Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek se týká Microsoft 365 Enterprise i Office 365 Enterprise.
Pokud chcete šifrovat komunikaci mezi klienty a prostředím Microsoft 365, musí být na serverech infrastruktury nainstalované certifikáty SSL (Secure Socket Layer) třetích stran.
Tento článek je součástí plánování sítě a ladění výkonu pro Microsoft 365.
Certifikáty se vyžadují pro následující součásti Microsoftu 365:
Místní Exchange
Jednotné přihlašování (SSO) (pro federační servery Active Directory Federation Services (AD FS) (AD FS) i proxy federačních serverů AD FS)
Exchange Online služeb, jako je Automatická konfigurace, Outlook Anywhere a Webové služby Exchange
Hybridní server Exchange
Certifikáty pro místní Exchange
Přehled o tom, jak používat digitální certifikáty k zabezpečení komunikace mezi místní organizací Exchange a Exchange Online, najdete v článku Na TechNetu Vysvětlení požadavků na certifikáty.
Certifikáty pro jednotné přihlašování
Abyste uživatelům poskytli zjednodušené prostředí jednotného přihlašování, které zahrnuje robustní zabezpečení, vyžadují se certifikáty uvedené v následující tabulce buď na federačních serverech, nebo na proxy federačních serverech. Následující tabulka se zaměřuje na Active Directory Federation Services (AD FS) (AD FS). Máme také další informace o používání zprostředkovatelů identit třetích stran.
| Typ certifikátu | Popis | Co potřebujete vědět před nasazením |
|---|---|---|
|
Certifikát SSL (označovaný také jako ověřovací certifikát serveru) |
Jedná se o standardní certifikát SSL, který slouží k zabezpečení komunikace mezi federačními servery, klienty a počítači proxy federačního serveru. |
Služba AD FS vyžaduje certifikát SSL. Ve výchozím nastavení používá služba AD FS certifikát SSL, který je nakonfigurovaný pro výchozí web v Internetové informační službě (IIS). Název subjektu tohoto certifikátu SSL se používá k určení názvu služby FS (Federation Service) pro každou nasazenou instanci služby AD FS. Zvažte volbu názvu subjektu pro všechny nové certifikáty vydané certifikační autoritou (CA), které nejlépe reprezentují název vaší společnosti nebo organizace pro Microsoft 365. Tento název musí být směrovatelný na internet. Opatrnost: Služba AD FS vyžaduje, aby tento certifikát SSL neměl bez tečky (krátký název) název subjektu. Doporučení: Vzhledem k tomu, že tento certifikát musí být důvěryhodný pro klienty služby AD FS, doporučujeme použít certifikát SSL vystavený veřejnou certifikační autoritou (třetí stranou) nebo certifikační autoritou, která je podřízena veřejně důvěryhodnému kořenovému adresáři. například VeriSign nebo Thawte. |
|
Podpisový certifikát tokenu |
Jedná se o standardní certifikát X.509, který slouží k bezpečnému podepisování všech tokenů, které federační server vydává a které Microsoft 365 přijímá a ověřuje. |
Podpisový certifikát tokenu musí obsahovat privátní klíč, který se zřetěžuje s důvěryhodným kořenovým certifikátem v FS. Ve výchozím nastavení služba AD FS vytvoří certifikát podepsaný svým držitelem. V závislosti na potřebách vaší organizace ale můžete tento certifikát změnit na certifikát vystavený certifikační autoritou pomocí modulu snap-in správa služby AD FS. Opatrnost: Podpisový certifikát tokenu je kritický pro stabilitu fs. Pokud dojde ke změně certifikátu, microsoft 365 musí být na změnu upozorněn. Pokud se oznámení nezobrazí, uživatelé se nemůžou přihlásit ke svým nabídkám služeb Microsoft 365. Doporučení: Doporučujeme použít podpisový certifikát tokenu podepsaný svým držitelem, který je vygenerovaný službou AD FS. Tím tento certifikát ve výchozím nastavení spravuje za vás. Když například vyprší platnost tohoto certifikátu, služba AD FS vygeneruje nový certifikát podepsaný svým držitelem. |
Proxy federačních serverů vyžadují certifikát popsaný v následující tabulce.
| Typ certifikátu | Popis | Co potřebujete vědět před nasazením |
|---|---|---|
| Certifikát SSL |
Jedná se o standardní certifikát SSL, který se používá k zabezpečení komunikace mezi federačním serverem, proxy federačního serveru a internetovými klientskými počítači. |
Aby bylo možné úspěšně spustit průvodce konfigurací proxy federačního serveru SLUŽBY AD FS, musí být tento certifikát SSL vázán na výchozí web služby IIS. Tento certifikát musí mít stejný název subjektu jako certifikát SSL nakonfigurovaný na federačním serveru v podnikové síti. Doporučení: Doporučujeme použít stejný ověřovací certifikát serveru, který je nakonfigurovaný na federačním serveru, ke kterému se proxy federačního serveru připojuje. |
Certifikáty pro automatickou konfiguraci, outlook anywhere a synchronizaci služby Active Directory
Externí servery Exchange 2013, Exchange 2010, Exchange 2007 a Exchange 2003 Client Access (CAS) vyžadují certifikát SSL třetí strany pro zabezpečená připojení pro automatickou konfiguraci, službu Outlook Anywhere a synchronizační služby Active Directory. Tento certifikát už možná máte nainstalovaný v místním prostředí.
Certifikát pro hybridní server Exchange
Váš externí hybridní server nebo servery Exchange vyžadují certifikát SSL třetí strany pro zabezpečené připojení ke službě Exchange Online. Tento certifikát potřebujete získat od poskytovatele SSL třetí strany.
Řetězy certifikátů Microsoftu 365
Tento článek popisuje certifikáty, které možná budete muset nainstalovat do infrastruktury. Další informace o certifikátech nainstalovaných na našich serverech Microsoft 365 najdete v tématu Řetězy certifikátů Microsoftu 365.