Planera för tredje parts SSL-certifikat för Microsoft 365
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Om du vill kryptera kommunikationen mellan dina klienter och Microsoft 365-miljön måste tredje parts SSL-certifikat (Secure Socket Layer) vara installerat på dina infrastrukturservrar.
Den här artikeln är en del av Nätverksplanering och prestandajustering för Microsoft 365.
Certifikat krävs för följande Microsoft 365 komponenter:
Exchange lokalt
Enkel inloggning (SSO) (för både AD FS-federationsservrar (Active Directory Federation Services) och AD FS-federationsserverservrar)
Exchange Online,t.ex. Automatisk upptäckt, Outlook var som helst och Exchange webbtjänster
Exchange-hybridserver
Certifikat Exchange lokal
En översikt över hur du använder digitala certifikat för att göra kommunikationen mellan den lokala Exchange-organisationen och Exchange Online säker finns i TechNet-artikeln Förstå certifikatkrav.
Certifikat för Sign-On
För att ge användarna en förenklad upplevelse med enkel inloggning som ger robust säkerhet krävs certifikaten i följande tabell på antingen federationsservrarna eller proxyservrarna för federationsservrarna. Tabellen nedan fokuserar på Active Directory Federation Services (AD FS), vi har också mer information om hur du använder tredjepartsidentitetsproviders.
| Certifikattyp | Beskrivning | Det här behöver du veta innan du distribuerar |
|---|---|---|
| SSL-certifikat (kallas även serverautentiseringscertifikat) |
Det här är ett SSL-standardcertifikat som används för att göra kommunikationen säker mellan federationsservrar, klienter och proxydatorer för federationsservrar. |
AD FS kräver ett SSL-certifikat. Som standard använder AD FS det SSL-certifikat som är konfigurerat för standardwebbplatsen i Internet Information Services (IIS). Ämnesnamnet för SSL-certifikatet används för att fastställa FS-namnet (Federation Service) för varje instans av AD FS som du distribuerar. Överväg att välja ett ämnesnamn för nya certifikat utfärdade av certifikatsutfärdare (CA) som på bästa sätt representerar namnet på ditt företag eller din organisation för att Microsoft 365. Namnet måste vara dirigerbart via Internet. Varning! AD FS kräver att det här SSL-certifikatet inte har något ämnesnamn utan punkt (kort namn). Rekommendation: Eftersom det här certifikatet måste vara betrott av klienter till AD FS rekommenderar vi att du använder ett SSL-certifikat utfärdat av en offentlig (tredje parts) certifikatutfärdare eller av en certifikatutfärdare som är underordnad en offentlig betrodd rot. Till exempel VeriSign eller Thawte. |
| Token-signeringscertifikat |
Det här är ett X.509-standardcertifikat som används för säker signering av alla tokens som federationsservern utfärdar och som Microsoft 365 accepterar och verifierar. |
Token-signeringscertifikatet måste innehålla en privat nyckel som länkar till en betrodd rot i FS. Som standard skapar AD FS ett själv signerat certifikat. Men beroende på organisationens behov kan du ändra det här certifikatet till ett certifikat utfärdat av en certifikatutfärdare med hjälp av snapin-modulen för AD FS-hantering. Varning! Token-signeringscertifikatet är viktigt för stabiliteten i FS. Om certifikatet ändras måste Microsoft 365 meddelas om ändringen. Om något meddelande inte lämnas kan användare inte logga in på Microsoft 365 tjänsterbjudanden. Rekommendation: Vi rekommenderar att du använder det självsignerade token-signeringscertifikatet som genereras av AD FS. Då hanteras det här certifikatet åt dig som standard. När det här certifikatet till exempel upphör att gälla genererar AD FS ett nytt själv signerat certifikat. |
För federationsservrars proxyservrar krävs det certifikat som beskrivs i följande tabell.
| Certifikattyp | Beskrivning | Det här behöver du veta innan du distribuerar |
|---|---|---|
| SSL-certifikat |
Det här är ett SSL-standardcertifikat som används för att skydda kommunikationen mellan en federationsserver, en federationsserverproxy och Internetklientdatorer. |
Ssl-certifikatet måste vara bundet till standardwebbplatsen i IIS innan du kan köra guiden Konfigurera AD FS-federationsserverproxy. Certifikatet måste ha samma ämnesnamn som SSL-certifikatet som konfigurerades på federationsservern i företagsnätverket. Rekommendation: Vi rekommenderar att du använder samma serverautentiseringscertifikat som är konfigurerat på den federationsserver som den här federationsserverproxyn ansluter till. |
Certifikat för automatisk upptäckt, Outlook plats och Active Directory-synkronisering
Dina externa Exchange 2013-, Exchange 2010-, Exchange 2007- och Exchange 2003-klientåtkomstservrar (CAS) kräver ett SSL-certifikat från tredje part för säkra anslutningar för automatisk upptäckt, Outlook var som helst och Active Directory-synkroniseringstjänster. Du kanske redan har det här certifikatet installerat i din lokala miljö.
Certifikat för en Exchange-hybridserver
Din externa externa Exchange-hybridserver eller -servrar kräver ett SSL-certifikat från tredje part för säker anslutning Exchange Online tjänsten. Du måste hämta certifikatet från din tredjeparts SSL-leverantör.
Microsoft 365 Certifikatkedjor
I den här artikeln beskrivs de certifikat som du kan behöva installera på infrastrukturen. Mer information om certifikat som är installerade på Microsoft 365-servrar finns i Microsoft 365 certifikatkedjor.