Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel gælder både for Microsoft 365 Enterprise og Office 365 Enterprise.
Hvis du vil kryptere kommunikationen mellem dine klienter og Microsoft 365-miljøet, skal der installeres SSL-certifikater (Secure Socket Layer) fra tredjepart på infrastrukturserverne.
Denne artikel er en del af Netværksplanlægning og tilpasning af ydeevne til Microsoft 365.
Der kræves certifikater til følgende Microsoft 365-komponenter:
Exchange i det lokale miljø
Enkeltlogon (SSO) (for både AD FS-servere (Active Directory Federation Services) og AD FS-sammenslutningsserverproxyer)
Exchange Online tjenester, f.eks. Autodiscover, Outlook Anywhere og Exchange Web Services
Exchange-hybridserver
Certifikater til Exchange i det lokale miljø
Du kan få en oversigt over, hvordan du bruger digitale certifikater til at gøre kommunikationen mellem Exchange-organisationen i det lokale miljø og Exchange Online sikker, i TechNet-artiklen Om certifikatkrav.
Certifikater til enkeltlogon
Hvis du vil give brugerne en forenklet single sign-on-oplevelse, der omfatter robust sikkerhed, kræves de certifikater, der vises i følgende tabel, på enten samlingsserverne eller proxyerne for sammenslutningsserveren. I nedenstående tabel fokuseres der på Active Directory Federation Services (AD FS), og vi har også flere oplysninger om brug af identitetsudbydere fra tredjepart.
| Certifikattype | Beskrivelse | Det har du brug for at vide, før du udruller |
|---|---|---|
|
SSL-certifikat (også kaldet et certifikat til servergodkendelse) |
Dette er et standard-SSL-certifikat, der bruges til at gøre kommunikation mellem server-, klient- og sammenslutningsserverproxycomputere sikker. |
AD FS kræver et SSL-certifikat. AD FS bruger som standard det SSL-certifikat, der er konfigureret til standardwebstedet i IIS (Internet Information Services). Emnenavnet på dette SSL-certifikat bruges til at bestemme FS-navnet (Federation Service) for hver forekomst af AD FS, du installerer. Overvej at vælge et emnenavn til et nyt nøglecenter (CA)-udstedte certifikater, der bedst repræsenterer navnet på dit firma eller din organisation i Microsoft 365. Dette navn skal være internet-routable. Forsigtighed: AD FS kræver, at dette SSL-certifikat ikke har et emnenavn uden punktum (kort navn). Anbefaling: Da klienter i AD FS skal have tillid til dette certifikat, anbefaler vi, at du bruger et SSL-certifikat, der er udstedt af et offentligt nøglecenter (tredjepart) eller af et nøglecenter, der er underordnet en rod, der er offentligt tillid til. f.eks. VeriSign eller Thawte. |
|
Certifikat til tokensignering |
Dette er et standard-X.509-certifikat, der bruges til sikker signering af alle tokens, som problemer med samlingsserveren, og som Microsoft 365 accepterer og validerer. |
Certifikatet til tokensignering skal indeholde en privat nøgle, der kædes til en rod, der er tillid til, i FS. AD FS opretter som standard et selvsigneret certifikat. Afhængigt af din organisations behov kan du dog ændre dette certifikat til et certifikat, der er udstedt af et nøglecenter, ved hjælp af snap-in'en AD FS-administration. Forsigtighed: Certifikatet til tokensignering er afgørende for stabiliteten i FS. Hvis certifikatet ændres, skal Microsoft 365 have besked om ændringen. Hvis der ikke vises en meddelelse, kan brugerne ikke logge på deres Microsoft 365-tjenestetilbud. Anbefaling: Vi anbefaler, at du bruger det selvsignerede tokensigneringscertifikat, der genereres af AD FS. Det administrerer som standard dette certifikat for dig. Når dette certifikat f.eks. er ved at udløbe, genererer AD FS et nyt selvsigneret certifikat. |
Sammenslutningsserverproxyer kræver det certifikat, der er beskrevet i følgende tabel.
| Certifikattype | Beskrivelse | Det har du brug for at vide, før du udruller |
|---|---|---|
| SSL-certifikat |
Dette er et STANDARD SSL-certifikat, der bruges til at sikre kommunikation mellem en sammenslutningsserver, en sammenslutningsserverproxy og internetklientcomputere. |
Dette SSL-certifikat skal bindes til standardwebstedet i IIS, før du kan køre guiden Konfiguration af AD FS Federation Server-proxy. Certifikatet skal have samme emnenavn som det SSL-certifikat, der blev konfigureret på organisationsserveren på virksomhedens netværk. Anbefaling: Vi anbefaler, at du bruger det samme servergodkendelsescertifikat, som er konfigureret på den samlingsserver, som denne sammenslutningsserverproxy opretter forbindelse til. |
Certifikater til automatisk søgning, Outlook Hvor som helst og Synkronisering af Active Directory
Dine exchange 2013-, Exchange 2010-, Exchange 2007- og Exchange 2003-klientadgangsservere (CASs) kræver et SSL-certifikat fra tredjepart til sikre forbindelser til synkroniseringstjenesterne Autodiscover, Outlook Anywhere og Active Directory. Du har muligvis allerede dette certifikat installeret i dit lokale miljø.
Certifikat til en Exchange-hybridserver
Din exchange-hybridserver eller -servere, der skal håndteres eksternt, kræver et SSL-certifikat fra tredjepart for at sikre forbindelsen til Exchange Online-tjenesten. Du skal hente dette certifikat fra din SSL-tredjepartsudbyder.
Microsoft 365 Certificate Chains
I denne artikel beskrives de certifikater, du muligvis skal installere på din infrastruktur. Du kan få flere oplysninger om de certifikater, der er installeret på vores Microsoft 365-servere, under Microsoft 365 Certificate Chains.