoso.com. |
Outlook Anywhere |
Гибридные серверы |
Метка, которая соответствует внутреннему полному доменному имени гибридного сервера Exchange 2010 с пакетом обновления 3 (SP3), например Ex2010.corp.contoso.com. Метка, которая соответствует внутреннему имени узла гибридного сервера Exchange 2010 с пакетом обновления 3 (SP3), например Ex2010. |
Outlook Web App (Exchange 2010) |
Гибридные серверы |
owa.contoso.com |
Outlook Web App (существующий сервер Exchange) |
Существующий сервер Exchange |
Метка, которая соответствует внешнему имени FQDN существующего сервера Exchange, например mail.contoso.com. |
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.